Med Microsoft Entras externa ID kan din organisation hantera kundernas identiteter och på ett säkert sätt styra åtkomsten till dina offentliga program och API:er. Program där dina kunder kan köpa dina produkter, prenumerera på dina tjänster eller komma åt deras konto och data. Dina kunder behöver bara logga in på en enhet eller en webbläsare en gång och ha åtkomst till alla dina program som du har beviljat dem behörigheter.
För att programmet ska kunna logga in med externt ID måste du registrera din app med externt ID. Appregistreringen upprättar en förtroenderelation mellan appen och det externa ID:t.
Under appregistreringen anger du omdirigerings-URI:n. Omdirigerings-URI:n är slutpunkten som användarna omdirigeras till av externt ID när de har autentiserats. Appregistreringsprocessen genererar ett program-ID, även kallat klient-ID, som unikt identifierar din app.
Externt ID stöder autentisering för olika moderna programarkitekturer, till exempel webbapp eller ensidesapp. Interaktionen mellan varje programtyp och den externa klientorganisationen skiljer sig åt. Därför måste du ange vilken typ av program du vill registrera.
I den här artikeln får du lära dig hur du registrerar ett program i din externa klientorganisation.
Registrera din ensidesapp
Externt ID stöder autentisering för ensidesappar (SPA).
Följande steg visar hur du registrerar ditt SPA i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Om du har åtkomst till flera klienter använder du ikonen
Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj + Ny registrering.
På sidan Registrera ett program som visas anger du programmets registreringsinformation:
I avsnittet Namn anger du ett beskrivande programnamn som visas för användare av appen, till exempel ciam-client-app.
Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Under Omdirigerings-URI (valfritt), väljer du Enkelsidigt program (SPA) och i rutan URL anger du http://localhost:3000/sedan .
Välj Registrera.
Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.
Om omdirigerings-URI
Omdirigerings-URI:n är slutpunkten där användaren skickas till av auktoriseringsservern (i det här fallet Microsoft Entra-ID) efter att ha slutfört interaktionen med användaren och till vilken en åtkomsttoken eller auktoriseringskod skickas till vid lyckad auktorisering.
I ett produktionsprogram är det vanligtvis en offentligt tillgänglig slutpunkt där appen körs, till exempel https://contoso.com/auth-response.
Under apputvecklingen kan du lägga till slutpunkten där programmet lyssnar lokalt, till exempel http://localhost:3000. Du kan lägga till och ändra omdirigerings-URI:er i dina registrerade program när som helst.
Följande begränsningar gäller för omdirigerings-URI:er:
Svars-URL:en måste börja med schemat https, såvida du inte använder en localhost-omdirigerings-URL.
Svars-URL:en är skiftlägeskänslig. Ärendet måste matcha fallet med URL-sökvägen för ditt program som körs. Om ditt program till exempel innehåller som en del av sökvägen .../abc/response-oidcanger du .../ABC/response-oidc inte i svars-URL:en. Eftersom webbläsaren behandlar sökvägar som skiftlägeskänsliga kan cookies som är associerade med .../abc/response-oidc undantas om de omdirigeras till den skiftlägesmatchade .../ABC/response-oidc URL:en.
Svars-URL:en bör innehålla eller exkludera det avslutande snedstrecket som programmet förväntar sig. Och kan till exempel https://contoso.com/auth-response https://contoso.com/auth-response/ behandlas som icke-matchande URL:er i ditt program.
Bevilja administratörsmedgivande
När du har registrerat ditt program tilldelas det behörigheten User.Read . Men eftersom klientorganisationen är en extern klientorganisation kan kundanvändarena själva inte samtycka till den här behörigheten. Du som administratör måste godkänna den här behörigheten för alla användare i klientorganisationen:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
Under Hantera väljer du API-behörigheter.
- Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
- Välj Uppdatera och kontrollera sedan att Beviljat för <ditt klientnamn> visas under Status för behörigheten.
Bevilja API-behörigheter (valfritt):
Om ditt SPA behöver anropa ett API måste du bevilja dina SPA API-behörigheter så att det kan anropa API:et. Du måste också registrera webb-API :et som du behöver anropa.
Följ dessa steg för att ge klientappen (ciam-client-app) API-behörigheter:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
Under Hantera väljer du API-behörigheter.
Under Konfigurerade behörigheter väljer du Lägg till en behörighet.
Välj fliken API:er som min organisation använder .
I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.
Välj alternativet Delegerade behörigheter .
