Краткое описание: регистрация приложения на платформе Microsoft Identity

Начало работы с платформа удостоверений Майкрософт путем регистрации приложения в Центре администрирования Microsoft Entra.

Платформа удостоверений Майкрософт обеспечивает управление удостоверениями и доступом (IAM) только для зарегистрированных приложений. Регистрация устанавливает отношение доверия между приложением (будь то клиентское приложение, например веб-или мобильное приложение, или веб-API, которое создает резервную копию клиентского приложения) и поставщиком удостоверений (платформой удостоверений Майкрософт).

Совет

Чтобы зарегистрировать приложение для Azure AD B2C, выполните действия, описанные в учебнике по регистрации веб-приложения в Azure AD B2C.

Необходимые компоненты

Регистрация приложения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Регистрация приложения устанавливает отношения доверия между приложением и платформой удостоверений Майкрософт. Отношение доверия является однонаправленным: ваше приложение доверяет платформе удостоверений Майкрософт, а не наоборот. После создания объект приложения не может быть перемещен между разными клиентами.

Чтобы зарегистрировать приложение, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню, чтобы переключиться на клиент, в котором вы хотите зарегистрировать приложение из меню каталогов и подписок.

  3. Перейдите к приложениям> удостоверений>Регистрация приложений и выберите "Создать регистрацию".

  4. Введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа. Отображаемое имя можно изменить в любое время. При этом несколько регистраций приложений смогут использовать одно и то же имя. Автоматически созданный идентификатор приложения (клиента) регистрации приложения, а не его отображаемое имя, уникальным образом идентифицирует ваше приложение на платформе удостоверений.

  5. Укажите, кто может использовать приложение. Таких пользователей иногда называют аудиторией входа.

    Поддерживаемые типы счетов Описание
    Accounts in this organizational directory only (Учетные записи только в этом каталоге организации) Выберите этот параметр, если создаете приложение для использования только пользователями (или гостями) в вашем клиенте.

    Это приложение, часто называемое бизнес-приложением (LOB), является приложением с одним арендатором на платформе удостоверений Майкрософт.
    Учетные записи в любом каталоге организации Выберите этот параметр, если вы хотите, чтобы пользователи в любом клиенте Microsoft Entra могли использовать приложение. Этот вариант подходит, если, например, вы создаете приложение SaaS, которое планируется предоставить нескольким организациям.

    На платформе удостоверений Майкрософт оно называется приложением с несколькими арендаторами.
    Accounts in any organizational directory and personal Microsoft accounts (Учетные записи в любом каталоге организации и личные учетные записи Майкрософт) Этот параметр предназначен для самого широкого набора клиентов.

    При выборе этого параметра регистрируется приложение с несколькими арендаторами, в котором поддерживаются пользователи с личными учетными записями Майкрософт. Личные учетные записи Майкрософт включают в себя учетные записи Skype, Xbox, Live и Hotmail.
    Personal Microsoft accounts (Личные учетные записи Майкрософт) Выберите этот параметр, если вы создаете приложение для использования только пользователями с личными учетными записями Майкрософт. Личные учетные записи Майкрософт включают в себя учетные записи Skype, Xbox, Live и Hotmail.
  6. При настройке URI перенаправления в следующем разделе оставьте URI перенаправления (необязательно ).

  7. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.

    Снимок экрана: Центр администрирования Microsoft Entra в веб-браузере с областью регистрации приложения.

После завершения регистрации центр администрирования Microsoft Entra отображает панель обзора регистрации приложения. Вы увидите значение Идентификатор приложения (клиента). Это значение, также называемое идентификатором клиента, определяет ваше приложение на платформе удостоверений Майкрософт.

Внимание

По умолчанию новые регистрации приложений скрыты для пользователей. Когда вы будете готовы предоставить пользователям доступ к приложению на своей странице "Мои приложения", можно включить его отображение. Чтобы включить приложение, в Центре администрирования Microsoft Entra перейдите к приложениям Identity>Apps>Enterprise и выберите это приложение. Затем на странице Свойства переключите параметр Видно пользователям? на значение "Да".

Код приложения или, как правило, библиотека аутентификации в приложении, также использует идентификатор клиента. Этот идентификатор используется в ходе проверки маркеров безопасности, получаемых от платформы удостоверений.

Снимок экрана: Центр администрирования Microsoft Entra в веб-браузере с областью обзора регистрации приложения.

Добавление URI перенаправления

URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

Например, URI перенаправления в рабочем веб-приложении часто является общедоступной конечной точкой, в которой работает приложение, например https://contoso.com/auth-response. Во время разработки также можно добавить конечную точку, в которой вы запускаете приложение локально, например https://127.0.0.1/auth-response или http://localhost/auth-response. Убедитесь, что любые ненужные среды разработки или URI перенаправления не предоставляются в рабочем приложении. Это можно сделать с помощью отдельных регистраций приложений для разработки и рабочей среды.

Чтобы добавить и изменить URI перенаправления для зарегистрированных приложений, настройте параметры платформы.

Настройка параметров платформы

Параметры для каждого типа приложения, включая URI перенаправления, настраиваются в разделе Конфигурация платформ на портале Azure. Для некоторых платформ, таких как веб- и одностраничные приложений, необходимо вручную указать URI перенаправления. Для других платформ, например мобильных устройств и настольных ПК, соответствующие URI перенаправления можно выбрать при настройке других параметров.

Чтобы настроить параметры приложения на основе целевой платформы или устройства, сделайте следующее:

  1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

  2. В разделе Управление выберите Проверка подлинности.

  3. В разделе Конфигурации платформ щелкните Добавить платформу.

  4. В разделе Настройка платформ щелкните плитку типа приложения (платформу), чтобы настроить его параметры.

    Снимок экрана: область настройки платформ на портале Azure.

    Платформа Параметры конфигурации
    Веб-представление Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

    Можно также настроить URL-адрес выхода front-channel и неявные и гибридные свойства потока.

    Выберите эту платформу для стандартных веб-приложений, которые выполняются на сервере.
    Одностраничное приложение Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

    Можно также настроить URL-адрес выхода front-channel и неявные и гибридные свойства потока.

    Выберите эту платформу, если вы создаете веб-приложение на стороне клиента с использованием JavaScript или с помощью таких платформ, как Angular, Vue.js, React.js или Blazor WebAssembly.
    iOS, macOS Введите идентификатор пакета приложения. Найдите его в параметрах сборки или в Xcode в файле info.plist.

    При указании идентификатора пакета создается URI перенаправления.
    Android Введите имя пакета приложения. Найдите его в файле AndroidManifest.xml. Также создайте и введите хэш подписи.

    При указании этих параметров создается URI перенаправления.
    Мобильные и классические приложения Выберите один из предлагаемых URI перенаправления. Или укажите один или несколько пользовательских URI перенаправления.

    Для классических приложений, использующих встроенный браузер, рекомендуется использовать такой адрес:
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Для классических приложений, использующих системный браузер, рекомендуется использовать такой адрес:
    http://localhost

    Выберите эту платформу для мобильных приложений, которые не используют последнюю версию библиотеки аутентификации Майкрософт (MSAL) или брокер. Также выберите эту платформу для классических приложений.
  5. Нажмите кнопку Настроить, чтобы завершить настройку платформы.

Ограничения для URI перенаправления

Существуют определенные ограничения формата URI перенаправления, добавляемого в регистрацию приложения. См. сведения об ограничениях для URI перенаправления и URL-адресов ответа.

Добавить учетные данные

Учетные данные используются конфиденциальными клиентскими приложениями, которые обращаются к веб-API. Примерами конфиденциальных клиентов являются веб-приложения, другие веб-API, приложения типа "служба" и "управляющая программа". Учетные данные позволяют приложению проходить самостоятельную проверку подлинности, не требуя взаимодействия с пользователем во время выполнения.

Сертификаты, секреты клиента (строка) или федеративные учетные данные удостоверения можно добавлять в качестве учетных данных для регистрации конфиденциального клиентского приложения. По возможности рекомендуется использовать сертификаты из доверенного центра сертификации (ЦС).

Снимок экрана: Центр администрирования Microsoft Entra, показывающий область

Иногда называется открытым ключом, поэтому сертификат является рекомендуемым типом учетных данных, так как они считаются более безопасными, чем секреты клиента. Дополнительные сведения об использовании сертификата в качестве метода аутентификации в приложении см. в статье Учетные данные сертификата аутентификации приложения платформы удостоверений Майкрософт.

  1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.
  2. Выберите Сертификаты и секреты>Сертификаты>Загрузить сертификат.
  3. Выберите отправляемый файл. Он должен быть одного из следующих типов файлов: CER, PEM, CRT.
  4. Выберите Добавить.

Следующий шаг