Регистрация приложений в Microsoft Entra ID

Обзор

Microsoft Entra ID (ранее Azure Active Directory) — облачная служба управления удостоверениями и доступом Microsoft. Регистрация приложений позволяет приложениям аутентифицировать пользователей и безопасно получать доступ к ресурсам Azure.

Ключевые понятия

Типы приложений

Основной рабочий процесс

Шаг 1: Регистрация приложения

Создайте регистрацию в портале Azure или с помощью Azure CLI.

Через портал:

1. Портал Azure → Microsoft Entra ID → Регистрации приложений
2. Нажмите «Новая регистрация»
3. Укажите имя, поддерживаемые типы учётных записей и URI перенаправления
4. Нажмите «Зарегистрировать»

Рекомендуется использовать IaC для управления регистрациями, если вы уже применяете IaC в проекте, нужно масштабируемое решение или детальная история изменений конфигурации.

Шаг 2: Настройка аутентификации

• Web Apps: добавьте redirect URI, включите ID tokens при необходимости
• SPA: добавьте redirect URI, включите implicit grant flow при необходимости
• Mobile/Desktop: используйте http://localhost или пользовательскую схему URI
• Сервисы: redirect URI не нужен для client credentials flow

Шаг 3: Настройка разрешений API

Предоставьте приложению доступ к Microsoft API или собственным API.

Распространённые разрешения Microsoft Graph:

• User.Read — чтение профиля пользователя
• User.ReadWrite.All — чтение и запись всех пользователей
• Directory.Read.All — чтение данных каталога
• Mail.Send — отправка почты от имени пользователя

Шаг 4: Создание учётных данных клиента (при необходимости)

Для конфиденциальных клиентских приложений создайте секрет клиента, сертификат или федеративные учётные данные удостоверения.

• Client Secret: перейдите в «Сертификаты и секреты», создайте секрет, скопируйте значение немедленно (отображается только один раз), храните безопасно (рекомендуется Key Vault)
• Сертификат: для production-среды используйте сертификаты вместо секретов — загрузите через раздел «Сертификаты и секреты»
• Federated Identity Credential: для динамической аутентификации конфиденциального клиента на платформе Entra

Шаг 5: Реализация OAuth-потока

Интегрируйте OAuth-поток в код приложения. MSAL — рекомендуемая библиотека.

Типичные паттерны

Паттерн 1: Первая регистрация приложения

Пошаговая помощь при первой регистрации приложения.

Необходимая информация: имя приложения, тип (web, SPA, mobile, service), redirect URI, необходимые разрешения.

Паттерн 2: Консольное приложение с аутентификацией пользователей

Создание консольного приложения .NET/Python/Node.js с аутентификацией пользователей.

Необходимая информация: язык программирования, библиотека аутентификации (рекомендуется MSAL), необходимые разрешения.

Паттерн 3: Аутентификация между сервисами

Настройка аутентификации daemon/service без участия пользователя.

Реализация: используйте Client Credentials flow.

MCP-инструменты и CLI

Microsoft Authentication Library (MSAL)

Поддерживаемые языки: .NET/C# — Microsoft.Identity.Client, JavaScript/TypeScript — @azure/msal-browser, @azure/msal-node, Python — msal.

Рекомендации по безопасности

Внешние ресурсы

• Документация платформы удостоверений Microsoft
• Протоколы OAuth 2.0 и OpenID Connect
• Документация MSAL
• Microsoft Graph API