Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: 
арендаторы рабочей силы 
внешние арендаторы (подробнее)
Чтобы зарегистрировать одностраничное приложение (SPA) на платформе удостоверений Майкрософт, сделайте следующее. Процедура регистрации будет разной для MSAL.js 1.0 с поддержкой неявного потока предоставления разрешений и MSAL.js 2.0 с поддержкой потока кода авторизации с использованием PKCE. Если вы используете MSAL.js 1.0, рекомендуется перейти на MSAL.js 2.0, чтобы воспользоваться преимуществами потока кода авторизации с PKCE, который является более безопасным.
Создание регистрации приложения
Для обоих типов приложений (на основе MSAL.js версии 1.0 и 2.0) сначала создается исходная регистрация приложения.
- Войдите в центр администрирования Microsoft Entra.
- Если у вас есть доступ к нескольким клиентам, используйте
значок"Параметры" в верхнем меню, чтобы переключиться на клиент, в котором вы хотите зарегистрировать приложение из меню каталогов и подписок. - Перейдите к Identity>Приложения>Регистрация приложений и выберите Создать регистрацию.
- Введите Имя для вашего приложения. Пользователи приложения могут видеть это имя. Вы можете изменить его позже.
- Выберите поддерживаемые типы учетных записей для приложения. НЕ указывайте URI перенаправления. Описание разных типов учетных записей см. в статье Регистрация приложения.
- Щелкните Зарегистрировать, чтобы создать регистрацию приложения.
Теперь настройте регистрацию приложения с помощью URI перенаправления, чтобы указать, куда платформа удостоверений Майкрософт будет перенаправлять клиентов вместе с любыми токенами безопасности. Выполните действия с учетом используемой в приложении версии MSAL.js:
- MSAL.js 2.0 с потоком кода авторизации (рекомендуется)
- MSAL.js 1.0 с неявным потоком
Помните, что MSAL.js 2.0+ поддерживает поток кода авторизации с PKCE, который является более безопасным, чем неявный поток предоставления. Если вы используете MSAL.js 1.0, попробуйте перейти на MSAL.js 2.0, чтобы воспользоваться преимуществами потока кода авторизации с PKCE.
URI перенаправления: MSAL.js 2.0 с потоком кода авторизации
Выполните следующие действия, чтобы добавить URI перенаправления для приложения с библиотекой MSAL.js 2.0 или более поздней версии. MSAL.js 2.0+ поддерживает поток кода авторизации с помощью PKCE и общего доступа к ресурсам между источниками (CORS) в ответ на ограничения сторонних файлов cookie в браузере. Неявный поток предоставления не поддерживается в MSAL.js 2.0+.
- В Центре администрирования Microsoft Entra выберите регистрацию приложения, созданную в разделе "Создание регистрации приложения".
- В разделе Управление выберите Проверка подлинности>Добавить платформу.
- В разделе Веб-приложения щелкните плитку Одностраничные приложения.
- В поле URI перенаправления введите URI перенаправления. НЕ устанавливайте галочку ни в одном из пунктов под Неявное предоставление и гибридные потоки.
- Щелкните Настроить, чтобы завершить добавление URI перенаправления.
Теперь ваша SPA зарегистрирована с перенаправляющим URI. Настроив URI перенаправления с помощью плитки одностраничного приложения в области "Добавление платформы ", регистрация приложения поддерживает поток кода авторизации с помощью PKCE и CORS.
URI перенаправления: MSAL.js 1.0 с неявным потоком
Выполните следующие действия, чтобы добавить URI перенаправления для SPA, использующего MSAL.js версии 1.3 или более ранней, и неявный поток авторизации. Приложения, использующие MSAL.js 1.3 или более ранних версий, не поддерживают поток кода авторизации.
- В Центре администрирования Microsoft Entra выберите регистрацию приложения, созданную в разделе "Создание регистрации приложения".
- В разделе Управление выберите Проверка подлинности>Добавить платформу.
- В разделе Веб-приложения щелкните плитку Одностраничные приложения.
- В поле URI перенаправления введите URI перенаправления.
- Включите неявное предоставление и гибридные потоки:
- Если ваше приложение позволяет пользователям входить в систему, выберите ID токены.
- Если вашему приложению также требуется вызвать защищенный веб-API, выберите Токены доступа. Дополнительные сведения об этих типах маркеров см. в статьях Маркеры идентификаторов платформы удостоверений Майкрософт и Маркеры доступа платформы удостоверений Майкрософт.
- Щелкните Настроить, чтобы завершить добавление URI перенаправления.
Теперь ваш SPA зарегистрирован с URI перенаправления. Выбрав один или оба маркера идентификатора и маркеры доступа, регистрация приложения поддерживает неявный поток предоставления.
Примечание о потоках авторизации
По умолчанию регистрация приложения, созданная с помощью конфигурации платформы SPA, включает поток кода авторизации. Но чтобы использовать этот поток, приложение должно работать с библиотекой MSAL.js 2.0 или более поздней версии.
SpAs, использующие MSAL.js 1.3, ограничены неявным потоком предоставления. В текущих рекомендациях по OAuth 2.0 предлагается использовать для одностраничных приложений поток кода авторизации, а не неявный поток. Наличие маркеров обновления с ограниченным сроком действия также позволяет приложению учитывать современные ограничения браузеров в отношении конфиденциальности файлов cookie, например Safari ITP.
Если все рабочие SPA, представленные регистрацией приложения, используют MSAL.js 2.0 и поток кода авторизации, снимите флажки настройки неявного предоставления на панели Регистрация приложения в Центре администрирования Microsoft Entra. Если у вас все еще есть SPA, использующие MSAL.js 1.x, оставьте неявный поток активированным (отмеченным).
Следующие шаги
Настройте код вашего приложения для использования регистрации приложения, созданной в разделе Настройка кода приложения.