调用 Web API 的守护程序应用 - 应用注册

对于守护程序应用程序,在注册该应用时需了解下面这些内容。

支持的帐户类型

在 Microsoft Entra 租户中创建应用程序时,请选择以下用于应用注册的选项之一:

  • 仅此组织目录中的帐户。 这是最常见的选择,因为守护程序应用程序由业务线 (LOB) 开发人员编写。
  • 任何组织目录中的帐户。 如果是为客户提供实用工具的独立软件供应商 (ISV),则可以选择此选项。 需要获得客户的租户管理员批准。

身份验证 - 不需回复 URI

如果机密客户端应用程序仅 使用客户端凭据流,则不需注册回复 URI。 应用程序配置或构造不需要它。 客户端凭据流不使用它。

守护程序应用程序只能请求针对 API 的应用程序权限(非委托权限)。 在应用程序注册的“API 权限”页上, 在选择“添加权限”并选择 API 系列以后,请在选择“应用程序权限”后再选择权限 。

Screenshot of app permissions and admin consent.

要调用的 Web API 需要定义应用程序权限(应用角色),而不是委托的权限。 有关如何公开此类 API 的详细信息,请参阅受保护的 Web API:应用注册 - 当守护程序应用调用 Web API 时

守护程序应用程序需要获得租户管理员的预先许可,然后该应用程序才能调用 Web API。 租户管理员在同一“API 权限”页中提供此许可, 只需选择“向我们的组织授予管理员许可”即可

如果你是构建多租户应用程序的 ISV,则应阅读部署 - 多租户守护程序应用的示例部分。

如果你不熟悉 OAuth 2.0 和 OpenID Connect 的标识和访问管理 (IAM),甚至不熟悉 Microsoft 标识平台上的 IAM,请将下列文章加入你的阅读列表。

虽然在完成第一个快速入门或教程之前不需要阅读这些文章,但是它们涵盖了平台不可或缺的主题,熟悉它们将有助于构建更复杂的方案。

后续步骤

转到此方案中的下一篇文章:应用代码配置