ลงทะเบียนแอปพลิเคชัน
การลงทะเบียนแอปพลิเคชันจะสร้างความสัมพันธ์ที่เชื่อถือได้ระหว่างแอปของคุณและแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ความน่าเชื่อถือเป็นสองทิศทาง: แอปของคุณเชื่อถือแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ไม่ใช่ในทางกลับกัน
ลงชื่อเข้าใช้ ศูนย์การจัดการ Microsoft Entra โดยใช้บัญชีผู้ดูแลระบบ
เปิดเมนูพอร์ทัลจากนั้นเลือกข้อมูลประจําตัว
บนเมนู ข้อมูลประจําตัว ภายใต้ แอปพลิเคชัน เลือก การลงทะเบียนแอป
บนหน้า การลงทะเบียนแอป บนเมนู ให้เลือก+ การลงทะเบียนใหม่
ในกล่องโต้ตอบ ลงทะเบียนแอปพลิเคชัน ให้ลงทะเบียนแอปที่ชื่อ การสาธิต โดยใช้ค่าเริ่มต้น คุณไม่จําเป็นต้องใส่ URI เปลี่ยนเส้นทาง
เมื่อเสร็จสิ้น คุณจะถูกนําไปยังหน้าจอการสาธิตแอป
เพิ่มการเปลี่ยนเส้นทาง URI
การเปลี่ยนเส้นทาง URI คือตําแหน่งที่ตั้งที่แพลตฟอร์มข้อมูลประจําตัวของ Microsoft เปลี่ยนเส้นทางไคลเอ็นต์ของผู้ใช้และส่งโทเค็นความปลอดภัยหลังจากการรับรองความถูกต้อง ในแอปพลิเคชันเว็บที่ผลิต ตัวอย่างเช่น URI เปลี่ยนเส้นทางมักจะเป็นจุดสิ้นสุดสาธารณะที่แอปของคุณกําลังทํางานอยู่ ในระหว่างการพัฒนา เป็นเรื่องปกติที่จะเพิ่มจุดสิ้นสุดที่คุณเรียกใช้แอปภายในเครื่องของคุณ
เพิ่มและปรับเปลี่ยนการเปลี่ยนเส้นทาง URI สําหรับแอปพลิเคชันที่ลงทะเบียนไว้โดยการกําหนดค่าการตั้งค่าแพลตฟอร์ม
กําหนดค่าการตั้งค่าแพลตฟอร์ม
การตั้งค่าสําหรับแอปพลิเคชันแต่ละประเภท รวมถึงการเปลี่ยนเส้นทาง URI จะได้รับการกําหนดค่าใน การกําหนดค่าแพลตฟอร์ม ในพอร์ทัล Azure บางแพลตฟอร์ม เช่น เว็บ และ แอปพลิเคชันแบบหน้าเดียว คุณจําเป็นต้องระบุ URI เปลี่ยนเส้นทางด้วยตนเอง สําหรับแพลตฟอร์มอื่น ๆ เช่น อุปกรณ์เคลื่อนที่และเดสก์ท็อป คุณสามารถเลือกจาก URI เปลี่ยนเส้นทางที่สร้างขึ้นสําหรับคุณเมื่อคุณกําหนดค่าการตั้งค่าอื่น ๆ ได้
วิธีการกําหนดค่าการตั้งค่าแอปพลิเคชันตามแพลตฟอร์มหรืออุปกรณ์ที่คุณกําหนดเป้าหมาย:
เลือกแอปพลิเคชันของคุณใน การลงทะเบียนแอป ในพอร์ทัล Azure
ภายใต้ จัดการ ให้เลือก การรับรองความถูกต้อง
ภายใต้ การกําหนดค่าแพลตฟอร์มให้เลือก เพิ่มแพลตฟอร์ม
ใน กําหนดค่าแพลตฟอร์ม เลือกไทล์สําหรับประเภทแอปพลิเคชัน (แพลตฟอร์ม) ของคุณเพื่อกําหนดค่าการตั้งค่า
แพลตฟอร์ม การกําหนดค่า เว็บ ใส่ เปลี่ยนเส้นทาง URI สําหรับแอปของคุณ ตําแหน่งที่แพลตฟอร์มข้อมูลประจําตัวของ Microsoft เปลี่ยนเส้นทางไคลเอ็นต์ของผู้ใช้ และส่งโทเค็นความปลอดภัยหลังจากการรับรองความถูกต้อง เลือกแพลตฟอร์มนี้สําหรับเว็บแอปพลิเคชันมาตรฐานที่เรียกใช้บนเซิร์ฟเวอร์ แอปพลิเคชันแบบหน้าเดียว ใส่ เปลี่ยนเส้นทาง URI สําหรับแอปของคุณ ตําแหน่งที่แพลตฟอร์มข้อมูลประจําตัวของ Microsoft เปลี่ยนเส้นทางไคลเอ็นต์ของผู้ใช้ และส่งโทเค็นความปลอดภัยหลังจากการรับรองความถูกต้อง เลือกแพลตฟอร์มนี้ถ้าคุณกําลังสร้างเว็บแอปฝั่งไคลเอ็นต์ใน JavaScript หรือด้วยเฟรมเวิร์กเช่น Angular, Vue.js, React.jsหรือ Blazor WebAssembly iOS/macOS ป้อน app Bundle ID ที่พบใน XCode ใน Info.plist หรือสร้างการตั้งค่าการเปลี่ยนเส้นทาง URI จะถูกสร้างขึ้นสําหรับคุณเมื่อคุณระบุ ID Bundle แอนดรอยด์ ใส่ แอปชื่อแพคเกจ ซึ่งคุณสามารถค้นหาในไฟล์ AndroidManifest.xml และสร้าง และใส่ แฮชลายเซ็น URI เปลี่ยนเส้นทางจะถูกสร้างขึ้นสําหรับคุณเมื่อคุณระบุการตั้งค่าเหล่านี้ แอปพลิเคชันสําหรับอุปกรณ์เคลื่อนที่และเดสก์ท็อป เลือก URI เปลี่ยนเส้นทางที่แนะนํา รายการใดรายการหนึ่ง หรือระบุ URI การเปลี่ยนเส้นทางแบบกําหนดเอง สําหรับแอปพลิเคชันบนเดสก์ท็อป เราขอแนะนํา:https://login.microsoftonline.com/common/oauth2/nativeclient เลือกแพลตฟอร์มนี้สําหรับแอปพลิเคชันสําหรับอุปกรณ์เคลื่อนที่ที่ไม่ได้ใช้ไลบรารีการรับรองความถูกต้องของ Microsoft (MSAL) ล่าสุดหรือไม่ได้ใช้โบรกเกอร์ นอกจากนี้ยังเลือกแพลตฟอร์มนี้สําหรับแอปพลิเคชันบนเดสก์ท็อป เลือก กําหนดค่า เพื่อดําเนินการกําหนดค่าแพลตฟอร์มให้เสร็จสมบูรณ์
เพิ่มข้อมูลประจำตัว
ข้อมูลประจําตัวถูกใช้โดยแอปพลิเคชันไคลเอ็นต์ที่เป็นความลับที่เข้าถึง API ของเว็บ ตัวอย่างของไคลเอ็นต์ที่เป็นความลับได้แก่ เว็บแอป API เว็บอื่นๆ และแอปพลิเคชันชนิดบริการและแอปพลิเคชันชนิด daemon ข้อมูลประจําตัวอนุญาตให้แอปพลิเคชันของคุณรับรองความถูกต้องเนื่องจากไม่ต้องมีการโต้ตอบจากผู้ใช้ในขณะทํางาน
คุณสามารถเพิ่มทั้งใบรับรองและข้อมูลลับไคลเอ็นต์ (สตริง) เป็นข้อมูลประจําตัวในการลงทะเบียนแอปไคลเอ็นต์ที่เป็นความลับของคุณ
เพิ่มใบรับรอง
บางครั้งเรียกว่า คีย์สาธารณะ ใบรับรองเป็นชนิดข้อมูลประจําตัวที่แนะนําเนื่องจากให้การรับประกันระดับที่สูงกว่าความลับของไคลเอ็นต์ เมื่อใช้ใบรับรองสาธารณะที่เชื่อถือได้ คุณสามารถเพิ่มใบรับรองโดยใช้คุณลักษณะ ใบรับรองและข้อมูลลับ ใบรับรองของคุณต้องเป็นชนิดแฟ้มชนิดใดชนิดหนึ่งต่อไปนี้: .cer, , .pem.crt
เพิ่มข้อมูลลับไคลเอ็นต์
ข้อมูลลับไคลเอ็นต์หรือที่เรียกว่า รหัสผ่านแอปพลิเคชันคือค่าสตริงที่แอปของคุณสามารถใช้แทนใบรับรองเพื่อข้อมูลประจําตัว ซึ่งง่ายต่อการใช้ข้อมูลประจําตัวสองชนิด ซึ่งมักจะใช้ในระหว่างการพัฒนา แต่ถือว่ามีความปลอดภัยน้อยกว่าใบรับรอง คุณควรใช้ใบรับรองในแอปพลิเคชันของคุณที่กําลังทํางานในการผลิต
