Megosztás a következőn keresztül:

Rövid útmutató: Alkalmazás regisztrálása a Microsoft Entra-azonosítóban

  • Cikk

Ebben a rövid útmutatóban megtudhatja, hogyan regisztrálhat alkalmazásokat a Microsoft Entra ID-ban. Ez a folyamat elengedhetetlen az alkalmazás és a Microsoft identitásplatformja közötti megbízhatósági kapcsolat létrehozásához. A rövid útmutató végrehajtásával engedélyezheti az identitás- és hozzáférés-kezelést (IAM) az alkalmazás számára, így biztonságosan kezelheti a Microsoft-szolgáltatásokat és API-kat.

Előfeltételek

  • Aktív előfizetéssel rendelkező Azure-fiók. Fiók ingyenes létrehozása.
  • Az Azure-fióknak legalábbalkalmazásfejlesztői szinten kell lennie.
  • Munkaerő vagy külső bérlő. Ehhez a gyors kezdéshez használhatja a Címtár: alapértelmezett . Ha külső bérlőre van szüksége, végezze el a külső bérlőibeállítását.

Egy alkalmazás regisztrálása

Az alkalmazás Microsoft Entra-ban való regisztrálása megbízhatósági kapcsolatot hoz létre az alkalmazás és a Microsoft identitásplatformja között. A megbízhatóság egyirányú. Az alkalmazás megbízik a Microsoft identitásplatformjában, és nem fordítva. A létrehozás után az alkalmazásobjektum nem helyezhető át a különböző bérlők között.

Kövesse az alábbi lépéseket az alkalmazásregisztráció létrehozásához:

  1. Jelentkezz be az Microsoft Entra felügyeleti központba mint legalább egy alkalmazásfejlesztő.

  2. Ha több bérlőhöz van hozzáférése, a felső menü Beállítások ikon használatával válthat arra a bérlőre, amelyben regisztrálni szeretné az alkalmazást.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk és válassza az Új regisztráció lehetőséget.

  4. Adjon meg egy kifejező név, például identity-client-app. Az alkalmazás felhasználói láthatják ezt a nevet, és bármikor módosíthatók. Több, azonos nevű alkalmazásregisztráció is lehet.

  5. A Támogatott fióktípusokterületen adja meg, hogy ki használhatja az alkalmazást. Javasoljuk, hogy a szervezeti címtárban csak fiókokat válassza a legtöbb alkalmazáshoz. Az egyes lehetőségekről az alábbi táblázatban talál további információt.

    Támogatott fióktípusok Leírás
    Csak az ebben a szervezeti címtárban található fiókok Egybérlős alkalmazások, amelyeket csak a bérlő felhasználói (vagy vendégei) használhatnak.
    Tetszőleges szervezeti címtárban található fiókok Több bérlős alkalmazásokhoz, és azt szeretné, hogy bármelyik Microsoft Entra-bérlő felhasználói tudják használni az alkalmazást. Ideális olyan szolgáltatott szoftveres (SaaS-) alkalmazásokhoz, amelyeket több szervezetnek szeretne biztosítani.
    Tetszőleges szervezeti címtárban található fiókok és személyes Microsoft-fiókok vállalati és személyes Microsoft-fiókokat (például Skype, Xbox, Live, Hotmail) támogató több- alkalmazásokhoz.
    Személyes Microsoft-fiókok Csak személyes Microsoft-fiókok (például Skype, Xbox, Live, Hotmail) által használt alkalmazások esetén.

  6. Az alkalmazásregisztráció befejezéséhez válassza a Regisztráció lehetőséget.

    Képernyőkép a Microsoft Entra Felügyeleti központról egy webböngészőben, amelyen az Alkalmazás regisztrálása panel látható.

  7. Megjelenik az alkalmazás Áttekintés lapja. Jegyezze fel az alkalmazás (ügyfél) azonosítóját, amely egyedileg azonosítja az alkalmazást, és az alkalmazás kódjában használatos a Microsoft identitásplatformtól kapott biztonsági jogkivonatok érvényesítése részeként.

    Képernyőkép a Microsoft Entra felügyeleti központról egy webböngészőben, amelyen egy alkalmazásregisztráció Áttekintés panelje látható.

Fontos

Az új alkalmazásregisztrációk alapértelmezés szerint rejtettek a felhasználók számára. Ha készen áll arra, hogy a felhasználók lássák az alkalmazást a Saját alkalmazások lapon, engedélyezheti azt. Az alkalmazás engedélyezéséhez a Microsoft Entra Felügyeleti központban lépjen az Identitás>Alkalmazások>Vállalati alkalmazások opcióra, és válassza ki az alkalmazást. Ezután a Tulajdonságok lapon állítsa a látható a felhasználók számára? mezőt Igenértékre.

Miután regisztrálta az alkalmazást, hozzá lesz rendelve a User.Read engedély. Külső bérlők esetében azonban maguk az ügyfélfelhasználók nem járulhatnak hozzá ehhez az engedélyhez. Önnek, mint rendszergazdának hozzá kell adnia ezt az engedélyt a bérlő összes felhasználója nevében:

  1. Az alkalmazásregisztráció Áttekintés lapján, a Kezelés területen válassza API-engedélyeket.
  2. Válassza Rendszergazdai hozzájárulás megadása < bérlőnévhez >, majd válassza Igenlehetőséget.
  3. Válassza a Frissítéslehetőséget, majd ellenőrizze, hogy < bérlőnévhez megadott > megjelenik-e az engedély Állapot alatt.

Átirányítási URI hozzáadása

Az átirányítási URI az a hely, ahová a Microsoft identitásplatformja biztonsági jogkivonatokat küld a hitelesítés után. Az átirányítási URI-kat a Microsoft Entra felügyeleti központban platformkonfigurációkban konfigurálhatja. A webes és egyoldalas alkalmazásokesetén manuálisan kell megadnia egy átirányítási URI-t. A Mobil- és asztali platformok esetében a létrehozott átirányítási URI-k közül választhat. A beállítások célplatform vagy eszköz alapján történő konfigurálásához kövesse az alábbi lépéseket:

  1. A Microsoft Entra Felügyeleti központban, az Alkalmazásregisztrációk alatt válassza ki az alkalmazását.

  2. A Kezelés területen válassza a Hitelesítés lehetőséget.

  3. A Platformkonfigurációk területen válassza a Platform hozzáadása lehetőséget.

  4. A Platformok konfigurálása területen válassza ki az alkalmazástípushoz (platformhoz) tartozó csempét a beállítások konfigurálásához.

    Képernyőkép az Azure Portal platformkonfigurációs paneljéről.

    Platform Konfigurációs beállítások Példa
    Web Adja meg egy kiszolgálón futó webalkalmazás átirányítási URI-ját. Az előtérbeli csatorna bejelentkezési URL-címei is hozzáadhatók Node.js:
    http://localhost:3000/auth/redirect
    ASP.NET Core:
    https://localhost:7274/signin-oidc
    https://localhost:7274/signout-callback-oidc (előtérbeli kijelentkezés URL-címe)
    Piton:
    http://localhost:3000/getAToken
    Egyoldalas alkalmazás Adjon meg egy átirányítási URI-t JavaScript-, Angular- React.jsvagy Blazor WebAssembly-t használó kliens oldali alkalmazásokhoz. Az előtérbeli csatorna bejelentkezési URL-címei is hozzáadhatók JavaScript, React:
    http://localhost:3000
    Szögletes:
    http://localhost:4200/
    iOS/macOS Adja meg az alkalmazás csomagazonosítóját, amely átirányítási URI-t hoz létre Önnek. Keresse meg a buildbeállításokban vagy az Xcode-ban az Info.plistben.
    Munkaerő-bérlő:
    com.<yourname>.identitysample.MSALMacOS
    Külső bérlő:
    com.microsoft.identitysample.ciam.MSALiOS
    Android Adja meg az alkalmazás Csomag nevét, amely átirányítási URI-t hoz létre Önnek. Keresse meg a AndroidManifest.xml fájlban. Emellett hozza létre és írja be az Aláírás kivonatot. Kotlin:
    com.azuresamples.msaldelegatedandroidkotlinsampleapp
    .NET MAUI:
    msal{CLIENT_ID}://auth
    Jáva:
    com.azuresamples.msalandroidapp
    Mobil- és asztali alkalmazások Válassza ezt a platformot asztali alkalmazásokhoz vagy MSAL-t vagy közvetítőt nem használó mobilalkalmazásokhoz. Válasszon egy javasolt átirányítási URI-, vagy adjon meg egy vagy több egyéni átirányítási URI-t Beágyazott böngésző asztali alkalmazás:
    https://login.microsoftonline.com/common/oauth2/nativeclient
    Asztali rendszerböngésző alkalmazás:
    http://localhost

  5. Válassza a Konfigurálás lehetőséget a platformkonfiguráció befejezéséhez.

Átirányítási URI-korlátozások

Bizonyos korlátozások vonatkoznak az alkalmazásregisztrációhoz hozzáadott átirányítási URI-k formátumára. A korlátozásokkal kapcsolatos részletekért lásd : Átirányítási URI (válasz URL-cím) korlátozásai és korlátozásai.

Hitelesítő adatok hozzáadása

Az alkalmazások regisztrálása után tanúsítványokat, ügyfélkulcsokat (sztringet) vagy összevont identitási hitelesítő adatokat adhat hozzá hitelesítő adatokként a bizalmas ügyfélalkalmazás-regisztrációhoz. A hitelesítő adatok lehetővé teszik, hogy az alkalmazás önmagában hitelesítse magát, és nem igényel beavatkozást egy felhasználótól futásidőben, és olyan bizalmas ügyfélalkalmazások használják,, amelyek hozzáférnek egy webes API-hoz.

Képernyőkép a Microsoft Entra Felügyeleti központról, amelyen egy alkalmazásregisztráció Tanúsítványai és titkos kulcsok panelje látható.

Néha nyilvános kulcsnak is nevezik, a tanúsítvány az ajánlott hitelesítőadat-típus, mivel biztonságosabbnak minősülnek, mint az ügyfél titkos kulcsai.

  1. A(z) Microsoft Entra felügyeleti központban az Alkalmazásregisztrációk részben válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok és titkok>Tanúsítványok>Tanúsítvány feltöltése lehetőséget.
  3. Válassza ki a feltölteni kívánt fájlt. Az alábbi fájltípusok egyikének kell lennie: .cer, .pem, .crt.
  4. Válassza a Hozzáadás lehetőséget.

Éles környezetben egy jól ismert hitelesítésszolgáltató (CA) által aláírt tanúsítványt kell használnia, például Azure Key Vault. A tanúsítvány hitelesítési módszerként való alkalmazással kapcsolatos további információkért lásd Microsoft Identitásplatform alkalmazáshitelesítési tanúsítvány hitelesítő adatait.

Következő lépés

Az alkalmazás regisztrálása után konfigurálhatja úgy, hogy egy webes API-t tegyen elérhetővé. A hogyanok megismeréséhez tekintse meg a következőt:

Alkalmazás konfigurálása webes API-k közzétételéhez