ลงทะเบียนแอปพลิเคชัน

เสร็จสมบูรณ์เมื่อ

การลงทะเบียนแอปพลิเคชันจะสร้างความสัมพันธ์ที่เชื่อถือได้ระหว่างแอปของคุณและแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ความน่าเชื่อถือเป็นสองทิศทาง: แอปของคุณเชื่อถือแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ไม่ใช่ในทางกลับกัน

  1. ลงชื่อเข้าใช้ ศูนย์การจัดการ Microsoft Entra โดยใช้บัญชีผู้ดูแลระบบ

  2. เปิดเมนูพอร์ทัลจากนั้นเลือกข้อมูลประจําตัว

  3. บนเมนู ข้อมูลประจําตัว ภายใต้ แอปพลิเคชัน เลือก การลงทะเบียนแอป

  4. บนหน้า การลงทะเบียนแอป บนเมนู ให้เลือก+ การลงทะเบียนใหม่

  5. ในกล่องโต้ตอบ ลงทะเบียนแอปพลิเคชัน ให้ลงทะเบียนแอปที่ชื่อ การสาธิต โดยใช้ค่าเริ่มต้น คุณไม่จําเป็นต้องใส่ URI เปลี่ยนเส้นทาง

    สกรีนช็อตของหน้าจอลงทะเบียนแอปพลิเคชันด้วยชื่อและการตั้งค่าเริ่มต้นที่ถูกเน้น

  6. เมื่อเสร็จสิ้น คุณจะถูกนําไปยังหน้าจอการสาธิตแอป

เพิ่มการเปลี่ยนเส้นทาง URI

การเปลี่ยนเส้นทาง URI คือตําแหน่งที่ตั้งที่แพลตฟอร์มข้อมูลประจําตัวของ Microsoft เปลี่ยนเส้นทางไคลเอ็นต์ของผู้ใช้และส่งโทเค็นความปลอดภัยหลังจากการรับรองความถูกต้อง ในแอปพลิเคชันเว็บที่ผลิต ตัวอย่างเช่น URI เปลี่ยนเส้นทางมักจะเป็นจุดสิ้นสุดสาธารณะที่แอปของคุณกําลังทํางานอยู่ ในระหว่างการพัฒนา เป็นเรื่องปกติที่จะเพิ่มจุดสิ้นสุดที่คุณเรียกใช้แอปภายในเครื่องของคุณ

เพิ่มและปรับเปลี่ยนการเปลี่ยนเส้นทาง URI สําหรับแอปพลิเคชันที่ลงทะเบียนไว้โดยการกําหนดค่าการตั้งค่าแพลตฟอร์ม

กําหนดค่าการตั้งค่าแพลตฟอร์ม

การตั้งค่าสําหรับแอปพลิเคชันแต่ละประเภท รวมถึงการเปลี่ยนเส้นทาง URI จะได้รับการกําหนดค่าใน การกําหนดค่าแพลตฟอร์ม ในพอร์ทัล Azure บางแพลตฟอร์ม เช่น เว็บ และ แอปพลิเคชันแบบหน้าเดียว คุณจําเป็นต้องระบุ URI เปลี่ยนเส้นทางด้วยตนเอง สําหรับแพลตฟอร์มอื่น ๆ เช่น อุปกรณ์เคลื่อนที่และเดสก์ท็อป คุณสามารถเลือกจาก URI เปลี่ยนเส้นทางที่สร้างขึ้นสําหรับคุณเมื่อคุณกําหนดค่าการตั้งค่าอื่น ๆ ได้

วิธีการกําหนดค่าการตั้งค่าแอปพลิเคชันตามแพลตฟอร์มหรืออุปกรณ์ที่คุณกําหนดเป้าหมาย:

  1. เลือกแอปพลิเคชันของคุณใน การลงทะเบียนแอป ในพอร์ทัล Azure

  2. ภายใต้ จัดการ ให้เลือก การรับรองความถูกต้อง

  3. ภายใต้ การกําหนดค่าแพลตฟอร์มให้เลือก เพิ่มแพลตฟอร์ม

  4. ใน กําหนดค่าแพลตฟอร์ม เลือกไทล์สําหรับประเภทแอปพลิเคชัน (แพลตฟอร์ม) ของคุณเพื่อกําหนดค่าการตั้งค่า

    สกรีนช็อตของบานหน้าต่างการกําหนดค่าแพลตฟอร์มในศูนย์การจัดการ Microsoft Entra

    แพลตฟอร์ม การกําหนดค่า
    เว็บ ใส่ เปลี่ยนเส้นทาง URI สําหรับแอปของคุณ ตําแหน่งที่แพลตฟอร์มข้อมูลประจําตัวของ Microsoft เปลี่ยนเส้นทางไคลเอ็นต์ของผู้ใช้ และส่งโทเค็นความปลอดภัยหลังจากการรับรองความถูกต้อง เลือกแพลตฟอร์มนี้สําหรับเว็บแอปพลิเคชันมาตรฐานที่เรียกใช้บนเซิร์ฟเวอร์
    แอปพลิเคชันแบบหน้าเดียว ใส่ เปลี่ยนเส้นทาง URI สําหรับแอปของคุณ ตําแหน่งที่แพลตฟอร์มข้อมูลประจําตัวของ Microsoft เปลี่ยนเส้นทางไคลเอ็นต์ของผู้ใช้ และส่งโทเค็นความปลอดภัยหลังจากการรับรองความถูกต้อง เลือกแพลตฟอร์มนี้ถ้าคุณกําลังสร้างเว็บแอปฝั่งไคลเอ็นต์ใน JavaScript หรือด้วยเฟรมเวิร์กเช่น Angular, Vue.js, React.jsหรือ Blazor WebAssembly
    iOS/macOS ป้อน app Bundle ID ที่พบใน XCode ใน Info.plist หรือสร้างการตั้งค่าการเปลี่ยนเส้นทาง URI จะถูกสร้างขึ้นสําหรับคุณเมื่อคุณระบุ ID Bundle
    แอนดรอยด์ ใส่ แอปชื่อแพคเกจ ซึ่งคุณสามารถค้นหาในไฟล์ AndroidManifest.xml และสร้าง และใส่ แฮชลายเซ็น URI เปลี่ยนเส้นทางจะถูกสร้างขึ้นสําหรับคุณเมื่อคุณระบุการตั้งค่าเหล่านี้
    แอปพลิเคชันสําหรับอุปกรณ์เคลื่อนที่และเดสก์ท็อป เลือก URI เปลี่ยนเส้นทางที่แนะนํา รายการใดรายการหนึ่ง หรือระบุ URI การเปลี่ยนเส้นทางแบบกําหนดเอง สําหรับแอปพลิเคชันบนเดสก์ท็อป เราขอแนะนํา:https://login.microsoftonline.com/common/oauth2/nativeclient เลือกแพลตฟอร์มนี้สําหรับแอปพลิเคชันสําหรับอุปกรณ์เคลื่อนที่ที่ไม่ได้ใช้ไลบรารีการรับรองความถูกต้องของ Microsoft (MSAL) ล่าสุดหรือไม่ได้ใช้โบรกเกอร์ นอกจากนี้ยังเลือกแพลตฟอร์มนี้สําหรับแอปพลิเคชันบนเดสก์ท็อป
  5. เลือก กําหนดค่า เพื่อดําเนินการกําหนดค่าแพลตฟอร์มให้เสร็จสมบูรณ์

เพิ่มข้อมูลประจำตัว

ข้อมูลประจําตัวถูกใช้โดยแอปพลิเคชันไคลเอ็นต์ที่เป็นความลับที่เข้าถึง API ของเว็บ ตัวอย่างของไคลเอ็นต์ที่เป็นความลับได้แก่ เว็บแอป API เว็บอื่นๆ และแอปพลิเคชันชนิดบริการและแอปพลิเคชันชนิด daemon ข้อมูลประจําตัวอนุญาตให้แอปพลิเคชันของคุณรับรองความถูกต้องเนื่องจากไม่ต้องมีการโต้ตอบจากผู้ใช้ในขณะทํางาน