- เลือกแอปพลิเคชันของคุณใน การลงทะเบียนแอป ในพอร์ทัล Azure
- เลือก ใบรับรองและข้อมูลลับ จากนั้นเลือก ข้อมูลลับของไคลเอ็นต์ใหม่
- เพิ่มคําอธิบายสําหรับข้อมูลลับไคลเอ็นต์ของคุณ
- เลือกระยะเวลา
- เลือก เพิ่ม
- บันทึกค่าข้อมูลลับ สําหรับใช้ในรหัสแอปพลิเคชันไคลเอ็นต์ของคุณ ซึ่ง จะไม่แสดงอีก หลังจากที่คุณออกจากหน้านี้
ลงทะเบียน API เว็บ
หากต้องการให้การเข้าถึงแหล่งข้อมูลใน API เว็บของคุณมีขอบเขต คุณต้องลงทะเบียน API ด้วยแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ก่อน
- ทําตามขั้นตอนข้างต้น
- ข้ามส่วนเพิ่มการเปลี่ยนเส้นทาง URI และกําหนดค่าการตั้งค่าแพลตฟอร์ม คุณไม่จําเป็นต้องกําหนดค่า URI เปลี่ยนเส้นทางสําหรับ API เว็บเนื่องจากไม่มีผู้ใช้ที่เข้าสู่ระบบแบบโต้ตอบ
- ข้ามส่วน เพิ่มข้อมูลประจําตัว สําหรับตอนนี้ เฉพาะในกรณีที่ API ของคุณเข้าถึง API ปลายทางจะต้องมีข้อมูลประจําตัวของตนเอง — สถานการณ์ที่ไม่ครอบคลุมในบทความนี้
เมื่อลงทะเบียน API เว็บของคุณแล้ว คุณก็พร้อมที่จะเพิ่มขอบเขตที่โค้ด API ของคุณสามารถใช้เพื่อให้สิทธิ์ที่แยกย่อยแก่ผู้บริโภค API ของคุณ
เพิ่มขอบเขต
โค้ดในแอปพลิเคชันไคลเอ็นต์ร้องขอสิทธิ์ในการดําเนินการที่กําหนดโดย API เว็บของคุณโดยผ่านโทเค็นการเข้าถึงพร้อมกับคําขอไปยังทรัพยากรที่ได้รับการป้องกัน (API เว็บ) API เว็บของคุณจะดําเนินการตามที่ร้องขอก็ต่อเมื่อโทเค็นการเข้าถึงที่ได้รับประกอบด้วยขอบเขต (หรือที่เรียกว่าสิทธิ์แอปพลิเคชัน) ที่จําเป็นสําหรับการดําเนินการ
ขั้นแรก ให้ทําตามขั้นตอนเหล่านี้เพื่อสร้างขอบเขตตัวอย่างที่ชื่อว่า Employees.Read.All:
ลงชื่อเข้าใช้พอร์ทัล Azure
ถ้าคุณสามารถเข้าถึงผู้เช่าหลายราย ให้ใช้ตัวกรอง ไดเรกทอรี + การสมัครใช้งาน ในเมนูด้านบนเพื่อเลือกผู้เช่าที่ประกอบด้วยการลงทะเบียนของแอปไคลเอ็นต์ของคุณ
เลือก Id Microsoft Entra แล้วเลือก การลงทะเบียนแอป จากนั้นเลือกการลงทะเบียนแอปของ API ของคุณ
เลือก เปิด API จากนั้นเพิ่มขอบเขต
คุณได้รับพร้อมท์ให้ตั้งค่า URI ID แอปพลิเคชัน ถ้าคุณยังไม่ได้กําหนดค่า URI ของ App ID ทําหน้าที่เป็นคํานําหน้าสําหรับขอบเขตที่คุณจะอ้างอิงในรหัสของ API ของคุณ และจะต้องเป็นค่าเฉพาะทั่วโลก คุณสามารถใช้ค่าเริ่มต้นที่ให้ไว้ ซึ่งอยู่ในฟอร์ม
api://หรือระบุ URI ที่อ่านได้มากขึ้น เช่นhttps://contoso.com/apiถัดไป ระบุแอตทริบิวต์ของขอบเขตในบานหน้าต่าง เพิ่มขอบเขต สําหรับการฝึกทําตามนี้ คุณสามารถใช้ค่าตัวอย่างหรือระบุของคุณเองได้
สนาม คำอธิบาย: ตัวอย่าง ชื่อขอบเขต ชื่อของขอบเขตของคุณ แบบแผนการตั้งชื่อขอบเขตทั่วไปคือ resource.operation.constraint Employees.Read.All ใครสามารถให้ความยินยอม ผู้ดูแลระบบเลือกว่าขอบเขตนี้สามารถให้ความยินยอมโดยผู้ใช้หรือถ้าจําเป็นต้องได้รับความยินยอมจากผู้ดูแลระบบ เลือกผู้ดูแลระบบสําหรับสิทธิ์ที่มีสิทธิ์สูงกว่าเท่านั้น ผู้ดูแลระบบและผู้ใช้ ชื่อที่แสดงของความยินยอมของผู้ดูแลระบบ คําอธิบายสั้น ๆ ของวัตถุประสงค์ของขอบเขตที่ผู้ดูแลระบบเท่านั้นจะเห็น เข้าถึงเรกคอร์ดพนักงานแบบอ่านอย่างเดียว คำอธิบายความยินยอมของผู้ดูแลระบบ คําอธิบายโดยละเอียดเพิ่มเติมของสิทธิ์ที่มอบให้โดยขอบเขตที่ผู้ดูแลระบบเท่านั้นจะเห็น อนุญาตให้แอปพลิเคชันมีสิทธิ์เข้าถึงข้อมูลพนักงานทั้งหมดแบบอ่านอย่างเดียว ชื่อที่แสดงความยินยอมของผู้ใช้ คําอธิบายสั้นๆ เกี่ยวกับวัตถุประสงค์ของขอบเขต แสดงให้ผู้ใช้เห็นเฉพาะเมื่อคุณตั้งค่า ผู้ที่สามารถยินยอมให้ผู้ดูแลระบบและผู้ใช้เห็นเท่านั้น เข้าถึงเรกคอร์ดพนักงานของคุณแบบอ่านอย่างเดียว คําอธิบายความยินยอมของผู้ใช้ คําอธิบายโดยละเอียดเพิ่มเติมของสิทธิ์ที่มอบให้โดยขอบเขต แสดงให้ผู้ใช้เห็นเฉพาะเมื่อคุณตั้งค่า ผู้ที่สามารถยินยอมให้ผู้ดูแลระบบและผู้ใช้เห็นเท่านั้น อนุญาตให้แอปพลิเคชันมีสิทธิ์เข้าถึงข้อมูลพนักงานของคุณแบบอ่านอย่างเดียว ตั้งค่า รัฐ ของ เป็น ที่เปิดใช้งานจากนั้นเลือก เพิ่มขอบเขต
(ไม่บังคับ) ในการระงับการพร้อมท์เพื่อขอความยินยอมจากผู้ใช้แอปของคุณไปยังขอบเขตที่คุณกําหนด ไว้ คุณสามารถ อนุญาต แอปพลิเคชันไคลเอ็นต์ล่วงหน้าเพื่อเข้าถึง API เว็บของคุณได้ อนุญาตล่วงหน้า เฉพาะ แอปพลิเคชันไคลเอ็นต์ที่คุณเชื่อถือเนื่องจากผู้ใช้ของคุณไม่มีโอกาสในการปฏิเสธความยินยอม
- ภายใต้ แอปพลิเคชันไคลเอ็นต์ที่ได้รับอนุญาต เลือก เพิ่มแอปพลิเคชันไคลเอ็นต์
- ใส่ ID แอปพลิเคชัน (ไคลเอ็นต์) ของแอปพลิเคชันไคลเอ็นต์ที่คุณต้องการอนุญาตล่วงหน้า ตัวอย่างเช่น แอปพลิเคชันเว็บที่คุณได้ลงทะเบียนไว้ก่อนหน้านี้
- ภายใต้ ขอบเขตที่ได้รับอนุญาตให้เลือกขอบเขตที่คุณต้องการระงับการพร้อมท์ความยินยอม จากนั้นเลือก เพิ่มแอปพลิเคชัน
- ถ้าคุณทําตามขั้นตอนนี้ไม่บังคับ แอปไคลเอ็นต์คือแอปไคลเอ็นต์ที่ได้รับอนุญาตล่วงหน้า (PCA) และผู้ใช้จะไม่ได้รับพร้อมท์สําหรับความยินยอมของพวกเขาเมื่อลงชื่อเข้าใช้
เพิ่มขอบเขตที่จําเป็นต้องได้รับความยินยอมจากผู้ดูแลระบบ
ถัดไป เพิ่มขอบเขตตัวอย่างอื่นที่ชื่อว่า Employees.Write.All ที่ผู้ดูแลระบบเท่านั้นที่สามารถยินยอมได้ ขอบเขตที่จําเป็นต้องได้รับความยินยอมจากผู้ดูแลระบบมักใช้สําหรับการเข้าถึงการดําเนินการที่มีสิทธิพิเศษสูงกว่า โดยแอปพลิเคชันไคลเอ็นต์ที่ทํางานเป็นบริการ Backend หรือ daemons ที่ไม่ได้ลงชื่อเข้าใช้แบบโต้ตอบของผู้ใช้
หากต้องการเพิ่มขอบเขตตัวอย่าง Employees.Write.All ให้ทําตามขั้นตอนด้านบนและระบุค่าเหล่านี้ในบานหน้าต่าง เพิ่มขอบเขต :
| สนาม | ค่าตัวอย่าง |
|---|---|
| ชื่อขอบเขต | Employees.Write.All |
| ใครสามารถให้ความยินยอม | ผู้ดูแลระบบเท่านั้น |
| ชื่อที่แสดงของความยินยอมของผู้ดูแลระบบ | เขียนการเข้าถึงเรกคอร์ดพนักงาน |
| คำอธิบายความยินยอมของผู้ดูแลระบบ | อนุญาตให้แอปพลิเคชันมีสิทธิ์เขียนข้อมูลพนักงานทั้งหมด |
| ชื่อที่แสดงความยินยอมของผู้ใช้ | ไม่มี (ปล่อยว่างไว้) |
| คําอธิบายความยินยอมของผู้ใช้ | ไม่มี (ปล่อยว่างไว้) |
ตรวจสอบขอบเขตที่ถูกเปิดเผย
ถ้าคุณเพิ่มขอบเขตตัวอย่างทั้งสองที่อธิบายไว้ในส่วนก่อนหน้าเรียบร้อยแล้ว ขอบเขตเหล่านั้นจะปรากฏในบานหน้าต่าง แสดง API ของการลงทะเบียนแอปของ API เว็บของคุณ คล้ายกับรูปภาพนี้:
ดังที่แสดงในรูปภาพ สตริงแบบเต็มของขอบเขตคือการเรียงต่อกันของ URI ของ APPLICATION ID และชื่อขอบเขต ขอบเขต
ตัวอย่างเช่น ถ้า ID แอปพลิเคชันของ API เว็บของคุณ URI คือ https://contoso.com/api และชื่อขอบเขตคือ Employees.Read.All ขอบเขตแบบเต็มคือ:
https://contoso.com/api/Employees.Read.All
การใช้ขอบเขตที่ถูกเปิดเผย
ถัดไป คุณจะกําหนดค่าการลงทะเบียนของแอปไคลเอ็นต์ด้วยการเข้าถึง API เว็บของคุณและขอบเขตที่คุณกําหนดไว้โดยทําตามขั้นตอนด้านบน
เมื่อการลงทะเบียนแอปไคลเอ็นต์ได้รับอนุญาตให้เข้าถึง API เว็บของคุณ ไคลเอ็นต์สามารถรับโทเค็นการเข้าถึง OAuth 2.0 โดยแพลตฟอร์มข้อมูลประจําตัวของ Microsoft ได้ เมื่อไคลเอ็นต์เรียกใช้ API เว็บ จะแสดงโทเค็นการเข้าถึงที่มีการกําหนดขอบเขตการอ้างสิทธิ์เป็นสิทธิ์ที่คุณได้ระบุไว้ในการลงทะเบียนแอปของลูกค้า
คุณสามารถเปิดเผยขอบเขตเพิ่มเติมในภายหลังได้ตามความจําเป็น พิจารณาว่า API เว็บของคุณสามารถแสดงขอบเขตหลายขอบเขตที่เชื่อมโยงกับหลายการดําเนินการได้ ทรัพยากรของคุณสามารถควบคุมการเข้าถึง API เว็บขณะทํางาน โดยการประเมินขอบเขตการอ้างสิทธิ์ (scp) ในโทเค็นการเข้าถึง OAuth 2.0 ที่ได้รับ
สิ่งที่เกิดขึ้นเบื้องหลังฉาก
- การลงทะเบียนแอปจะถูกสร้างขึ้นในผู้เช่าหน้าแรก
- สร้างอินสแตนซ์ของแอปด้วยหลักความปลอดภัยในรหัส Microsoft Entra
- หลักความปลอดภัยได้รับความยินยอมจากผู้ใช้หรือผู้ดูแลระบบรายแรกโดยยึดตามการตั้งค่าของ API ที่เปิดเผย
- หลักความปลอดภัยจะได้รับโทเค็นความปลอดภัยขณะที่ผู้ใช้เข้าถึงแอปพลิเคชันและใช้ API