Sdílet prostřednictvím

Desktopová aplikace, která volá webová rozhraní API: Registrace aplikace

  • Článek

platí pro: zelený kruh se symbolem bílého zaškrtnutí. uživatelé z pracovního prostředí bílý kruh se symbolem šedého X.externí uživatelé (další informace)

Tento článek popisuje specifika registrace aplikací pro desktopovou aplikaci.

Typy podporovaných účtů

Typy účtů podporované v desktopové aplikaci závisí na funkcích, které chcete aktivovat. Vzhledem k tomuto vztahu závisí podporované typy účtů na tocích, které chcete použít.

Cílová skupina pro interaktivní získávání tokenů

Pokud vaše desktopová aplikace používá interaktivní ověřování, můžete uživatele přihlásit z libovolného typu účtu.

Cílová skupina pro tiché toky desktopové aplikace

  • Pokud chce vaše aplikace použít integrované ověřování systému Windows nebo uživatelské jméno a heslo, musí přihlásit uživatele ve vašem vlastním prostředí (tenantovi), například pokud jste vývojářem podnikových aplikací. Nebo v organizacích Microsoft Entra musí vaše aplikace přihlašovat uživatele ve vašem vlastním tenantovi, pokud se jedná o scénář ISV (nezávislých výrobců softwaru). Tyto toky ověřování nejsou podporované pro osobní účty Microsoft.
  • Pokud přihlašujete uživatele se sociálními identitami, které předávají autoritu a zásady obchodování B2C, můžete použít pouze interaktivní ověřování a ověřování pomocí uživatelského jména a hesla.

URI pro přesměrování

Identifikátory URI pro přesměrování, které se mají v desktopové aplikaci použít, závisí na toku, který chcete použít.

Zadáním identifikátoru URI přesměrování pro vaši aplikaci nakonfigurujte nastavení platformy pro aplikaci v Registrace aplikací v Centru pro správu Microsoft Entra.

  • U aplikací, které používají Správce webového ověřování (WAM), nemusí být adresy URI pro přesměrování nakonfigurované v knihovně MSAL, ale musí být nakonfigurované v registraci aplikace.

  • Pro aplikace, které používají interaktivní ověřování:

    • Aplikace, které používají vložené prohlížeče: https://login.microsoftonline.com/common/oauth2/nativeclient (Poznámka: Pokud by se v aplikaci zobrazilo okno, které obvykle neobsahuje žádný adresní řádek, používá se "vložený prohlížeč".)
    • Aplikace, které používají systémové prohlížeče: (Poznámka: pokud vaše aplikace otevírá výchozí prohlížeč systému, jako je Edge, Chrome, Firefox atd., abyste navštívili přihlašovací portál Microsoftu, pak používá "systémový prohlížeč".)

    Důležité

    Osvědčeným postupem zabezpečení je explicitně nastavit https://login.microsoftonline.com/common/oauth2/nativeclient nebo http://localhost jako URI přesměrování. Některé knihovny ověřování, jako je MSAL.NET, používají výchozí hodnotu urn:ietf:wg:oauth:2.0:oob , pokud není zadán žádný jiný identifikátor URI přesměrování, který se nedoporučuje. Toto výchozí nastavení se aktualizuje jako zásadní změna v příští hlavní verzi.

  • Pokud vytvoříte nativní aplikaci Objective-C nebo Swift pro macOS, zaregistrujte identifikátor URI přesměrování na základě identifikátoru sady vaší aplikace v následujícím formátu: msauth.<your.app.bundle.id>://auth Nahraďte <your.app.bundle.id> identifikátorem sady vaší aplikace.

  • Pokud sestavíte aplikaci v Node.js Electron, použijte vlastní protokol s řetězcem namísto běžného webového URI pro přesměrování (https://) pro zpracování kroku přesměrování v rámci toku autorizace, například msal{Your_Application/Client_Id}://auth (například msal00001111-aaaa-2222-bbbb-3333cccc4444://auth). Název vlastního řetězcového protokolu by neměl být pro odhad zřejmé a měl by postupovat podle návrhů ve specifikaci OAuth2.0 pro nativní aplikace.

  • Pokud vaše aplikace používá jenom integrované ověřování systému Windows nebo uživatelské jméno a heslo, nemusíte pro svou aplikaci URI přesměrování registrovat. Tyto toky prodělají zpáteční cestu ke koncovému bodu Microsoft Identity Platform v2.0. Vaše aplikace nebude zpětně volána na žádný konkrétní identifikátor URI.

  • Aby bylo možné rozlišit tok kódu zařízení, integrovanou autentizaci Windows a uživatelské jméno a heslo od důvěrné klientské aplikace využívající tok přihlašovacích údajů klienta používaný v démonických aplikacích, z nichž žádný nevyžaduje identifikátor URI pro přesměrování, nakonfigurujte ho jako veřejnou klientskou aplikaci. K dosažení této konfigurace:

    1. V Centru pro správu Microsoft Entra vyberte aplikaci v Registrace aplikací a pak vyberte Ověřování.

    2. V Upřesněných nastaveních>povolit toky veřejného klienta> a povolit následující mobilní a desktopové toky, vyberte Ano.

      Povolení nastavení veřejného klienta v podokně Ověřování na webu Azure Portal

Oprávnění rozhraní API

Desktopové aplikace používají rozhraní API pro přihlášeného uživatele. Musí požádat o delegovaná oprávnění. Nemohou požadovat oprávnění aplikací, která se zpracovávají pouze v aplikacích démonů.

Další kroky

Přejděte k dalšímu článku v tomto scénáři– konfigurace kódu aplikace.