I behörighetslistan väljer du ToDoList.Read, ToDoList.ReadWrite (använd sökrutan om det behövs).
Välj knappen Lägg till behörigheter. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:
Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.
I listan Konfigurerade behörigheter väljer du behörigheterna ToDoList.Read och ToDoList.ReadWrite, en i taget, och kopierar sedan behörighetens fullständiga URI för senare användning. Den fullständiga behörighets-URI:n ser ut ungefär api://{clientId}/{ToDoList.Read} som eller api://{clientId}/{ToDoList.ReadWrite}.
Om du vill lära dig hur du exponerar behörigheterna genom att lägga till en länk går du till avsnittet Webb-API .
Testa användarflödet (valfritt)
Om du vill testa ett användarflöde med den här appregistreringen aktiverar du implicit beviljandeflöde för autentisering.
Viktigt!
Det implicita flödet ska endast användas i testsyfte och inte för att autentisera användare i dina produktionsappar. När du är klar med testningen rekommenderar vi att du tar bort den.
Följ dessa steg för att aktivera det implicita flödet:
- Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
- Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
- Bläddra till Identitetsprogram>> Appregistreringar.
- Välj den appregistrering som du skapade.
- Under Hantera väljer du Autentisering.
- Under Implicit beviljande och hybridflöden markerar du kryssrutan ID-token (används för implicita flöden och hybridflöden).
- Välj Spara.
Registrera din webbapp
Externt ID stöder autentisering för webbappar.
Följande steg visar hur du registrerar din webbapp i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj + Ny registrering.
På sidan Registrera ett program som visas anger du programmets registreringsinformation:
I avsnittet Namn anger du ett beskrivande programnamn som visas för användare av appen, till exempel ciam-client-app.
Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Under Omdirigerings-URI (valfritt) väljer du Webb och anger sedan en URL i rutan URL, till exempel . http://localhost:3000/
Välj Registrera.
Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.
Om omdirigerings-URI
Omdirigerings-URI:n är slutpunkten där användaren skickas till av auktoriseringsservern (i det här fallet Microsoft Entra-ID) efter att ha slutfört interaktionen med användaren och till vilken en åtkomsttoken eller auktoriseringskod skickas till vid lyckad auktorisering.
I ett produktionsprogram är det vanligtvis en offentligt tillgänglig slutpunkt där appen körs, till exempel https://contoso.com/auth-response.
Under apputvecklingen kan du lägga till slutpunkten där programmet lyssnar lokalt, till exempel http://localhost:3000. Du kan lägga till och ändra omdirigerings-URI:er i dina registrerade program när som helst.
Följande begränsningar gäller för omdirigerings-URI:er:
Svars-URL:en måste börja med schemat https, såvida du inte använder en localhost-omdirigerings-URL.
Svars-URL:en är skiftlägeskänslig. Ärendet måste matcha fallet med URL-sökvägen för ditt program som körs. Om ditt program till exempel innehåller som en del av sökvägen .../abc/response-oidcanger du .../ABC/response-oidc inte i svars-URL:en. Eftersom webbläsaren behandlar sökvägar som skiftlägeskänsliga kan cookies som är associerade med .../abc/response-oidc undantas om de omdirigeras till den skiftlägesmatchade .../ABC/response-oidc URL:en.
Svars-URL:en bör innehålla eller exkludera det avslutande snedstrecket som programmet förväntar sig. Och kan till exempel https://contoso.com/auth-response https://contoso.com/auth-response/ behandlas som icke-matchande URL:er i ditt program.
Bevilja administratörsmedgivande
När du har registrerat ditt program tilldelas det behörigheten User.Read . Men eftersom klientorganisationen är en extern klientorganisation kan kundanvändarena själva inte samtycka till den här behörigheten. Du som administratör måste godkänna den här behörigheten för alla användare i klientorganisationen:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
Under Hantera väljer du API-behörigheter.
- Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
- Välj Uppdatera och kontrollera sedan att Beviljat för <ditt klientnamn> visas under Status för behörigheten.
Skapa en klienthemlighet
Skapa en klienthemlighet för det registrerade programmet. Programmet använder klienthemligheten för att bevisa sin identitet när den begär token.
- På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
- Under Hantera väljer du Certifikat och hemligheter.
- Välj Ny klienthemlighet.
- I rutan Beskrivning anger du en beskrivning av klienthemligheten (till exempel ciam-appklienthemlighet).
