Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Платформа удостоверений Майкрософт — это облачная служба удостоверений, которая позволяет создавать приложения, которые пользователи и клиенты могут войти в систему с помощью удостоверений Майкрософт или учетных записей социальных параметров. Он разрешает доступ к собственным API-интерфейсам или API Майкрософт, таким как Microsoft Graph. Платформа идентификации поддерживает разработчиков, создающих одноарендаторские линейные бизнес-приложения (LOB), а также многопользовательское программное обеспечение как услугу (SaaS).
На следующей схеме показаны платформа удостоверений Майкрософт на высоком уровне, включая возможности регистрации приложений, пакеты SDK, конечные точки и поддерживаемые удостоверения или типы учетных записей.
Платформа удостоверений Майкрософт состоит из нескольких компонентов:
Стандартные совместимые средства аутентификации OAuth 2.0 и OpenID Connect. Они позволяют разработчикам выполнять проверку подлинности удостоверений нескольких типов, включая следующие:
- Рабочие или учебные учетные записи, подготовленные с помощью идентификатора Microsoft Entra
- Личные учетные записи Майкрософт (Skype, Xbox, Outlook.com)
- учетные записи социальных сетей и локальные учетные записи, в которых используется Azure AD B2C.
- Учетные записи социальных или локальных клиентов с помощью Внешняя идентификация Microsoft Entra
Библиотеки с открытым кодом: библиотека проверки подлинности Майкрософт (MSAL) и поддержка других библиотек, совместимых со стандартами. Библиотеки MSAL рекомендуется использовать в открытый код, так как они предоставляют встроенную поддержку сценариев условного доступа, единого входа для пользователей, встроенной поддержки кэширования маркеров и многое другое. MSAL поддерживает различные авторизации и потоки маркеров, используемые в различных типах приложений и сценариях.
конечная точка платформа удостоверений Майкрософт — конечная точка платформа удостоверений Майкрософт сертифицирована OIDC. Ее можно использовать с библиотеками аутентификации Майкрософт (MSAL) или любой другой библиотекой, соответствующей стандартам. Она реализует доступные для чтения области в соответствии с отраслевыми стандартами.
Портал управления приложениями: процесс регистрации и настройки в Центре администрирования Microsoft Entra, а также другие возможности управления приложениями.
API конфигурации приложений и PowerShell: программная настройка приложений с помощью API Microsoft Graph и PowerShell, чтобы автоматизировать задачи DevOps.
Содержимое разработчика: техническая документация, включая краткие руководства, руководства, справочники по API и примеры кода.
Разработчикам платформа удостоверений Майкрософт предлагает интеграцию современных инновационных решений в сфере идентификации и безопасности, включая беспарольную проверку подлинности, расширенную аутентификацию и условный доступ. Вам не нужно реализовывать такие функциональные возможности самостоятельно. Приложения, интегрированные с платформа удостоверений Майкрософт изначально используют такие инновации.
Благодаря платформе удостоверений Майкрософт вы можете написать код один раз и обеспечить взаимодействие с любым пользователем. Вы можете создать приложение один раз и работать на многих платформах или создать приложение, которое работает как клиент, так и приложение ресурсов (API).
Конфигурации арендатора
Клиент — это выделенный и доверенный экземпляр идентификатора Microsoft Entra, который содержит ресурсы организации, такие как зарегистрированные приложения и каталог пользователей. Платформа идентификации Майкрософт предлагает две разные конфигурации арендатора: для сотрудников и внешние. Выбранная конфигурация клиента зависит от типа пользователей, которых вы хотите аутентифицировать и авторизовать в вашем приложении.
Конфигурация рабочей силы — это для сотрудников, внутренних бизнес-приложений и других организационных ресурсов. Вы можете пригласить внешних деловых партнеров и гостей в систему управления рабочими ресурсами, но основное внимание уделяется внутренним пользователям. Клиент рабочей силы — это конфигурация по умолчанию для клиентов Microsoft Entra.
Внешняя конфигурация используется исключительно для сценариев внешнего идентификатора, в которых требуется публиковать приложения потребителям или бизнес-клиентам, которые не являются частью вашей организации. С помощью внешнего клиента вы можете создать настраиваемые возможности входа и регистрации для клиентов, управлять удостоверениями и доступом к приложениям.
Сотрудники и внешние клиенты имеют различные возможности и ограничения. Выбор правильной конфигурации клиента поможет вам создать подходящее решение для управления удостоверениями и доступом для приложения. Более подробное сравнение функций в обеих конфигурациях см. в статье "Поддерживаемые функции в рабочей силе и внешних клиентах".
Начало работы
Выберите предпочитаемый сценарий приложения. Каждый из этих путей сценариев содержит обзор и ссылки на краткое руководство, чтобы помочь приступить к работе:
- Приложение React с одной страницей (SPA)
- веб-приложение ASP.NET Core
- ASP.NET Core API
- Классическое приложение
- Управляющая программа
- Мобильное приложение
Дополнительные сведения о создании приложений с помощью платформа удостоверений Майкрософт см. в серии руководств по нескольким частям для следующих приложений:
При работе с платформой удостоверений Майкрософт для интеграции проверки подлинности и авторизации в приложения вы можете использовать эту схему, на которой показаны наиболее распространенные сценарии приложений и соответствующие компоненты идентификации. Щелкните изображение, чтобы просмотреть его полноразмерную версию.
Основные понятия проверки подлинности
Узнайте, как основные понятия проверки подлинности и Microsoft Entra применяются к платформа удостоверений Майкрософт в этом рекомендуемом наборе статей:
- Основные сведения об аутентификации
- Приложения и субъекты-службы
- Аудитории
- Разрешения и согласие
- Маркеры идентификации
- Маркеры доступа в Azure Active Directory
- Потоки проверки подлинности и сценарии приложений
Другие варианты управления удостоверениями и доступом
Azure AD B2C. Создавайте приложения для клиентов, в которые можно входить с помощью учетных записей социальных сетей, например Facebook или Google, либо с помощью адреса электронной почты и пароля. Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Чтобы узнать больше, пожалуйста, посмотрите "Технология Azure AD B2C все еще доступна для приобретения?" в нашем разделе часто задаваемых вопросов.
Внешний идентификатор Microsoft Entra в арендаторах рабочей силы - пригласите внешних пользователей в ваш клиент Microsoft Entra в качестве «гостевых» пользователей и назначьте им разрешения на авторизацию, в то время как они используют свои существующие учетные данные для проверки подлинности.
Следующие шаги
Если у вас есть учетная запись Azure, у вас есть доступ к клиенту Microsoft Entra. Однако большинство платформа удостоверений Майкрософт разработчиков нуждаются в собственном клиенте Microsoft Entra для использования во время разработки приложений, известного как клиент разработки.
Узнайте, как создать собственный клиент, который будет использоваться при создании приложений: