VERTRIEB: 1-800-867-1380

Hinzufügen, Aktualisieren und Entfernen einer Anwendung

Letzte Aktualisierung: Oktober 2014

In diesem Thema wird das Hinzufügen, Aktualisieren oder Entfernen einer Anwendung in Azure Active Directory (Azure AD) beschrieben. Sie lernen die verschiedenen Arten von Anwendungen kennen, die in Azure AD integriert werden können, erfahren, wie Sie Ihre Anwendungen für den Zugriff auf andere Ressourcen (z. B. Web-APIs) konfigurieren und vieles mehr. Weitere Informationen zu App-Eigenschaften finden Sie unter Application Objects and Service Principal Objects.

Jede Anwendung, die die Funktionen von Azure AD verwenden möchte, muss zuerst in einem Verzeichnis registriert werden. Dieser Registrierungsvorgang umfasst das Angeben von Details zu Ihrer Anwendung in Azure AD, z. B. der URL, unter der sich die Anwendung befindet, der URL, an die Antworten gesendet werden sollen, nachdem ein Benutzer authentifiziert wurde, des URIs, der die App identifiziert usw.

Wenn Sie eine Webanwendung erstellen, die nur Anmeldung für Benutzer in Azure AD benötigt, können Sie einfach die unten aufgeführten Anleitungen befolgen. Wenn Ihre Anwendung Zugriff auf eine Web-API benötigt, erstellen Sie eine systemeigene Anwendung, die auf eine Web-API zugreifen muss. Wenn Ihre Anwendung mehrinstanzenfähig sein soll, müssen Sie den Abschnitt Aktualisieren einer Anwendung lesen, um die Konfiguration Ihrer Anwendung fortsetzen zu können.

Wenn die App für andere Organisationen verfügbar sein soll, müssen Sie zusätzlich den externen Zugriff aktivieren, sobald die Anwendung hinzugefügt wurde.

  1. Melden Sie sich am Azure-Verwaltungsportal an.

  2. Klicken Sie im linken Menü auf das Symbol Active Directory, und klicken Sie dann auf das gewünschte Verzeichnis.

  3. Klicken Sie im oberen Menü auf Anwendungen. Wenn Ihrem Verzeichnis noch keine Anwendungen hinzugefügt wurden, zeigt diese Seite nur den Link Eine Anwendung hinzufügen an. Klicken Sie auf den Link. Alternativ können Sie auch auf die Schaltfläche Hinzufügen auf der Befehlsleiste klicken.

  4. Klicken Sie auf der Seite Was möchten Sie tun? auf den Link für Eine von meinem Unternehmen entwickelte Anwendung hinzufügen.

  5. Auf der Seite Erzählen Sie uns von Ihrer Anwendung müssen Sie einen Namen für Ihre Anwendung und auch den Typ der Anwendung angeben, die Sie bei Azure AD registrieren. Sie können zwischen Webanwendung und/oder Web-API (Standardeinstellung) und Systemeigene Clientanwendung wählen. Letzteres stellt eine Anwendung dar, die auf einem Gerät wie z. B. einem Telefon oder Computer installiert ist.

    Sobald Sie fertig sind, klicken Sie auf das Pfeilsymbol in der unteren rechten Ecke der Seite.

  6. Stellen Sie auf der Seite App-Eigenschaften die URL für Anmeldung und den App-ID-URI für Ihre Webanwendung (oder nur den Weiterleitungs-URI für eine systemeigene Clientanwendung) zur Verfügung, klicken Sie dann auf das Kontrollkästchen in der unteren rechten Ecke der Seite.

  7. Ihre Anwendung wurde hinzugefügt, und Sie gelangen auf die Seite Schnellstart für Ihre Anwendung. Abhängig davon, ob es sich bei Ihrer Anwendung um eine Web- oder eine systemeigene Anwendung handelt, werden verschiedene Optionen zum Hinzufügen weiterer Funktionen zu Ihrer Anwendung angezeigt. Nachdem Ihre Anwendung hinzugefügt wurde, können Sie beginnen, Ihre Anwendung zu aktualisieren, um Benutzern die Anmeldung zu ermöglichen, auf Web-APIs in anderen Anwendungen zuzugreifen oder eine mehrinstanzenfähige Anwendung zu konfigurieren (die anderen Organisationen ermöglicht, auf Ihre Anwendung zuzugreifen).

    noteHinweis
    Standardmäßig wird die neu erstellte Anwendungsregistrierung konfiguriert, damit sich Benutzer aus Ihrem Verzeichnis bei der Anwendung anmelden können.

Nachdem Ihre Anwendung in Azure AD registriert wurde, muss sie ggf. aktualisiert werden, um Zugriff auf Web-APIs bereitzustellen, für andere Unternehmen zur Verfügung gestellt zu werden und vieles mehr. Dieser Abschnitt beschreibt, wie Ihre Anwendung weiter konfiguriert wird. Weitere Informationen zur Funktionsweise der Authentifizierung in Azure AD finden Sie unter Authentifizierungsszenarien für Azure AD.

Bevor Sie Ihre Anwendung aktualisieren, gibt es einige wichtige Konzepte, die Sie zum Consent Framework in Azure AD verstehen müssen.

Das neue Consent Framework von Azure AD erleichtert das Entwickeln von Web- und systemeigenen Anwendungen, die Zugriff auf durch Azure AD gesicherte Web-APIs benötigen. Diese Web-APIs enthalten die Graph-API, Office 365 und anderen Microsoft Services zusätzlich zu Ihren eigenen Web-APIs. Das Framework basiert auf einen Benutzer oder Administrator, der einer Anwendung die Zustimmung für die Registrierung in seinem Verzeichnis erteilt. Dies kann ggf. den Zugriff auf Verzeichnisdaten umfassen. Wenn eine Webanwendung z. B. die Web-API von Office 365 zum Lesen von Kalenderinformationen zum Benutzer aufrufen muss, muss dieser Benutzer der Anwendung zustimmen. Nachdem die Zustimmung erteilt wurde, ist die Webanwendung in der Lage, die Web-API von Office 365 im Auftrag des Benutzers aufzurufen und die Kalenderinformationen nach Bedarf zu verwenden.

Das Consent Framework basiert auf OAuth 2.0 und dessen verschiedenen Datenflüssen, z. B. Authorization Code Grant und Client Credentials Grant. Dabei werden öffentliche oder vertrauliche Clients verwendet. Mithilfe von OAuth 2.0 ermöglicht Azure AD das Erstellen vieler verschiedener Typen von Clientanwendungen, z. B. auf einem Telefon, Tablet oder Server, oder einer Webanwendung, sowie den Zugriff auf die erforderlichen Ressourcen.

Ausführlichere Informationen zum Consent Framework finden Sie unter OAuth 2.0 in Azure AD, Authentifizierungsszenarien für Azure AD und im Office 365-Thema Authentifizierung und Autorisierung mithilfe des allgemeinen Consent Frameworks.

Die folgenden Schritte zeigen, wie die Zustimmungsbenutzeroberfläche für den Anwendungsentwickler und für den Benutzer funktioniert.

  1. Legen Sie auf der Konfigurationsseite Ihrer Anwendung im Azure-Verwaltungsportal die Berechtigungen fest, die für Ihre Anwendung erforderlich sind, indem Sie die Dropdownmenüs im Steuerelement Berechtigungen für andere Anwendungen verwenden.



    Berechtigungen für andere Anwendungen

  2. Angenommen, die Berechtigungen Ihrer Anwendung wurden aktualisiert, die Anwendung wird ausgeführt, und ein Benutzer ist bereit, sie zum ersten Mal zu verwenden. Wenn die Anwendung noch kein Zugriffs- oder Aktualisierungstoken abgerufen hat, muss die Anwendung zum Autorisierungsendpunkt von Azure AD navigieren, um einen Autorisierungscode abzurufen, der verwendet werden kann, um ein neues Zugriffs- und Aktualisierungstoken abzurufen.

  3. Wenn der Benutzer nicht bereits authentifiziert ist, wird er aufgefordert, sich bei Azure AD anzumelden.



    Benutzer- oder Administratoranmeldung bei Azure AD

  4. Nachdem der Benutzer sich angemeldet hat, ermittelt Azure AD, ob für den Benutzer eine Zustimmungsseite angezeigt werden muss. Diese Ermittlung ist davon abhängig, ob der Benutzer (oder der Administrator seiner Organisation) bereits die Anwendungszustimmung erteilt hat. Wenn die Zustimmung noch nicht erteilt wurde, fordert Azure AD den Benutzer zur Zustimmung auf und zeigt die erforderlichen Berechtigungen an, die für die Funktionalität benötigt werden. Die Gruppe von Berechtigungen, die im Zustimmungsdialogfeld angezeigt wird, ist identisch mit der Auswahl im Steuerelement Berechtigungen für andere Anwendungen im Azure-Verwaltungsportal.



    Zustimmung des Benutzers

  5. Nachdem der Benutzer seine Zustimmung erteilt hat, wird ein Autorisierungscode an Ihre Anwendung zurückgegeben, der eingelöst werden kann, um ein Zugriffs- und ein Aktualisierungstoken abzurufen. Weitere Informationen zu diesem Datenfluss finden Sie im Abschnitt Web Application to Web API im Thema Authentifizierungsszenarien für Azure AD.

Mithilfe des oben beschriebenen Consent Frameworks können Sie Ihre Anwendung so konfigurieren, dass Berechtigungen für den Zugriff auf Daten erforderlich sind, die von den Web-APIs in Ihrem Verzeichnis bereitgestellt werden. Standardmäßig können alle Anwendungen Berechtigungen aus Azure Active Directory (Graph-API) und der Azure Service Management-API auswählen. Dabei ist die Azure AD-Berechtigung Anmeldung aktivieren und Benutzerprofil lesen bereits standardmäßig ausgewählt. Wenn Ihr Verzeichnis außerdem über ein Office 365-Abonnement verfügt, stehen Web-APIs und Berechtigungen für SharePoint und Exchange Online ebenfalls zur Auswahl zur Verfügung. Sie können unter zwei Typen von Berechtigungen in der Dropdownmenüs neben der gewünschten Web-API wählen:

  • Anwendungsberechtigungen: Die Anwendung muss auf die Web-API direkt als sie selbst (kein Benutzerkontext) zugreifen. Für diesen Typ von Berechtigung ist die Zustimmung des Administrators erforderlich, und er ist außerdem nicht für systemeigene Clientanwendungen verfügbar.

