警告
本内容适用于较旧版本的 Azure AD v1.0 终结点。 将 Microsoft标识平台 用于新项目。
Web 应用是向 Web 应用程序验证 Web 浏览器中用户身份的应用程序。 在此方案中,Web 应用程序会引导用户的浏览器登录到 Azure AD。 Azure AD 通过用户的浏览器返回登录响应,其中包含安全令牌中有关用户的声明。 此方案支持使用 OpenID Connect、SAML 2.0 和 WS-Federation 协议进行登录。
图表
协议流
- 当用户访问应用程序并需要登录时,会通过登录请求重定向到 Azure AD 中的身份验证终结点。
- 用户在登录页上登录。
- 如果身份验证成功,Azure AD 将创建一个身份验证令牌,并将登录响应返回到在 Azure 门户中配置的应用程序的回复 URL。 对于生产应用程序,此回复 URL 应为 HTTPS。 返回的令牌包含应用程序验证令牌所需的关于用户和 Azure AD 的声明。
- 应用程序使用 Azure AD 联合元数据文档中提供的公钥和颁发者信息来验证令牌。 应用程序验证令牌后,会启动与用户的新会话。 此会话允许用户访问应用程序,直到应用程序过期。
代码示例
请参阅 Web 浏览器到 Web 应用程序方案的代码示例。 而且,在频繁添加新示例时,请经常重新检查。
应用注册
若要注册 Web 应用,请参阅 “注册应用”。
- 单租户 - 如果要为组织生成应用程序,则必须使用 Azure 门户在公司的目录中注册该应用程序。
- 多租户 - 如果要构建组织外部的用户可以使用的应用程序,则必须在公司的目录中注册该应用程序,但还必须在将使用该应用程序的每个组织的目录中注册该应用程序。 为了使您的应用程序在他们的目录中可用,您可以包含一个注册流程,允许客户同意使用您的应用程序。 注册应用程序时,它们将显示一个对话框,其中显示了应用程序所需的权限,然后显示同意的选项。 根据所需的权限,其他组织中的管理员可能需要授予许可。 当用户或管理员同意时,应用程序会在其目录中注册。
令牌过期
Azure AD 颁发的令牌的生存期到期时,用户的会话将过期。 如果需要,应用程序可以缩短此时间段,例如根据处于非活动状态的时间段注销用户。 会话过期时,系统会提示用户再次登录。