- Under Upphör att gälla väljer du en varaktighet för vilken hemligheten är giltig (enligt organisationens säkerhetsregler) och väljer sedan Lägg till.
- Registrera hemlighetens värde. Du använder det här värdet för konfiguration i ett senare steg. Det hemliga värdet visas inte igen och kan inte hämtas på något sätt när du har navigerat bort från certifikaten och hemligheterna. Se till att du registrerar den.
Bevilja API-behörigheter (valfritt)
Om webbappen behöver anropa ett API måste du ge webbappens API-behörigheter så att den kan anropa API:et. Du måste också registrera webb-API :et som du behöver anropa.
Följ dessa steg för att ge klientappen (ciam-client-app) API-behörigheter:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
Under Hantera väljer du API-behörigheter.
Under Konfigurerade behörigheter väljer du Lägg till en behörighet.
Välj fliken API:er som min organisation använder .
I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.
Välj alternativet Delegerade behörigheter .
I behörighetslistan väljer du ToDoList.Read, ToDoList.ReadWrite (använd sökrutan om det behövs).
Välj knappen Lägg till behörigheter. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:
Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.
I listan Konfigurerade behörigheter väljer du behörigheterna ToDoList.Read och ToDoList.ReadWrite, en i taget, och kopierar sedan behörighetens fullständiga URI för senare användning. Den fullständiga behörighets-URI:n ser ut ungefär api://{clientId}/{ToDoList.Read} som eller api://{clientId}/{ToDoList.ReadWrite}.
Testa användarflödet (valfritt)
Om du vill testa ett användarflöde med den här appregistreringen aktiverar du implicit beviljandeflöde för autentisering.
Viktigt!
Det implicita flödet ska endast användas i testsyfte och inte för att autentisera användare i dina produktionsappar. När du är klar med testningen rekommenderar vi att du tar bort den.
Följ dessa steg för att aktivera det implicita flödet:
- Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
- Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
- Bläddra till Identitetsprogram>> Appregistreringar.
- Välj den appregistrering som du skapade.
- Under Hantera väljer du Autentisering.
- Under Implicit beviljande och hybridflöden markerar du kryssrutan ID-token (används för implicita flöden och hybridflöden).
- Välj Spara.
Registrera ditt webb-API
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj + Ny registrering.
På sidan Registrera ett program som visas anger du programmets registreringsinformation:
I avsnittet Namn anger du ett beskrivande programnamn som ska visas för appens användare, till exempel ciam-ToDoList-api.
Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Välj Registrera för att skapa programmet.
Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.
Exponera behörigheter
Ett API måste publicera minst ett omfång, även kallat Delegerad behörighet, för att klientapparna ska få en åtkomsttoken för en användare. Följ dessa steg för att publicera ett omfång:
På sidan Appregistreringar väljer du det API-program som du skapade (ciam-ToDoList-api) för att öppna sidan Översikt.
Under Hantera väljer du Exponera ett API.
Längst upp på sidan bredvid Program-ID-URI väljer du länken Lägg till för att generera en URI som är unik för den här appen.
Acceptera den föreslagna program-ID-URI:n, till exempel api://{clientId}, och välj Spara. När ditt webbprogram begär en åtkomsttoken för webb-API:et läggs URI:n till som prefix för varje omfång som du definierar för API:et.
Under Omfång som definieras av det här API:et väljer du Lägg till ett omfång.
Ange följande värden som definierar läsbehörighet till API:et och välj sedan Lägg till omfång för att spara ändringarna:
| Property |
Värde |
| Omfattningsnamn |
ToDoList.Read |
| Vem kan ge medgivande |
Endast administratörer |
| Visningsnamn för administratörsmedgivande |
Läsa användarnas ToDo-lista med hjälp av "TodoListApi" |
| Beskrivning av administratörsmedgivande |
Tillåt att appen läser användarens ToDo-lista med hjälp av "TodoListApi". |
| Tillstånd |
Aktiverad |
Välj Lägg till ett omfång igen och ange följande värden som definierar ett läs- och skrivåtkomstomfång till API:et. Välj Lägg till omfång för att spara ändringarna:
| Property |
Värde |
| Omfattningsnamn |
ToDoList.ReadWrite |
| Vem kan ge medgivande |
Endast administratörer |
| Visningsnamn för administratörsmedgivande |
Läsa och skriva användares ToDo-lista med hjälp av "ToDoListApi" |
| Beskrivning av administratörsmedgivande |
Tillåt att appen läser och skriver användarens ToDo-lista med hjälp av ToDoListApi |
| Tillstånd |
Aktiverad |
Under Hantera väljer du Manifest för att öppna API-manifestredigeraren.
