Microsoft Entra 应用注册指南：Azure AD 应用配置、API权限与OAuth流程详解

entra-app-registration by microsoft/azure-skills

76,800 周安装量

497 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/microsoft/azure-skills --skill entra-app-registration

🇨🇳中文介绍

概述

Microsoft Entra ID（前身为 Azure Active Directory）是微软基于云的身份和访问管理服务。应用注册允许应用程序安全地验证用户身份并访问 Azure 资源。

核心概念

概念	描述
应用注册	允许应用使用 Microsoft 身份平台的配置
应用程序（客户端）ID	应用程序的唯一标识符
租户 ID	Azure AD 租户/目录的唯一标识符
客户端密码	应用程序的密码（仅限机密客户端）
重定向 URI	发送身份验证响应的 URL
API 权限	应用请求的访问范围
服务主体	注册应用时在租户中创建的身份

应用类型

类型	用例

🇺🇸English

Overview

Microsoft Entra ID (formerly Azure Active Directory) is Microsoft's cloud-based identity and access management service. App registrations allow applications to authenticate users and access Azure resources securely.

Key Concepts

Concept	Description
App Registration	Configuration that allows an app to use Microsoft identity platform
Application (Client) ID	Unique identifier for your application
Tenant ID	Unique identifier for your Azure AD tenant/directory
Client Secret	Password for the application (confidential clients only)
Redirect URI	URL where authentication responses are sent
API Permissions	Access scopes your app requests
Service Principal	Identity created in your tenant when you register an app

Application Types

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

步骤 1：注册应用程序

在 Azure 门户或使用 Azure CLI 创建应用注册。

导航到 Azure 门户 → Microsoft Entra ID → 应用注册
点击"新注册"
提供名称、支持的帐户类型和重定向 URI
点击"注册"

CLI 方法： 参见 references/cli-commands.md IaC 方法： 参见 references/BICEP-EXAMPLE.bicep

如果您已在项目中使用 IaC、需要可扩展的解决方案来管理大量应用注册，或者需要配置更改的细粒度审计历史，强烈建议使用 IaC 来管理 Entra 应用注册。

步骤 2：配置身份验证

根据您的应用程序类型设置身份验证。

Web 应用：添加重定向 URI，如果需要则启用 ID 令牌
单页应用：添加重定向 URI，必要时启用隐式授权流
移动/桌面应用：使用 http://localhost 或自定义 URI 方案
服务：客户端凭据流不需要重定向 URI

步骤 3：配置 API 权限

授予您的应用程序访问 Microsoft API 或您自己的 API 的权限。

常见的 Microsoft Graph 权限：

User.Read - 读取用户个人资料
User.ReadWrite.All - 读取和写入所有用户
Directory.Read.All - 读取目录数据
Mail.Send - 以用户身份发送邮件

详细信息： 参见 references/api-permissions.md

步骤 4：创建客户端凭据（如果需要）

对于机密客户端应用程序（Web 应用、服务），创建客户端密码、证书或联合身份凭据。

客户端密码：

导航到"证书和密码"
创建新的客户端密码
立即复制值（仅显示一次）
安全存储（推荐使用 Key Vault）

证书： 对于生产环境，使用证书而非密码以增强安全性。通过"证书和密码"部分上传证书。

联合身份凭据： 用于将机密客户端动态验证到 Entra 平台。

步骤 5：实现 OAuth 流程

将 OAuth 流程集成到您的应用程序代码中。

references/oauth-flows.md - OAuth 2.0 流程详情
references/console-app-example.md - 控制台应用实现

模式 1：首次应用注册

引导用户逐步完成首次应用注册。

应用程序名称
应用程序类型（Web、单页应用、移动、服务）
重定向 URI（如适用）
所需权限

模式 2：具有用户身份验证的控制台应用程序

创建一个对用户进行身份验证的 .NET/Python/Node.js 控制台应用。

编程语言（C#、Python、JavaScript 等）
身份验证库（推荐 MSAL）
所需权限

模式 3：服务到服务身份验证

设置无需用户交互的守护程序/服务身份验证。

服务/应用名称
目标 API/资源
使用密码还是证书

实现： 使用客户端凭据流（参见 references/oauth-flows.md#client-credentials-flow）

命令	用途
`az ad app create`	创建新的应用注册
`az ad app list`	列出应用注册
`az ad app show`	显示应用详情
`az ad app permission add`	添加 API 权限
`az ad app credential reset`	生成新的客户端密码
`az ad sp create`	创建服务主体

完整参考： 参见 references/cli-commands.md

Microsoft 身份验证库

MSAL 是集成 Microsoft 身份平台的推荐库。

支持的语言：

.NET/C# - Microsoft.Identity.Client
JavaScript/TypeScript - @azure/msal-browser, @azure/msal-node
Python - msal

实践	建议
切勿硬编码密码	使用环境变量、Azure Key Vault 或托管身份
定期轮换密码	设置过期时间，自动化轮换
使用证书而非密码	生产环境更安全
最小权限原则	仅请求必需的 API 权限
启用 MFA	要求用户进行多因素身份验证
使用托管身份	对于 Azure 托管的应用程序，完全避免使用密码
验证令牌	始终验证颁发者、受众、过期时间
仅使用 HTTPS	所有重定向 URI 必须使用 HTTPS（localhost 除外）
监控登录活动	使用 Entra ID 登录日志进行异常检测

Azure Identity : Python | .NET | TypeScript | Java | Rust
Key Vault : Python | TypeScript
Auth Events : .NET

OAuth 流程 - 详细的 OAuth 2.0 流程说明
CLI 命令 - 应用注册的 Azure CLI 参考
控制台应用示例 - 完整的工作示例
首次应用注册 - 面向初学者的分步指南
API 权限 - 理解和配置权限
故障排除 - 常见问题及解决方案

Type	Use Case
Web Application	Server-side apps, APIs
Single Page App (SPA)	JavaScript/React/Angular apps
Mobile/Native App	Desktop, mobile apps
Daemon/Service	Background services, APIs

Step 1: Register the Application

Create an app registration in the Azure portal or using Azure CLI.

Navigate to Azure Portal → Microsoft Entra ID → App registrations
Click "New registration"
Provide name, supported account types, and redirect URI
Click "Register"

CLI Method: See references/cli-commands.md IaC Method: See references/BICEP-EXAMPLE.bicep

It's highly recommended to use the IaC to manage Entra app registration if you already use IaC in your project, need a scalable solution for managing lots of app registrations or need fine-grained audit history of the configuration changes.

Step 2: Configure Authentication

Set up authentication settings based on your application type.

Web Apps : Add redirect URIs, enable ID tokens if needed
SPAs : Add redirect URIs, enable implicit grant flow if necessary
Mobile/Desktop : Use http://localhost or custom URI scheme
Services : No redirect URI needed for client credentials flow

Step 3: Configure API Permissions

Grant your application permission to access Microsoft APIs or your own APIs.

Common Microsoft Graph Permissions:

User.Read - Read user profile
User.ReadWrite.All - Read and write all users
Directory.Read.All - Read directory data
Mail.Send - Send mail as a user

Step 4: Create Client Credentials (if needed)

For confidential client applications (web apps, services), create a client secret, certificate or federated identity credential.

Navigate to "Certificates & secrets"
Create new client secret
Copy the value immediately (only shown once)
Store securely (Key Vault recommended)

Certificate: For production environments, use certificates instead of secrets for enhanced security. Upload certificate via "Certificates & secrets" section.

Federated Identity Credential: For dynamically authenticating the confidential client to Entra platform.

Step 5: Implement OAuth Flow

Integrate the OAuth flow into your application code.

references/oauth-flows.md - OAuth 2.0 flow details
references/console-app-example.md - Console app implementation

Pattern 1: First-Time App Registration

Walk user through their first app registration step-by-step.

Required Information:

Application name
Application type (web, SPA, mobile, service)
Redirect URIs (if applicable)
Required permissions

Pattern 2: Console Application with User Authentication

Create a .NET/Python/Node.js console app that authenticates users.

Required Information:

Programming language (C#, Python, JavaScript, etc.)
Authentication library (MSAL recommended)
Required permissions

Pattern 3: Service-to-Service Authentication

Set up daemon/service authentication without user interaction.

Required Information:

Service/app name
Target API/resource
Whether to use secret or certificate

Implementation: Use Client Credentials flow (see references/oauth-flows.md#client-credentials-flow)

Command	Purpose
`az ad app create`	Create new app registration
`az ad app list`	List app registrations
`az ad app show`	Show app details
`az ad app permission add`	Add API permission
`az ad app credential reset`	Generate new client secret
`az ad sp create`	Create service principal

Complete reference: See references/cli-commands.md

Microsoft Authentication Library (MSAL)

MSAL is the recommended library for integrating Microsoft identity platform.

Supported Languages:

.NET/C# - Microsoft.Identity.Client
JavaScript/TypeScript - @azure/msal-browser, @azure/msal-node
Python - msal

Security Best Practices

Practice	Recommendation
Never hardcode secrets	Use environment variables, Azure Key Vault, or managed identity
Rotate secrets regularly	Set expiration, automate rotation
Use certificates over secrets	More secure for production
Least privilege permissions	Request only required API permissions
Enable MFA	Require multi-factor authentication for users
Use managed identity	For Azure-hosted apps, avoid secrets entirely
Validate tokens	Always validate issuer, audience, expiration
Use HTTPS only	All redirect URIs must use HTTPS (except localhost)
Monitor sign-ins	Use Entra ID sign-in logs for anomaly detection

SDK Quick References

Azure Identity : Python | .NET | TypeScript | Java | Rust
Key Vault (secrets) : Python | TypeScript
Auth Events : .NET

OAuth Flows - Detailed OAuth 2.0 flow explanations
CLI Commands - Azure CLI reference for app registrations
Console App Example - Complete working examples
First App Registration - Step-by-step guide for beginners
API Permissions - Understanding and configuring permissions
Troubleshooting - Common issues and solutions

Microsoft Entra 应用注册指南：Azure AD 应用配置、API权限与OAuth流程详解

🇨🇳中文介绍

概述

核心概念

应用类型

🇺🇸English

Overview

Key Concepts

Application Types

相关 Skills

核心工作流程

步骤 1：注册应用程序

步骤 2：配置身份验证

步骤 3：配置 API 权限

步骤 4：创建客户端凭据（如果需要）

步骤 5：实现 OAuth 流程

常见模式

模式 1：首次应用注册

模式 2：具有用户身份验证的控制台应用程序

模式 3：服务到服务身份验证

MCP 工具和 CLI

Azure CLI 命令

Microsoft 身份验证库

安全最佳实践

SDK 快速参考

参考资料

外部资源

Core Workflow

Step 1: Register the Application

Step 2: Configure Authentication

Step 3: Configure API Permissions

Step 4: Create Client Credentials (if needed)

Step 5: Implement OAuth Flow

Common Patterns

Pattern 1: First-Time App Registration

Pattern 2: Console Application with User Authentication

Pattern 3: Service-to-Service Authentication

MCP Tools and CLI

Azure CLI Commands

Microsoft Authentication Library (MSAL)

Security Best Practices

SDK Quick References

References

External Resources