閱讀英文

共用方式為

为 P2S VPN Microsoft Entra ID 身份验证创建或修改自定义受众应用 ID

  • 發行項
  • 2024/10/15

本文中的步骤可帮助您为 Azure VPN 客户端创建 Microsoft Entra ID 自定义应用 ID(自定义受众),以实现点到站点 (P2S) 连接。

本文提供大致步骤。 注册应用程序的屏幕截图可能会略有不同,具体取决于你访问用户界面的方式,但设置相同。 有关详细信息,请参阅快速入门:注册应用程序。 有关 P2S 的 Microsoft Entra ID 身份验证的更多信息,请参阅 P2S 的 Microsoft Entra ID 身份验证

如果要配置自定义受众应用 ID 以便根据用户和组配置或限制访问权限,请参阅方案:根据用户和组配置 P2S 访问权限 - Microsoft Entra ID 身份验证。 此方案文章概述了分配权限的工作流和步骤。

先决条件

  • 在继续此配置之前,您必须同意允许应用登录并读取用户配置文件。 你必须使用分配有云应用程序管理员角色的帐户登录。

    1. 要授予组织的管理员同意,请修改以下命令以包含所需的 client_id 值。

      https://login.partner.microsoftonline.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    2. 在浏览器地址栏中复制并粘贴与你的部署位置相关的 URL。

    3. 如果出现提示,请选择具有云应用程序管理员角色的帐户。

    4. 在“请求的权限”页上,选择“接受”。

注册应用程序

可通过几种不同的方法来访问“应用注册”页。 可以使用 Azure 门户和 Microsoft Entra ID。 使用具有云应用程序管理员角色或更高角色的帐户登录。

  1. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标,通过“目录 + 订阅”菜单切换到你希望在其中注册应用程序的租户。

  2. 转到“应用注册”,然后选择“新注册”。

    显示“应用注册”页的屏幕截图,其中选择了“新建注册”。

  3. 在“注册应用程序”页上,输入应用程序的显示“名称”。 应用程序的用户在使用应用时(例如,在登录过程中)可能会看到显示名称。 可随时更改显示名称。 多个应用注册可以共享相同的名称。 应用注册自动生成的应用程序(客户端)ID 在标识平台中唯一地标识应用。

    显示“注册应用程序”页的屏幕截图。

  4. 指定可使用该应用程序的人员,这有时称为“登录访问者”。 选择“仅此组织目录中的帐户(仅你的目录的名称 - 单个租户)”

  5. 暂时不考虑“重定向 URI (可选)”,因为你在下一节中会配置一个重定向 URI

  6. 选择“注册”,完成初始应用注册。

注册完成后,Microsoft Entra 管理中心会显示应用注册的“概述”窗格。 你会看到应用程序(客户端)ID。 此值也被称为客户端 ID,它可唯一地标识 Microsoft 标识平台中的应用程序。 这是你配置 P2S 网关时使用的自定义受众值。 即使存在此值,仍需要完成后续部分。

公开 API 并添加范围

在本部分中,你将创建一个范围来分配精细权限。

  1. 在已注册应用的左窗格中,选择“公开 API”。

    屏幕截图显示了“公开 API”页。

  2. 选择添加范围。 在“添加范围”窗格中,查看应用程序 ID URI。 此字段是自动生成的。 这默认为 api://<application-client-id>。 应用 ID URI 充当你在 API 代码中引用的范围的前缀,它必须是全局唯一的。

    屏幕截图显示了“添加范围”窗格,其中包含应用程序 ID URI。

  3. 选择“保存并继续”以转到下一个“添加范围”窗格。

  4. 在此“添加范围”窗格中,指定范围的特性。 对于本演练,你可以使用示例值或指定自己的值。

    屏幕截图显示了“添加范围”窗格,其中包含更多设置。

    字段
    范围名称 示例:p2s-vpn1
    谁可以许可 仅管理员
    管理员许可显示名称 示例:p2s-vpn1-users
    管理员许可说明 示例:访问 P2S VPN
    State 已启用

  5. 选择“添加范围”以添加范围。

添加 Azure VPN 客户端应用程序

在本部分中,您将关联 Azure VPN 客户端应用程序 ID。

  1. 在“公开 API”页上,选择“+ 添加客户端应用程序”

    屏幕截图显示了“添加客户端应用程序”处于选中状态。

  2. 在“添加客户端应用程序”窗格中,对于“客户端 ID”,请使用由 Azure VPN 客户端应用 49f817b6-84ae-4cc0-928c-73f27289b3aa 的世纪互联应用程序 ID 运营的 Microsoft Azure。

    屏幕截图显示“添加客户端应用程序”窗格。

  3. 确保已选择“授权范围”。

  4. 选择添加应用程序

收集值

在应用程序的“概述”页上,记下为 Microsoft Entra ID 身份验证配置点到站点 VPN 网关时所需的以下值。

  • 应用程序(客户端)ID:这是配置 P2S VPN 网关时用于“受众”字段的自定义受众 ID。
  • 目录(租户)ID:此值是 P2S VPN 网关的“租户”和“颁发者”字段所需的值的一部分。

配置 P2S VPN 网关

完成前面部分中的步骤后,请继续为 Microsoft Entra ID 身份验证配置 P2S VPN 网关

后续步骤