10. 1. Register app on azure portal
2. Update manifest to oauth2AllowImplicitFlow = true
3. Add permissions
4. Grant permissions
5. Develop app and publish
11.
12.
13.
14. Integrating applications with Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-
directory/develop/active-directory-integrating-
applications
Understanding Office 365 identity and Azure Active Directory
https://support.office.com/en-us/article/Understanding-Office-365-
identity-and-Azure-Active-Directory-06a189e7-5ec6-4af2-94bf-
a22ea225a7a9?ui=en-US&rs=en-US&ad=US
Ukrainian SharePoint Group Community
https://www.facebook.com/groups/spsua
Sergii Bielskyi Blog
http://blogs.msdn.com/b/sergey_belskiy_technical_blog/
Editor's Notes
Разработчики корпоративных решений и поставщики программного обеспечения как услуги (SaaS) могут разрабатывать коммерческие облачные службы или бизнес-приложения, которые можно интегрировать с Azure Active Directory (Azure AD) для обеспечения безопасного входа и авторизации для служб. Чтобы интегрировать приложение или службу с Azure AD, разработчику сначала необходимо зарегистрировать сведения о своем приложении в Azure AD с помощью классического портала управления Azure.
В Office 365 для управления пользователями применяется облачная служба проверки подлинности пользователей Azure Active Directory. При настройке учетных записей пользователей и управлении ими в Office 365 можно выбрать одну из трех основных моделей удостоверений, перечисленных ниже
Облачные удостоверения. Управление учетными записями пользователей осуществляется только в Office 365. Для управления пользователями не нужны локальные серверы, так как все задачи можно выполнять в облаке.
Синхронизированные удостоверения. Синхронизируйте объекты локального каталога с Office 365 и управляйте пользователями локально. Вы также можете синхронизировать пароли, чтобы пользователи могли вводить один пароль в локальной среде и в облаке, но им необходимо будет повторно выполнить вход для работы в Office 365.
Федеративные удостоверения. Синхронизируйте объекты локального каталога с Office 365 и управляйте пользователями локально. Пользователи вводят один и тот же пароль в локальной среде и в облаке, и им не нужно повторно выполнять вход для работы в Office 365. Эту модель часто называют единым входом.
В этой модели создание пользователей и управление ими осуществляются в Центре администрирования Office 365, а их учетные записи хранятся в Azure AD. Azure AD проверяет пароли.
На шаге 1 администратор подключается к Центру администрирования Office 365 на облачной платформе Майкрософт для создания пользователей или управления ими.
На шаге 2 запросы на изменение или управление передаются в Azure AD.
На шаге 3, если это запрос на изменение, то оно выполняется и копируется обратно в Центр администрирования Office 365.
На шаге 4 новые учетные записи пользователей и изменения в существующих учетных записях копируются в Центр администрирования Office 365.
Когда стоит использовать облачные удостоверения? Облачные удостоверения хорошо подходят в следующих случаях:
у вас нет другого локального каталога пользователей;
у вас очень сложный локальный каталог, поэтому вы хотите избежать трудозатрат, которые потребуются для интеграции с ним;
у вас есть локальный каталог, но необходимо запустить пробную версию или пилотную среду Office 365. Позже, когда все будет готово для подключения к локальному каталогу, вы сможете сопоставить пользователей в облаке с локальными пользователями.
В этой модели вы управляете удостоверениями пользователей на локальном сервере и синхронизируете учетные записи и, при желании, пароли с облаком. Пользователь вводит один и тот же пароль в локальной среде и в облаке; при выполнении входа Azure AD проверяет пароль. В этой модели используется средство синхронизации каталогов для синхронизации локального удостоверения с Office 365.
На шаге 1 нужно установить Microsoft Azure Active Directory Connect. Инструкции см. в статье Настройка синхронизации каталогов в Office 365. Дополнительные сведения о службе Azure Active Directory Connect см. в статье Интеграция локальных удостоверений с Azure Active Directory.
На шагах 2 и 3 вы создаете новых пользователей в локальном каталоге. Средство синхронизации периодически проверяет локальный каталог на наличие новых удостоверений, созданных вами. Затем оно предоставляет эти удостоверения в Azure AD, связывает локальное и облачное удостоверения друг с другом, синхронизирует пароли и делает их видимыми для вас в Центре администрирования Office 365.
На шаге 4, по мере того как вы вносите изменения в учетные записи пользователей в локальном каталоге, эти изменения синхронизируются с Azure AD и становятся видимыми для вас в Центре администрирования Office 365.
Эта модель имеет одно отличие от модели синхронизированных удостоверений (хотя здесь они тоже нужны): пароли пользователей проверяет локальный поставщик удостоверений. Это означает, что нет необходимости синхронизировать хэш пароля с Azure AD. В этой модели используются Службы федерации Active Directory (ADFS) или сторонний поставщик удостоверений.
На шаге 1 выполняется установка Azure Active Directory Connect (дополнительные сведения и инструкции по скачиванию можно найти здесь). Средство синхронизации помогает поддерживать Azure AD в актуальном состоянии с учетом последних изменений, внесенных вами в локальный каталог.
Инструкции см. в статье Настройка синхронизации каталогов в Office 365. В частности, вам потребуется использовать выборочную установку Azure AD Connect, чтобы настроить единый вход.
На шагах 2 и 3 вы создаете новых пользователей в локальном каталоге Active Directory. Средство синхронизации периодически проверяет локальный сервер Active Directory на наличие новых удостоверений, созданных вами. Затем оно предоставляет эти удостоверения в , связывает локальное и облачное удостоверения друг с другом и делает их видимыми для вас в Центре администрирования Office 365.
На шагах 4 и 5, по мере внесения изменений в удостоверения в локальном каталоге Active Directory, эти изменения синхронизируются с Azure AD и становятся видимыми для вас в Центре администрирования Office 365.
На шагах 6 и 7 федеративные пользователи выполняют вход в AD FS. Службы федерации AD FS создают маркер безопасности, который передается в Azure AD. Маркер проходит проверку, и пользователи получают разрешение на вход в Office 365.
В одностраничных приложениях (SPA) обычно используется клиент с большим объемом кода на JavaScript, который выполняется в браузере и вызывает веб-API серверного приложения для выполнения своих операций бизнес-логики. Для одностраничных приложений, размещенных в Azure AD, проверка подлинности пользователя в Azure AD выполняется с помощью протокола OAuth 2.0 Implicit Grant. После этого пользователь получает маркер, который можно использовать для безопасных вызовов серверного веб-API из клиентского кода JavaScript приложения. После того как пользователь предоставил свое согласие, этот же протокол проверки подлинности можно использовать для получения маркеров для защиты вызовов между клиентом и другими ресурсами веб-API, которые настроены для приложения.
Обладая правами администратора, вы можете также согласиться использовать делегированные разрешения приложения от имени всех пользователей в клиенте. В этом случае диалоговое окно согласия не будет отображаться отдельно для каждого пользователя в клиенте. Это можно сделать на странице приложения на портале Azure. В колонке Параметры приложения щелкните Необходимые разрешения и Предоставить разрешения.
Когда вы добавляете в приложение делегированные разрешения, согласие не предоставляется автоматически для всех пользователей в клиенте, как это происходило ранее на классическом портале Azure. Теперь пользователи должны вручную предоставлять согласие на дополнительные делегированные полномочия в процессе их использования, если администратор не нажмет кнопку Предоставить полномочия в разделе Необходимые разрешения на странице приложения на портале Azure.