Ange accessTokenAcceptedVersion egenskapen till 2.
Välj Spara.
Läs mer om principen om lägsta behörighet när du publicerar behörigheter för ett webb-API.
Lägga till approller
Ett API måste publicera minst en approll för program, även kallat Programbehörighet, för att klientapparna ska få en åtkomsttoken som sig själva. Programbehörigheter är den typ av behörigheter som API:er bör publicera när de vill att klientprogram ska kunna autentiseras som sig själva och inte behöver logga in användare. Följ dessa steg för att publicera en programbehörighet:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-ToDoList-api) för att öppna sidan Översikt.
Under Hantera väljer du Approller.
Välj Skapa approll och ange sedan följande värden och välj sedan Använd för att spara ändringarna:
| Property |
Värde |
| Visningsnamn |
ToDoList.Read.All |
| Tillåtna medlemstyper |
Appar |
| Värde |
ToDoList.Read.All |
| beskrivning |
Tillåt att appen läser alla användares ToDo-lista med hjälp av TodoListApi |
Välj Skapa approll igen och ange sedan följande värden för den andra approllen och välj sedan Använd för att spara ändringarna:
| Property |
Värde |
| Visningsnamn |
ToDoList.ReadWrite.All |
| Tillåtna medlemstyper |
Appar |
| Värde |
ToDoList.ReadWrite.All |
| beskrivning |
Tillåt att appen läser och skriver alla användares ToDo-lista med hjälp av ToDoListApi |
Registrera din skrivbords- eller mobilapp
Följande steg visar hur du registrerar din app i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj + Ny registrering.
På sidan Registrera ett program som visas anger du programmets registreringsinformation:
I avsnittet Namn anger du ett beskrivande programnamn som visas för användare av appen, till exempel ciam-client-app.
Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Under Omdirigerings-URI (valfritt) väljer du alternativet Mobil- och skrivbordsprogram och anger sedan en URI med ett unikt schema i rutan URL. Till exempel ser Electron Desktop-appens omdirigerings-URI ut ungefär http://localhost så länge som för ett .NET Multi-Platform App UI (MAUI) ser ut ungefär msal{ClientId}://authsom .
Välj Registrera.
Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.
Bevilja administratörsmedgivande
När du har registrerat ditt program tilldelas det behörigheten User.Read . Men eftersom klientorganisationen är en extern klientorganisation kan kundanvändarena själva inte samtycka till den här behörigheten. Du som administratör måste godkänna den här behörigheten för alla användare i klientorganisationen:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
Under Hantera väljer du API-behörigheter.
- Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
- Välj Uppdatera och kontrollera sedan att Beviljat för <ditt klientnamn> visas under Status för behörigheten.
Bevilja API-behörigheter (valfritt)
Om din mobilapp behöver anropa ett API måste du bevilja api-behörigheter för mobilappen så att den kan anropa API:et. Du måste också registrera webb-API :et som du behöver anropa.
Följ dessa steg för att ge klientappen (ciam-client-app) API-behörigheter:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
Under Hantera väljer du API-behörigheter.
Under Konfigurerade behörigheter väljer du Lägg till en behörighet.
Välj fliken API:er som min organisation använder .
I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.
Välj alternativet Delegerade behörigheter .
I behörighetslistan väljer du ToDoList.Read, ToDoList.ReadWrite (använd sökrutan om det behövs).
Välj knappen Lägg till behörigheter. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:
Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.
I listan Konfigurerade behörigheter väljer du behörigheterna ToDoList.Read och ToDoList.ReadWrite, en i taget, och kopierar sedan behörighetens fullständiga URI för senare användning. Den fullständiga behörighets-URI:n ser ut ungefär api://{clientId}/{ToDoList.Read} som eller api://{clientId}/{ToDoList.ReadWrite}.
Testa användarflödet (valfritt)
Om du vill testa ett användarflöde med den här appregistreringen aktiverar du implicit beviljandeflöde för autentisering.
Viktigt!
Det implicita flödet ska endast användas i testsyfte och inte för att autentisera användare i dina produktionsappar. När du är klar med testningen rekommenderar vi att du tar bort den.
Följ dessa steg för att aktivera det implicita flödet:
- Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
- Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
- Bläddra till Identitetsprogram>> Appregistreringar.
- Välj den appregistrering som du skapade.