  • Delegierungsberechtigungen: Ihre Anwendung muss auf die Web-API als der angemeldete Benutzer zugreifen. Der Zugriff ist jedoch durch die ausgewählte Berechtigung eingeschränkt. Dieser Typ von Berechtigung kann von einem Benutzer erteilt werden. Dies gilt nur dann nicht, wenn die Berechtigung so konfiguriert ist, dass sie die Zustimmung durch einen Administrator erfordert.

  1. Melden Sie sich am Azure-Verwaltungsportal an.

  2. Klicken Sie im linken Menü auf das Symbol Active Directory, und klicken Sie dann auf das gewünschte Verzeichnis.

  3. Klicken Sie im oberen Menü auf Anwendungen, und klicken Sie dann auf die Anwendung, die Sie konfigurieren möchten. Die Seite Schnellstart wird mit einmaligem Anmelden (SSO) und weiteren Konfigurationsinformationen angezeigt.

  4. Erweitern Sie den Abschnitt Auf Web-APIs in anderen Anwendungen zugreifen auf der Seite Schnellstart, und klicken Sie dann unter dem Abschnitt Berechtigungen auswählen auf den Link Jetzt konfigurieren. Die Seite Anwendungseigenschaften wird angezeigt.

  5. Führen Sie einen Bildlauf nach unten bis zum Abschnitt Berechtigungen für andere Anwendungen aus. In der ersten Spalte können Sie die verfügbaren Anwendungen in Ihrem Verzeichnis auswählen, die eine Web-API bereitstellen. Nachdem Sie diese ausgewählt haben, können Sie ggf. Anwendungs- und Delegierungsberechtigungen auswählen, die die Web-API bereitstellt.

  6. Nachdem Sie diese ausgewählt haben, klicken Sie auf der Befehlsleiste auf die Schaltfläche Speichern.

    noteHinweis
    Wenn Sie auf die Schaltfläche Speichern klicken, werden automatisch auch die Berechtigungen für die Anwendung in Ihrem Verzeichnis auf der Grundlage der Berechtigungen für andere Anwendungen festgelegt, die Sie konfiguriert haben. Sie können diese Anwendungsberechtigungen anzeigen, indem Sie die Registerkarte Eigenschaften der Anwendung verwenden.

Sie können eine Web-API entwickeln und für andere Unternehmen zur Verfügung stellen, indem Sie Ihre Berechtigungsbereiche für andere Entwickler bereitstellen. Eine ordnungsgemäß konfigurierte Web-API wird auf die gleiche Weise wie andere Microsoft-Web-APIs (einschließlich der Graph-API und der Office 365-APIs) zur Verfügung gestellt. Ihre Web-API wird durch Konfigurieren eines Anwendungsmanifests zur Verfügung gestellt. Dabei handelt es sich um eine JSON-Datei, die die Identitätskonfiguration Ihrer Anwendung darstellt. Sie können Ihre Berechtigungsbereiche bereitstellen, indem Sie zu Ihrer Anwendung im Azure-Verwaltungsportal navigieren und dann auf die Schaltfläche Anwendungsmanifest auf der Befehlsleiste klicken.

  1. Melden Sie sich am Azure-Verwaltungsportal an.

  2. Klicken Sie im linken Menü auf das Symbol Active Directory, und klicken Sie dann auf das gewünschte Verzeichnis.

  3. Klicken Sie im oberen Menü auf Anwendungen, und klicken Sie dann auf die Anwendung, die Sie konfigurieren möchten. Die Seite Schnellstart wird mit einmaligem Anmelden (SSO) und weiteren Konfigurationsinformationen angezeigt.

  4. Klicken Sie auf die Schaltfläche Manifest verwalten auf der Befehlsleiste, und wählen Sie dann Manifest herunterladen aus.

  5. Öffnen Sie die JSON-Anwendungsmanifestdatei, und ersetzen Sie den Knoten “oauth2Permissions” durch den folgenden JSON-Codeausschnitt. Dieser Codeausschnitt ist ein Beispiel für das Bereitstellen eines Berechtigungsbereichs, der als Benutzeridentitätswechsel bezeichnet wird. Stellen Sie sicher, dass Sie den Text und die Werte für Ihre eigene Anwendung ändern:

    "oauth2Permissions": [
        {
          "adminConsentDescription": "Allow the application full access to the Todo List service on behalf of the signed-in user",
          "adminConsentDisplayName": "Have full access to the Todo List service",
          "id": "b69ee3c9-c40d-4f2a-ac80-961cd1534e40",
          "isEnabled": true,
          “origin”: “Application”
          "type": "User",
          "userConsentDescription": "Allow the application full access to the todo service on your behalf",
          "userConsentDisplayName": "Have full access to the todo service",
          "value": "user_impersonation"
        }
      ],
    

    Der Wert id muss eine neu generierte GUID sein, die Sie erstellen, indem Sie ein Tool zum Generieren von GUIDs oder ein programmgesteuertes Verfahren verwenden. Sie stellt einen eindeutigen Bezeichner für die Berechtigung dar, die von der Web-API bereitgestellt wird. Nachdem der Client zum Anfordern des Zugriffs auf Ihre Web-API ordnungsgemäß konfiguriert wurde und die Web-API-aufruft, stellt er ein OAuth 2.0 JWT-Token bereit, dessen Bereichsanspruch (scp) auf den oben genannten Wert festgelegt ist. In diesem Fall ist dies User_impersonation.

    noteHinweis
    Sie können später bei Bedarf zusätzliche Berechtigungsbereiche bereitstellen. Bedenken Sie, dass Ihre Web-API mehrere Berechtigungen bereitstellen kann, die einer Vielzahl von unterschiedlichen Funktionen zugeordnet sind. Jetzt können Sie den Zugriff auf die Web-API steuern, indem Sie den Bereichsanspruch (scp) im empfangenen OAuth 2.0 JWT-Token verwenden.

  6. Speichern Sie die aktualisierte JSON-Datei, und laden Sie sie durch Klicken auf die Schaltfläche Manifest verwalten auf der Befehlsleiste hoch. Wählen Sie zu diesem Zweck Manifest hochladen aus, navigieren Sie zur aktualisierten Manifestdatei, und wählen Sie sie dann aus. Nach dem Hochladen ist Ihre Web-API jetzt so konfiguriert, dass sie von anderen Anwendungen im Verzeichnis verwendet werden kann.

  1. Klicken Sie im oberen Menü auf Anwendungen, wählen Sie die gewünschte Anwendung aus, für die Sie Zugriff auf die Web-API konfigurieren möchten, und klicken Sie dann auf Konfigurieren.

  2. Führen Sie einen Bildlauf nach unten bis zum Abschnitt Berechtigungen für andere Anwendungen aus. Klicken Sie auf das Dropdownmenü Anwendung auswählen. Sie können nun die Web-API auswählen, für die Sie soeben eine Berechtigung bereitgestellt haben. Wählen Sie die neue Berechtigung aus dem Dropdownmenü Delegierungsberechtigungen aus.

    Aufgabenlistenberechtigungen werden angezeigt

Die folgende Tabelle enthält die möglichen Werte für den oauth2Permissions-Teil der JSON-Anwendungsmanifestdatei.

 

Element Beschreibung

adminConsentDescription

Die Hilfebeschreibung im Hover über dem Zustimmungsdialogfeld des Administrators und auf der Eigenschaftenseite der App, der zugestimmt wurde.

adminConsentDisplayName

Der Anzeigename für die Berechtigung, die in den Anwendungs- und/oder Delegierungungsberechtigungsbereich-Dropdownmenüs angezeigt wird. Er wird auch Administratoren während der Zustimmung sowie auf der Eigenschaftenseite der App angezeigt.

id

Stellt einen eindeutigen internen Bezeichner für den Berechtigungsbereich dar. Dieser muss unter allen Berechtigungen für die Anwendung eindeutig sein, und es muss sich außerdem um eine GUID handeln.

isEnabled

Wird beim Erstellen oder Aktualisieren einer OAuth2-Berechtigung immer auf true festgelegt. Wenn Sie eine Berechtigung löschen möchten, müssen Sie diesen Werts zuerst auf false festgelegt und das Manifest hochladen. Anschließend können Sie die Berechtigung in einem nachfolgenden Manifestupload entfernen.

origin

Reserviert für zukünftige Verwendung. Legen Sie diesen Wert immer auf Application fest.

Typ

Folgende Werte sind möglich:

  • “User”: kann durch Endbenutzer zugestimmt werden.

  • “Admin”: muss von einem Unternehmensadministrator zugestimmt werden.

userConsentDescription

Die Hilfebeschreibung im Hover über dem Zustimmungsdialogfeld des Benutzers.

userConsentDisplayName

Der Anzeigename für die Berechtigung, der Endbenutzern während der Zustimmung angezeigt wird. Er wird auch auf der Eigenschaftenseite der App und im Zugriffsbereich der App verwendet.

value

Dieser Wert wird im Anspruch scp des OAuth 2.0-Zugriffstokens gespeichert, wenn der Benutzer dieser bestimmten Berechtigung zugestimmt hat. Die Web-API kann diesen Wert verwenden, um die Zugriffsebene zu begrenzen, die der Anwendung zugewiesen wird, wenn sie die Identität des Benutzers annimmt. Er darf keine keine Leerzeichen enthalten und muss unter allen anderen Berechtigungen in der Anwendung eindeutig sein.

In diesem Abschnitt wird beschrieben, wie Ihre Anwendung für den Zugriff auf die Graph-API aktualisiert wird, die in der Liste der Berechtigungen für andere Anwendungen als "Azure Active Directory" bezeichnet wird. Sie ist standardmäßig für alle Anwendungen verfügbar, die bei Azure AD registriert sind. Mit der Graph-API können Sie unter den folgenden Berechtigungen wählen:

 

Berechtigungsname Beschreibung Typ

Anmeldung aktivieren und Benutzerprofile lesen

Ermöglicht es Benutzern, sich bei der Anwendung mit ihren Organisationskonten anzumelden, und erlaubt der Anwendung, die Profile angemeldeter Benutzer zu lesen, z. B. ihre E-Mail-Adresse und Kontaktinformationen.

Nur Delegierungsberechtigung. Die Zustimmung kann durch Benutzer erfolgen.

Zugriff auf das Verzeichnis Ihrer Organisation

Die Anwendung darf das Verzeichnis der Organisation im Auftrag des angemeldeten Benutzers zugreifen.

Nur Delegierungsberechtigung. Die Zustimmung kann durch Benutzer in systemeigenen Clients bzw. nur durch einen Administrator für Webanwendungen erfolgen.

Verzeichnisdaten lesen

Die Anwendung darf Daten im Verzeichnis Ihrer Organisation lesen, z. B. Benutzer, Gruppen und Anwendungen.

Delegierungs- und die Anwendungsberechtigung. Die Zustimmung muss durch einen Administrator erfolgen.

Lesen und Schreiben von Verzeichnisdaten

Die Anwendung darf Daten im Verzeichnis Ihrer Organisation lesen bzw. in das Verzeichnis schreiben, z. B. Benutzer, Gruppen und Anwendungen.

Delegierungs- und die Anwendungsberechtigung. Die Zustimmung muss durch einen Administrator erfolgen.

Für vorhandene Benutzer im Azure-Verwaltungsportal entspricht das Festlegen der Anwendungsberechtigungen Lesen von Verzeichnisdaten und Lesen und Schreiben von Verzeichnisdaten über das neue Steuerelement Berechtigungen für andere Anwendungen dem früher verwendeten Assistenten zum Verwalten des Zugriffs. Wenn Sie die Berechtigungsbereiche anzeigen möchten, die von Office 365 bereitgestellt werden, lesen Sie bitte das Thema Authentifizierung und Autorisierung mithilfe des allgemeinen Consent Frameworks.

noteHinweis
Aufgrund einer aktuellen Einschränkung können systemeigene Clientanwendungen die Azure AD Graph-API nur aufrufen, wenn sie die Berechtigung Zugriff auf das Verzeichnis Ihrer Organisation verwenden. Diese Einschränkung gilt nicht für Webanwendungen.

Wenn Sie Azure AD eine Anwendung hinzufügen, wünschen Sie ggf., dass auf Ihre Anwendung nur durch Benutzer in Ihrer Organisation zugegriffen werden kann. Alternativ können Sie auch wünschen, dass auf Ihre Anwendung durch Benutzern in externen Organisationen zugegriffen werden kann. Diese beiden Anwendungstypen werden als Anwendungen mit einem Mandanten bzw. mehrinstanzenfähige Anwendungen bezeichnet. Sie können die Konfiguration einer Anwendungen mit einem Mandanten so ändern, dass eine mehrinstanzenfähige Anwendung entsteht, die weiter unten in diesem Abschnitt behandelt wird.

Es ist wichtig, die Unterschiede zwischen einer Anwendung mit einem Mandanten und einer mehrinstanzenfähigen Anwendung zu verstehen. Eine Einzelinstanzanwendung ist für die Verwendung in einem einzelnen Unternehmen gedacht. Es handelt sich dabei zumeist um eine Branchenanwendung (Line-of-Business, LOB), die von einem Unternehmensentwickler geschrieben wurde. Auf eine Einzelinstanzanwendung müssen nur Benutzer in einem Verzeichnis zugreifen. Daher muss diese auch nur in einem Verzeichnis bereitgestellt werden. Eine mehrinstanzenfähige Anwendung, die für die Verwendung in vielen Organisationen vorgesehen ist. Hierbei handelt es sich zumeist um eine SaaS-Anwendung (Software-as-a-Service), die von einem unabhängigen Softwarehersteller (ISV, Independent Software Vendor) geschrieben wurde. Mehrinstanzenfähige Anwendungen müssen in jedem Verzeichnis, in dem sie verwendet werden, bereitgestellt werden. Für diese Registrierung ist die Zustimmung eines Benutzers oder Administrators erforderlich.

Wenn Sie eine Anwendung schreiben, die Sie Ihren Kunden oder Partnern außerhalb Ihrer Organisation zur Verfügung stellen möchten, müssen Sie die Anwendungsdefinition im Azure-Verwaltungsportal aktualisieren.

noteHinweis
Wenn Sie externen Zugriff aktivieren, müssen Sie sicherstellen, dass der App-ID-URI Ihrer Anwendung zu einer überprüften Domäne gehört. Darüber hinaus muss die Rückgabe-URL mit https:// beginnen. Weitere Informationen finden Sie unter Application Objects and Service Principal Objects.

  1. Melden Sie sich am Azure-Verwaltungsportal an.

  2. Klicken Sie im linken Menü auf das Symbol Active Directory, und klicken Sie dann auf das gewünschte Verzeichnis.

  3. Klicken Sie im oberen Menü auf Anwendungen, und klicken Sie dann auf die Anwendung, die Sie konfigurieren möchten. Die Seite Schnellstart wird mit einmaligem Anmelden (SSO) und weiteren Konfigurationsinformationen angezeigt.

  4. Erweitern Sie den Abschnitt Mehrinstanzenfähige Anwendung konfigurieren auf der Seite Schnellstart, und klicken Sie dann im Abschnitt Zugriff aktivieren auf den Link Jetzt konfigurieren. Die Seite Anwendungseigenschaften wird angezeigt.

  5. Klicken Sie auf die Schaltfläche Ja neben Die Anwendung ist mehrinstanzfähig, und klicken Sie dann auf die Schaltfläche Speichern auf der Befehlsleiste.

Nachdem Sie die oben genannten Änderungen vorgenommen haben, sind Benutzer und Administratoren in anderen Organisationen in der Lage, Ihrer Anwendung Zugriff auf ihr Verzeichnis und anderen Daten zu gewähren.

Zum Gewähren des Zugriffs mithilfe des Consent Frameworks muss die Clientanwendung mithilfe von OAuth 2.0 Autorisierung anfordern. Codebeispiele sind verfügbar, die zeigen, wie eine Webanwendung, eine systemeigene Anwendung oder eine Server-/Daemonanwendung Autorisierungscodes und Zugriffstoken zum Aufrufen von Web-APIs anfordert.

Ihre Webanwendung kann ggf. eine Registrierungsbenutzeroberfläche für Benutzer zur Verfügung stellen. Wenn eine Registrierungsbenutzeroberfläche angeboten wird, wird davon ausgegangen, dass der Benutzer auf eine Registrierungsschaltfläche (oder auf eine Anmeldungsschaltfläche) klickt, die den Browser an den Azure AD OAuth2.0-Autorisierungsendpunkt oder einen OpenID Connect-Benutzerinformationenendpunkt weiterleitet. Diese Endpunkte ermöglichen der Anwendung, Informationen zum neuen Benutzer durch Untersuchen des id_token-Objekts abzurufen.

Alternativ kann Ihre Webanwendung auch eine Benutzeroberfläche bereitstellen, die Administratoren ermöglicht, ihr Unternehmen zu registrieren. Diese Benutzeroberfläche würde den Benutzer ebenfalls an den Azure AD-OAuth 2.0-Autorisierungsendpunkt weiterleiten. In diesem Fall können Sie auch einen Parameter prompt=admin_consent zum Auslösen der Administratorzustimmungs-Benutzeroberfläche übergeben, in der der Administrator die Zustimmung im Auftrag seiner Organisation erteilt. Bei einer erfolgreichen Zustimmung enthält die Antwort admin_consent=true. Wenn Sie ein Zugriffstoken einlösen, erhalten Sie ebenfalls ein id_token, das Informationen zu der Organisation und zum Administrator bereitstellt, der sich für Ihre Anwendung registriert hat.

Dieser Abschnitt beschreibt die Legacybenutzeroberfläche für die Zustimmung, die bis zum 12. März 2014 verwendet wurde. Diese Benutzeroberfläche wird weiterhin unterstützt und wird im Folgenden beschrieben. Vor der neuen Funktionalität konnten Sie nur die folgenden Berechtigungen erteilen:

  • Anmelden von Benutzern aus ihrer Organisation

  • Anmelden von Benutzern und Lesen der Verzeichnisdaten ihrer Organisation (nur als Anwendung)

  • Anmelden von Benutzern und Lesen und Schreiben der Verzeichnisdaten ihrer Organisation (nur als Anwendung)

Sie können die unter Entwickeln mehrinstanzenfähiger Webanwendungen mit Azure AD beschriebenen Schritte verwenden, um Zugriff für neue Anwendungen zu erteilen, die in Azure AD registriert wurden. Beachten Sie unbedingt, dass das neue Consent Framework viel leistungsfähigere Anwendungen ermöglicht und außerdem Benutzern (und nicht nur Administratoren) die Möglichkeit bietet, diesen Anwendungen zuzustimmen.

Damit sich externe Benutzer für Ihre App mithilfe ihrer Organisationskonten registrieren können, müssen Sie Ihre App so aktualisieren, dass Sie eine Schaltfläche anzeigt, die einen Link zu der Seite in Azure AD darstellt, die es ihnen ermöglicht, den Zugriff zu gewähren. Einen Brandingleitfaden für diese Registrierungsschaltfläche finden Sie im Thema Brandingrichtlinien für integrierte Anwendungen. Nachdem der Benutzer den Zugriff gewährt oder verweigert hat, leitet die Azure AD-Seite zum Erteilen des Zugriffs den Browser mit einer Antwort erneut an Ihre App weiter. Weitere Informationen zu Anwendungseigenschaften finden Sie unter Application Object.

Die Seite zum Erteilen des Zugriffs wird von Azure AD erstellt. Sie finden einen Link zu dieser Seite auf der Seite Konfiguration Ihrer App im Verwaltungsportal. Klicken Sie zum Abrufen der Seite Konfiguration im oberen Menü Ihres Azure AD-Mandanten auf den Link Anwendungen, klicken Sie auf die App, die Sie konfigurieren möchten, und klicken Sie dann im oberen Menü der Seite Schnellstart auf Konfigurieren.

Der Link für Ihre Anwendung sieht folgendermaßen aus: http://account.activedirectory.windowsazure.com/Consent.aspx?ClientID=058eb9b2-4f49-4850-9b78-469e3176e247&RequestedPermissions=DirectoryReaders&ConsentReturnURL= https%3A%2F%2Fadatum.com%2FExpenseReport.aspx%3FContextId%3D123456. Die folgende Tabelle beschreibt die Bestandteile des Links:

 

Parameter Beschreibung

ClientId

Erforderlich. Die Client-ID, die Sie beim Hinzufügen Ihrer App erhalten haben.

RequestedPermissions

Optional. Die Zugriffsebene, die Ihre App anfordert. Diese wird dem Benutzer angezeigt, der Ihrer App den Zugriff gewährt. Wenn keine Angabe erfolgt, wird als angeforderte Zugriffsebene standardmäßig nur einmaliges Anmelden verwendet. Die anderen Optionen sind DirectoryReaders und DirectoryWriters. Weitere Informationen zu diesen Berechtigungen finden Sie unter Application Access Levels.

ConsentReturnUrl

Optional. Die URL, an die die Antwort zum Erteilen des Zugriffs zurückgegeben werden soll. Dieser Wert muss URL-codiert sein und sich unter der gleichen Domäne wie die Reply URL befinden, die in Ihrer Anwendungsdefinition konfiguriert ist. Wenn keine Angabe erfolgt, wird die Antwort zum Erteilen des Zugriffs an Ihre konfigurierte Reply URL weitergeleitet.

Wenn Sie eine ConsentReturnUrl angeben, die sich von der Reply URL unterscheidet, kann Ihre App separate Logik implementieren, die die Antwort für eine andere URL aus der Reply URL verarbeiten kann (die normalerweise SAML-Token für die Anmeldung verarbeitet). Sie können auch weitere Parameter in der ConsentReturnURL-codierten URL angeben. Diese werden als Abfragezeichenfolgen-Parameter bei der Umleitung zurück an Ihre Anwendung übergeben. Dieser Mechanismus kann verwendet werden, um zusätzliche Informationen zu verwalten oder die Anforderung Ihrer App für eine Zugriffserteilung an die Antwort von Azure AD zu binden.

Wenn eine Anwendung eine Weiterleitung an den Link zum Erteilen des Zugriffs vornimmt, zeigen die folgenden Abbildungen, welche Benutzeroberfläche verwendet wird.

Wenn der Benutzer noch nicht angemeldet ist, wird er dazu aufgefordert:

Anmelden bei AAD

Nachdem der Benutzer authentifiziert wurde, leitet Azure AD den Benutzer auf die Seite zum Erteilen des Zugriffs weiter:

Gewähren von Zugriff

noteHinweis
Nur der Unternehmensadministrator der externen Organisation kann den Zugriff auf Ihre App erteilen. Wenn der Benutzer kein Unternehmensadministrator ist, besteht eine Option zum Senden einer Nachrichten an seinen Unternehmensadministrator, um anzufordern, dass dieser App Zugriff gewährt wird.

Nachdem der Kunde für Ihre App durch Klicken auf Zugriff gewähren den Zugriff gewährt oder durch Klicken auf Abbrechen den Zugriff verweigert hat, sendet Azure AD eine Antwort an die ConsentReturnUrl oder an die konfigurierte Reply URL. Diese Antwort enthält die folgenden Parameter:

 

Parameter Beschreibung

TenantId

Die eindeutige ID der Organisation in Azure AD, die den Zugriff für Ihre App gewährt hat. Dieser Parameter wird nur angegeben, wenn der Kunde den Zugriff gewährt hat.

Consent

Der Wert wird auf Gewährt festgelegt, wenn der App der Zugriff gewährt wurde, oder auf Verweigert, wenn die Anforderung abgelehnt wurde.

Weitere Parameter werden an die Anwendung zurückgegeben, wenn sie als Teil der ConsentReturnUrl-codierten URL angegeben wurden. Das folgende Beispiel zeigt eine Antwort auf eine Anforderung zum Erteilen des Zugriffs, die angibt, dass die Anwendung autorisiert wurde, und sie enthält eine ContextID, die in der Anforderung zum Erteilen des Zugriffs bereitgestellt wurde: https://adatum.com/ExpenseReport.aspx?ContextID=123456&Consent=Granted&TenantId=f03dcba3-d693-47ad-9983-011650e64134

noteHinweis
Die Antwort zum Erteilen des Zugriffs enthält kein Sicherheitstoken für den Benutzer. Die App muss den Benutzer separat anmelden.

Das folgende Beispiel zeigt eine Antwort auf eine Anforderung zum Erteilen des Zugriffs, die verweigert wurde: https://adatum.com/ExpenseReport.aspx?ContextID=123456&Consent=Denied

Während der Lebensdauer Ihrer App müssen Sie ggf. die Schlüssel ändern, die Sie verwenden, wenn Sie Azure AD aufrufen, um ein Zugriffstoken für den Aufruf der Graph-API abzurufen. Das Ändern von Schlüssels fällt im Allgemeinen in eine von zwei Kategorien: Rollover nach einem Notfall, wenn der Schlüssel kompromittiert wurde, oder Rollover, wenn Ihr aktueller Schlüssel bald abläuft. Das folgende Verfahren sollte verwendet werden, um für Ihre App unterbrechungsfreien Zugriff bereitzustellen, während Sie Ihre Schlüssel (in erster Linie für den zweiten Fall) aktualisieren.

  1. Klicken Sie im Azure-Verwaltungsportal auf Ihren Verzeichnismandanten, klicken Sie im oberen Menü auf Anwendungen, und klicken Sie dann auf die App, die Sie konfigurieren möchten. Die Seite Schnellstart wird mit einmaligem Anmelden (SSO) und weiteren Konfigurationsinformationen angezeigt.