คุณสามารถเพิ่มทั้งใบรับรองและข้อมูลลับไคลเอ็นต์ (สตริง) เป็นข้อมูลประจําตัวในการลงทะเบียนแอปไคลเอ็นต์ที่เป็นความลับของคุณ

ภาพหน้าจอของพอร์ทัล Azure ที่แสดงบานหน้าต่างใบรับรองและความลับในการลงทะเบียนแอป

เพิ่มใบรับรอง

บางครั้งเรียกว่า คีย์สาธารณะ ใบรับรองเป็นชนิดข้อมูลประจําตัวที่แนะนําเนื่องจากให้การรับประกันระดับที่สูงกว่าความลับของไคลเอ็นต์ เมื่อใช้ใบรับรองสาธารณะที่เชื่อถือได้ คุณสามารถเพิ่มใบรับรองโดยใช้คุณลักษณะ ใบรับรองและข้อมูลลับ ใบรับรองของคุณต้องเป็นชนิดแฟ้มชนิดใดชนิดหนึ่งต่อไปนี้: .cer, , .pem.crt

เพิ่มข้อมูลลับไคลเอ็นต์

ข้อมูลลับไคลเอ็นต์หรือที่เรียกว่า รหัสผ่านแอปพลิเคชันคือค่าสตริงที่แอปของคุณสามารถใช้แทนใบรับรองเพื่อข้อมูลประจําตัว ซึ่งง่ายต่อการใช้ข้อมูลประจําตัวสองชนิด ซึ่งมักจะใช้ในระหว่างการพัฒนา แต่ถือว่ามีความปลอดภัยน้อยกว่าใบรับรอง คุณควรใช้ใบรับรองในแอปพลิเคชันของคุณที่กําลังทํางานในการผลิต

  1. เลือกแอปพลิเคชันของคุณใน การลงทะเบียนแอป ในพอร์ทัล Azure
  2. เลือก ใบรับรองและข้อมูลลับ จากนั้นเลือก ข้อมูลลับของไคลเอ็นต์ใหม่
  3. เพิ่มคําอธิบายสําหรับข้อมูลลับไคลเอ็นต์ของคุณ
  4. เลือกระยะเวลา
  5. เลือก เพิ่ม
  6. บันทึกค่าข้อมูลลับ สําหรับใช้ในรหัสแอปพลิเคชันไคลเอ็นต์ของคุณ ซึ่ง จะไม่แสดงอีก หลังจากที่คุณออกจากหน้านี้

ลงทะเบียน API เว็บ

หากต้องการให้การเข้าถึงแหล่งข้อมูลใน API เว็บของคุณมีขอบเขต คุณต้องลงทะเบียน API ด้วยแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ก่อน

  1. ทําตามขั้นตอนข้างต้น
  2. ข้ามส่วนเพิ่มการเปลี่ยนเส้นทาง URI และกําหนดค่าการตั้งค่าแพลตฟอร์ม คุณไม่จําเป็นต้องกําหนดค่า URI เปลี่ยนเส้นทางสําหรับ API เว็บเนื่องจากไม่มีผู้ใช้ที่เข้าสู่ระบบแบบโต้ตอบ
  3. ข้ามส่วน เพิ่มข้อมูลประจําตัว สําหรับตอนนี้ เฉพาะในกรณีที่ API ของคุณเข้าถึง API ปลายทางจะต้องมีข้อมูลประจําตัวของตนเอง — สถานการณ์ที่ไม่ครอบคลุมในบทความนี้

เมื่อลงทะเบียน API เว็บของคุณแล้ว คุณก็พร้อมที่จะเพิ่มขอบเขตที่โค้ด API ของคุณสามารถใช้เพื่อให้สิทธิ์ที่แยกย่อยแก่ผู้บริโภค API ของคุณ

เพิ่มขอบเขต

โค้ดในแอปพลิเคชันไคลเอ็นต์ร้องขอสิทธิ์ในการดําเนินการที่กําหนดโดย API เว็บของคุณโดยผ่านโทเค็นการเข้าถึงพร้อมกับคําขอไปยังทรัพยากรที่ได้รับการป้องกัน (API เว็บ) API เว็บของคุณจะดําเนินการตามที่ร้องขอก็ต่อเมื่อโทเค็นการเข้าถึงที่ได้รับประกอบด้วยขอบเขต (หรือที่เรียกว่าสิทธิ์แอปพลิเคชัน) ที่จําเป็นสําหรับการดําเนินการ

ขั้นแรก ให้ทําตามขั้นตอนเหล่านี้เพื่อสร้างขอบเขตตัวอย่างที่ชื่อว่า Employees.Read.All:

  1. ลงชื่อเข้าใช้พอร์ทัล Azure

  2. ถ้าคุณสามารถเข้าถึงผู้เช่าหลายราย ให้ใช้ตัวกรอง ไดเรกทอรี + การสมัครใช้งาน ในเมนูด้านบนเพื่อเลือกผู้เช่าที่ประกอบด้วยการลงทะเบียนของแอปไคลเอ็นต์ของคุณ

  3. เลือก Id Microsoft Entra แล้วเลือก การลงทะเบียนแอป จากนั้นเลือกการลงทะเบียนแอปของ API ของคุณ

  4. เลือก เปิด API จากนั้นเพิ่มขอบเขต

    สกรีนช็อตของการลงทะเบียนแอปแสดงบานหน้าต่าง API ในศูนย์การจัดการ Microsoft Entra

  5. คุณได้รับพร้อมท์ให้ตั้งค่า URI ID แอปพลิเคชัน ถ้าคุณยังไม่ได้กําหนดค่า URI ของ App ID ทําหน้าที่เป็นคํานําหน้าสําหรับขอบเขตที่คุณจะอ้างอิงในรหัสของ API ของคุณ และจะต้องเป็นค่าเฉพาะทั่วโลก คุณสามารถใช้ค่าเริ่มต้นที่ให้ไว้ ซึ่งอยู่ในฟอร์ม api:// หรือระบุ URI ที่อ่านได้มากขึ้น เช่นhttps://contoso.com/api

  6. ถัดไป ระบุแอตทริบิวต์ของขอบเขตในบานหน้าต่าง เพิ่มขอบเขต สําหรับการฝึกทําตามนี้ คุณสามารถใช้ค่าตัวอย่างหรือระบุของคุณเองได้

    สนาม คำอธิบาย: ตัวอย่าง
    ชื่อขอบเขต ชื่อของขอบเขตของคุณ แบบแผนการตั้งชื่อขอบเขตทั่วไปคือ resource.operation.constraint Employees.Read.All
    ใครสามารถให้ความยินยอม ผู้ดูแลระบบเลือกว่าขอบเขตนี้สามารถให้ความยินยอมโดยผู้ใช้หรือถ้าจําเป็นต้องได้รับความยินยอมจากผู้ดูแลระบบ เลือกผู้ดูแลระบบสําหรับสิทธิ์ที่มีสิทธิ์สูงกว่าเท่านั้น ผู้ดูแลระบบและผู้ใช้
    ชื่อที่แสดงของความยินยอมของผู้ดูแลระบบ คําอธิบายสั้น ๆ ของวัตถุประสงค์ของขอบเขตที่ผู้ดูแลระบบเท่านั้นจะเห็น เข้าถึงเรกคอร์ดพนักงานแบบอ่านอย่างเดียว
    คำอธิบายความยินยอมของผู้ดูแลระบบ คําอธิบายโดยละเอียดเพิ่มเติมของสิทธิ์ที่มอบให้โดยขอบเขตที่ผู้ดูแลระบบเท่านั้นจะเห็น อนุญาตให้แอปพลิเคชันมีสิทธิ์เข้าถึงข้อมูลพนักงานทั้งหมดแบบอ่านอย่างเดียว
    ชื่อที่แสดงความยินยอมของผู้ใช้ คําอธิบายสั้นๆ เกี่ยวกับวัตถุประสงค์ของขอบเขต แสดงให้ผู้ใช้เห็นเฉพาะเมื่อคุณตั้งค่า ผู้ที่สามารถยินยอมให้ผู้ดูแลระบบและผู้ใช้เห็นเท่านั้น เข้าถึงเรกคอร์ดพนักงานของคุณแบบอ่านอย่างเดียว
    คําอธิบายความยินยอมของผู้ใช้ คําอธิบายโดยละเอียดเพิ่มเติมของสิทธิ์ที่มอบให้โดยขอบเขต แสดงให้ผู้ใช้เห็นเฉพาะเมื่อคุณตั้งค่า ผู้ที่สามารถยินยอมให้ผู้ดูแลระบบและผู้ใช้เห็นเท่านั้น อนุญาตให้แอปพลิเคชันมีสิทธิ์เข้าถึงข้อมูลพนักงานของคุณแบบอ่านอย่างเดียว
  7. ตั้งค่า รัฐ ของ เป็น ที่เปิดใช้งานจากนั้นเลือก เพิ่มขอบเขต

  8. (ไม่บังคับ) ในการระงับการพร้อมท์เพื่อขอความยินยอมจากผู้ใช้แอปของคุณไปยังขอบเขตที่คุณกําหนด ไว้ คุณสามารถ อนุญาต แอปพลิเคชันไคลเอ็นต์ล่วงหน้าเพื่อเข้าถึง API เว็บของคุณได้ อนุญาตล่วงหน้า เฉพาะ แอปพลิเคชันไคลเอ็นต์ที่คุณเชื่อถือเนื่องจากผู้ใช้ของคุณไม่มีโอกาสในการปฏิเสธความยินยอม

    1. ภายใต้ แอปพลิเคชันไคลเอ็นต์ที่ได้รับอนุญาต เลือก เพิ่มแอปพลิเคชันไคลเอ็นต์
    2. ใส่ ID แอปพลิเคชัน (ไคลเอ็นต์) ของแอปพลิเคชันไคลเอ็นต์ที่คุณต้องการอนุญาตล่วงหน้า ตัวอย่างเช่น แอปพลิเคชันเว็บที่คุณได้ลงทะเบียนไว้ก่อนหน้านี้
    3. ภายใต้ ขอบเขตที่ได้รับอนุญาตให้เลือกขอบเขตที่คุณต้องการระงับการพร้อมท์ความยินยอม จากนั้นเลือก เพิ่มแอปพลิเคชัน
    4. ถ้าคุณทําตามขั้นตอนนี้ไม่บังคับ แอปไคลเอ็นต์คือแอปไคลเอ็นต์ที่ได้รับอนุญาตล่วงหน้า (PCA) และผู้ใช้จะไม่ได้รับพร้อมท์สําหรับความยินยอมของพวกเขาเมื่อลงชื่อเข้าใช้

ถัดไป เพิ่มขอบเขตตัวอย่างอื่นที่ชื่อว่า Employees.Write.All ที่ผู้ดูแลระบบเท่านั้นที่สามารถยินยอมได้ ขอบเขตที่จําเป็นต้องได้รับความยินยอมจากผู้ดูแลระบบมักใช้สําหรับการเข้าถึงการดําเนินการที่มีสิทธิพิเศษสูงกว่า โดยแอปพลิเคชันไคลเอ็นต์ที่ทํางานเป็นบริการ Backend หรือ daemons ที่ไม่ได้ลงชื่อเข้าใช้แบบโต้ตอบของผู้ใช้

หากต้องการเพิ่มขอบเขตตัวอย่าง Employees.Write.All ให้ทําตามขั้นตอนด้านบนและระบุค่าเหล่านี้ในบานหน้าต่าง เพิ่มขอบเขต :

สนาม ค่าตัวอย่าง
ชื่อขอบเขต Employees.Write.All
ใครสามารถให้ความยินยอม ผู้ดูแลระบบเท่านั้น
ชื่อที่แสดงของความยินยอมของผู้ดูแลระบบ เขียนการเข้าถึงเรกคอร์ดพนักงาน
คำอธิบายความยินยอมของผู้ดูแลระบบ อนุญาตให้แอปพลิเคชันมีสิทธิ์เขียนข้อมูลพนักงานทั้งหมด
ชื่อที่แสดงความยินยอมของผู้ใช้ ไม่มี (ปล่อยว่างไว้)
คําอธิบายความยินยอมของผู้ใช้ ไม่มี (ปล่อยว่างไว้)

ตรวจสอบขอบเขตที่ถูกเปิดเผย

ถ้าคุณเพิ่มขอบเขตตัวอย่างทั้งสองที่อธิบายไว้ในส่วนก่อนหน้าเรียบร้อยแล้ว ขอบเขตเหล่านั้นจะปรากฏในบานหน้าต่าง แสดง API ของการลงทะเบียนแอปของ API เว็บของคุณ คล้ายกับรูปภาพนี้:

ภาพหน้าจอของบานหน้าต่างเปิด API ที่แสดงขอบเขตที่แสดงสองขอบเขตสําหรับการกําหนดในการลงทะเบียนแอป

ดังที่แสดงในรูปภาพ สตริงแบบเต็มของขอบเขตคือการเรียงต่อกันของ URI ของ APPLICATION ID และชื่อขอบเขต ขอบเขต

ตัวอย่างเช่น ถ้า ID แอปพลิเคชันของ API เว็บของคุณ URI คือ https://contoso.com/api และชื่อขอบเขตคือ Employees.Read.All ขอบเขตแบบเต็มคือ:

https://contoso.com/api/Employees.Read.All

การใช้ขอบเขตที่ถูกเปิดเผย

ถัดไป คุณจะกําหนดค่าการลงทะเบียนของแอปไคลเอ็นต์ด้วยการเข้าถึง API เว็บของคุณและขอบเขตที่คุณกําหนดไว้โดยทําตามขั้นตอนด้านบน

เมื่อการลงทะเบียนแอปไคลเอ็นต์ได้รับอนุญาตให้เข้าถึง API เว็บของคุณ ไคลเอ็นต์สามารถรับโทเค็นการเข้าถึง OAuth 2.0 โดยแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ได้ เมื่อไคลเอ็นต์เรียกใช้ API เว็บ จะแสดงโทเค็นการเข้าถึงที่มีการกําหนดขอบเขตการอ้างสิทธิ์เป็นสิทธิ์ที่คุณได้ระบุไว้ในการลงทะเบียนแอปของลูกค้า

คุณสามารถเปิดเผยขอบเขตเพิ่มเติมในภายหลังได้ตามความจําเป็น พิจารณาว่า API เว็บของคุณสามารถแสดงขอบเขตหลายขอบเขตที่เชื่อมโยงกับหลายการดําเนินการได้ ทรัพยากรของคุณสามารถควบคุมการเข้าถึง API เว็บขณะทํางาน โดยการประเมินขอบเขตการอ้างสิทธิ์ (scp) ในโทเค็นการเข้าถึง OAuth 2.0 ที่ได้รับ

สิ่งที่เกิดขึ้นเบื้องหลังฉาก

  • การลงทะเบียนแอปจะถูกสร้างขึ้นในผู้เช่าหน้าแรก
  • สร้างอินสแตนซ์ของแอปด้วยหลักความปลอดภัยในรหัส Microsoft Entra
  • หลักความปลอดภัยได้รับความยินยอมจากผู้ใช้หรือผู้ดูแลระบบรายแรกโดยยึดตามการตั้งค่าของ API ที่เปิดเผย
  • หลักความปลอดภัยจะได้รับโทเค็นความปลอดภัยขณะที่ผู้ใช้เข้าถึงแอปพลิเคชันและใช้ API