- Under Hantera väljer du Autentisering.
- Under Implicit beviljande och hybridflöden markerar du kryssrutan ID-token (används för implicita flöden och hybridflöden).
- Välj Spara.
Registrera din Daemon-app
Följande steg visar hur du registrerar din daemon-app i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj + Ny registrering.
På sidan Registrera ett program som visas anger du programmets registreringsinformation:
I avsnittet Namn anger du ett beskrivande programnamn som ska visas för appens användare, till exempel ciam-client-app.
Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Välj Registrera.
Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.
Bevilja API-behörigheter
En daemonapp loggar in som sig själv med OAuth 2.0-klientens autentiseringsuppgifter. Du beviljar programbehörigheter (approller), vilket krävs av appar som autentiserar som sig själva. Du måste också registrera webb-API: et som din daemon-app behöver anropa.
På sidan Appregistreringar väljer du det program som du skapade, till exempel ciam-client-app.
Under Hantera väljer du API-behörigheter.
Under Konfigurerade behörigheter väljer du Lägg till en behörighet.
Välj fliken API:er som min organisation använder .
I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.
Välj alternativet Programbehörigheter . Vi väljer det här alternativet eftersom appen loggar in som sig själv, men inte för en användares räkning.
I behörighetslistan väljer du TodoList.Read.All, ToDoList.ReadWrite.All (använd sökrutan om det behövs).
Välj knappen Lägg till behörigheter.
Nu har du tilldelat behörigheterna korrekt. Men eftersom daemon-appen inte tillåter användare att interagera med den, kan användarna själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:
- Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
- Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda behörigheterna.
Testa användarflödet (valfritt)
Om du vill testa ett användarflöde med den här appregistreringen aktiverar du implicit beviljandeflöde för autentisering.
Viktigt!
Det implicita flödet ska endast användas i testsyfte och inte för att autentisera användare i dina produktionsappar. När du är klar med testningen rekommenderar vi att du tar bort den.
Följ dessa steg för att aktivera det implicita flödet:
- Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
- Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
- Bläddra till Identitetsprogram>> Appregistreringar.
- Välj den appregistrering som du skapade.
- Under Hantera väljer du Autentisering.
- Under Implicit beviljande och hybridflöden markerar du kryssrutan ID-token (används för implicita flöden och hybridflöden).
- Välj Spara.
Registrera ett Microsoft Graph API-program
För att ditt program ska kunna logga in användare med Microsoft Entra måste microsoft Entras externa ID informeras om det program som du skapar. Appregistreringen upprättar en förtroenderelation mellan appen och Microsoft Entra. När du registrerar ett program genererar externt ID en unik identifierare som kallas ett program-ID (klient)-ID, ett värde som används för att identifiera din app när du skapar autentiseringsbegäranden.
Följande steg visar hur du registrerar din app i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj + Ny registrering.
På sidan Registrera ett program som visas;
- Ange ett beskrivande programnamn som visas för appens användare, till exempel ciam-client-app.
- Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Välj Registrera.
Programmets översiktsfönster visas vid lyckad registrering. Registrera det program-ID (klient)-ID som ska användas i programmets källkod.
Bevilja API-åtkomst till ditt program
För att ditt program ska få åtkomst till data i Microsoft Graph API beviljar du det registrerade programmet relevanta programbehörigheter. De gällande behörigheterna för ditt program är den fullständiga behörighetsnivån som behörigheten innebär. Om du till exempel vill skapa, läsa, uppdatera och ta bort alla användare i den externa klientorganisationen lägger du till behörigheten User.ReadWrite.All.
Under Hantera väljer du API-behörigheter.
Under Konfigurerade behörigheter väljer du Lägg till en behörighet.
Välj fliken Microsoft API:er och välj sedan Microsoft Graph.
Välj Programbehörigheter.
Expandera lämplig behörighetsgrupp och markera kryssrutan för behörigheten som ska beviljas till hanteringsprogrammet. Till exempel:
User>User.ReadWrite.All: För scenarier för användarmigrering eller användarhantering.
Group>Group.ReadWrite.All: För att skapa grupper, läsa och uppdatera gruppmedlemskap och ta bort grupper.
AuditLog>AuditLog.Read.All: För att läsa katalogens granskningsloggar.
Policy>Policy.ReadWrite.TrustFramework: För scenarier med kontinuerlig integrering/kontinuerlig leverans (CI/CD). Till exempel distribution av anpassad princip med Azure Pipelines.
Välj Lägg till behörigheter. Vänta några minuter innan du fortsätter till nästa steg.
Välj Bevilja administratörsmedgivande för (ditt klientnamn).
Om du inte är inloggad för tillfället loggar du in med ett konto i den externa klientorganisationen som har tilldelats rollen som molnprogramadministratör och väljer sedan Bevilja administratörsmedgivande för (ditt klientnamn).
Välj Uppdatera och kontrollera sedan att "Beviljas för ..." visas under Status. Det kan ta några minuter innan behörigheterna sprids.
När du har registrerat ditt program måste du lägga till en klienthemlighet i ditt program. Den här klienthemligheten används för att autentisera ditt program för att anropa Microsoft Graph API.
Skapa en klienthemlighet
Skapa en klienthemlighet för det registrerade programmet. Programmet använder klienthemligheten för att bevisa sin identitet när den begär token.
- På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
- Under Hantera väljer du Certifikat och hemligheter.
- Välj Ny klienthemlighet.
- I rutan Beskrivning anger du en beskrivning av klienthemligheten (till exempel ciam-appklienthemlighet).
- Under Upphör att gälla väljer du en varaktighet för vilken hemligheten är giltig (enligt organisationens säkerhetsregler) och väljer sedan Lägg till.
- Registrera hemlighetens värde. Du använder det här värdet för konfiguration i ett senare steg. Det hemliga värdet visas inte igen och kan inte hämtas på något sätt när du har navigerat bort från certifikaten och hemligheterna. Se till att du registrerar den.
Testa användarflödet (valfritt)
Om du vill testa ett användarflöde med den här appregistreringen aktiverar du implicit beviljandeflöde för autentisering.
Viktigt!
Det implicita flödet ska endast användas i testsyfte och inte för att autentisera användare i dina produktionsappar. När du är klar med testningen rekommenderar vi att du tar bort den.
Följ dessa steg för att aktivera det implicita flödet:
- Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
- Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
- Bläddra till Identitetsprogram>> Appregistreringar.
- Välj den appregistrering som du skapade.
- Under Hantera väljer du Autentisering.
- Under Implicit beviljande och hybridflöden markerar du kryssrutan ID-token (används för implicita flöden och hybridflöden).
- Välj Spara.
Registrera ett internt autentiseringsprogram
För att ditt program ska kunna logga in användare med Microsoft Entra måste microsoft Entras externa ID informeras om det program som du skapar. Appregistreringen upprättar en förtroenderelation mellan appen och Microsoft Entra. När du registrerar ett program genererar externt ID en unik identifierare som kallas ett program-ID (klient)-ID, ett värde som används för att identifiera din app när du skapar autentiseringsbegäranden.
Följande steg visar hur du registrerar din app i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till din externa klient från menyn Kataloger + prenumerationer.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj + Ny registrering.
På sidan Registrera ett program som visas;
- Ange ett beskrivande programnamn som visas för appens användare, till exempel ciam-client-app.
- Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.
Välj Registrera.
Programmets översiktsfönster visas vid lyckad registrering. Registrera det program-ID (klient)-ID som ska användas i programmets källkod.
Bevilja administratörsmedgivande
När du har registrerat ditt program tilldelas det behörigheten User.Read . Men eftersom klientorganisationen är en extern klientorganisation kan kundanvändarena själva inte samtycka till den här behörigheten. Du som administratör måste godkänna den här behörigheten för alla användare i klientorganisationen:
På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
Under Hantera väljer du API-behörigheter.
- Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
- Välj Uppdatera och kontrollera sedan att Beviljat för <ditt klientnamn> visas under Status för behörigheten.
Aktivera offentliga klient- och interna autentiseringsflöden
Om du vill ange att den här appen är en offentlig klient och kan använda intern autentisering aktiverar du offentliga klient- och inbyggda autentiseringsflöden:
- På sidan appregistreringar väljer du den appregistrering som du vill aktivera offentliga klient- och inbyggda autentiseringsflöden för.
- Under Hantera väljer du Autentisering.
- Under Avancerade inställningar tillåter du offentliga klientflöden:
- För Aktivera följande mobil- och skrivbordsflöden väljer du Ja.
- För Aktivera intern autentisering väljer du Ja.
- Välj knappen Spara .
När du har registrerat ett nytt program kan du hitta program-ID:t (klient)i översikten i administrationscentret för Microsoft Entra.
Personalklientorganisationer 
Externa klienter (läs mer)