  2. Klicken Sie im oberen Menü auf Konfigurieren, um eine Liste der Eigenschaften Ihrer App anzuzeigen. Es wird eine Liste Ihrer Schlüssel angezeigt.

  3. Klicken Sie unter Schlüssel auf die Dropdownliste mit dem Titel Dauer auswählen, wählen Sie 1 oder 2 Jahre aus, und klicken Sie dann auf der Befehlsleiste auf Speichern. Ein neuer Kennwortschlüssel wird für die App generiert. Kopieren Sie diesen neuen Kennwortschlüssel. Nun kann der vorhandene oder der neue Schlüssel von Ihrer App verwendet werden, um ein Zugriffstoken aus Azure AD abzurufen.

  4. Kehren Sie zu Ihrer App zurück, und aktualisieren Sie die Konfiguration, damit mit der Verwendung des neuen Kennwortschlüssels begonnen wird. Ein Beispiel dafür, wo diese Aktualisierung stattfinden sollte, finden Sie unter Verwenden der Graph-API zum Abfragen von Azure AD.

  5. Sie sollten nun ein Rollout dieser Änderung für Ihre Produktionsumgebung ausführen. Überprüfen Sie dieses zuerst auf einen Dienstknoten, bevor Sie das Rollout für den Rest ausführen.

  6. Nachdem das Update in Ihrer Produktionsbereitstellung abgeschlossen ist, können Sie zum Azure-Verwaltungsportal zurückkehren und den alten Schlüssel entfernen.

Nachdem Sie den Zugriff auf Ihre App für externe Benutzern aktiviert haben, können Sie weiterhin Änderungen an den Eigenschaften Ihrer App im Azure-Verwaltungsportal vornehmen. Kunden, die bereits den Zugriff auf Ihre App erteilt haben, before Sie Änderungen an der App vorgenommenen haben, sehen allerdings diese Änderungen beim Anzeigen von Details zu Ihrer Anwendung nicht im Azure-Verwaltungsportal. Sobald die Anwendung Kunden zur Verfügung gestellt wurde, müssen Sie sehr vorsichtig sein, wenn Sie bestimmte Änderungen vornehmen. Wenn Sie z. B. den App ID URI aktualisieren, können sich Ihre vorhandenen Kunden, die den Zugriff vor dieser Änderung erteilt haben, nicht bei Ihrer App mithilfe ihrer Firmen- oder Schulkonten anzumelden.

Wenn Sie eine Änderung an den RequestedPermissions vornehmen, um eine höhere Zugriffsebene anzufordern, erhalten vorhandene Kunden, die App-Funktionen verwenden, die jetzt mithilfe dieser höheren Zugriffsebene neue API-Aufrufe nutzen, ggf. eine Antwort "Zugriff verweigert" von der Graph-API. Ihre App sollte Vorkehrungen für diese Fälle treffen und Kunden bitten, den Zugriff auf Ihre App mit der Anforderung für eine höhere Zugriffsebene zu gewähren.

Dieser Abschnitt beschreibt, wie eine Anwendung aus Ihrem Verzeichnis entfernt wird (Anwendungen mit einem Mandanten und mehrinstanzenfähige Anwendungen).

  1. Melden Sie sich am Azure-Verwaltungsportal an.

  2. Klicken Sie im linken Menü auf das Symbol Active Directory, und klicken Sie dann auf das gewünschte Verzeichnis.

  3. Klicken Sie im oberen Menü auf Anwendungen, und klicken Sie dann auf die Anwendung, die Sie konfigurieren möchten. Die Seite Schnellstart wird mit einmaligem Anmelden (SSO) und weiteren Konfigurationsinformationen angezeigt.

  4. Klicken Sie auf der Befehlsleiste auf die Schaltfläche Löschen.

  5. Klicken Sie in der Bestätigungsmeldung auf Ja.

  1. Melden Sie sich am Azure-Verwaltungsportal an.

  2. Klicken Sie im linken Menü auf das Symbol Active Directory, und klicken Sie dann auf das gewünschte Verzeichnis.

  3. Klicken Sie im oberen Menü auf Anwendungen, und klicken Sie dann auf die Anwendung, die Sie konfigurieren möchten. Die Seite Schnellstart wird mit einmaligem Anmelden (SSO) und weiteren Konfigurationsinformationen angezeigt.

  4. Klicken Sie im Abschnitt Die Anwendung ist mehrinstanzfähig auf Nein. Ihre Anwendung wird in eine Anwendung mit einem Mandanten konvertiert. Die Anwendung verbleibt jedoch weiterhin in einer Organisation, die ihr bereits zugestimmt hat.

  5. Klicken Sie auf der Befehlsleiste auf die Schaltfläche Löschen.

  6. Klicken Sie in der Bestätigungsmeldung auf Ja.

Damit ein Unternehmensadministrator den Zugriff einer App auf das Verzeichnis entfernen kann (nachdem die Zustimmung erteilt wurde), muss der Unternehmensadministrator über ein Azure-Abonnement zum Entfernen des Zugriffs über das Azure-Verwaltungsportal verfügen. Alternativ kann der Unternehmensadministrator Azure AD PowerShell-Cmdlets verwenden, um den Zugriff zu entfernen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft