Sdílet prostřednictvím


Registrace aplikací

Registrační portál aplikace Microsoft Identity Platform je primárním vstupním bodem pro aplikace, které používají platformu pro ověřování a přidružené potřeby. Jako vývojář můžete při registraci a konfiguraci aplikací řídit a ovlivnit, jak dobře vaše aplikace splňuje nulová důvěra (Zero Trust) principy. Efektivní registrace aplikací se zejména domnívá, že se používají nejméně privilegovaný přístup , a předpokládá porušení zabezpečení. Tento článek vám pomůže seznámit se s procesem registrace aplikace a jejími požadavky, abyste zajistili, že vaše aplikace budou dodržovat nulová důvěra (Zero Trust) přístup k zabezpečení.

Správa aplikací v Microsoft Entra ID (Microsoft Entra ID) je proces bezpečného vytváření, konfigurace, správy a monitorování aplikací v cloudu. Při registraci aplikace v tenantovi Microsoft Entra nakonfigurujete zabezpečený uživatelský přístup.

Id Microsoft Entra představuje aplikace objekty aplikací a instanční objekty. S některými výjimkami jsou aplikace objekty aplikace. Instanční objekt si můžete představit jako instanci aplikace, která odkazuje na objekt aplikace. Více instančních objektů v adresářích může odkazovat na jeden objekt aplikace.

Aplikaci můžete nakonfigurovat tak, aby používala ID Microsoft Entra prostřednictvím tří metod: v sadě Visual Studio, pomocí rozhraní Microsoft Graph API nebo pomocí PowerShellu. V Azure a v Průzkumníku rozhraní API v centrech pro vývojáře existují prostředí pro vývojáře. Odkazujte na požadovaná rozhodnutí a úlohy pro role vývojářů a IT specialistů pro sestavování a nasazování zabezpečených aplikací na platformě Microsoft Identity Platform.

Kdo může přidávat a registrovat aplikace

Správci a v případě povolení tenantem můžou uživatelé a vývojáři vytvářet objekty aplikací registrací aplikací na webu Azure Portal. Ve výchozím nastavení můžou všichni uživatelé v adresáři registrovat objekty aplikace, které vyvíjejí. Vývojáři aplikačních objektů se rozhodnou, které aplikace sdílejí a poskytují přístup k datům organizace prostřednictvím souhlasu.

Když se první uživatel v adresáři přihlásí k aplikaci a udělí souhlas, vytvoří systém instanční objekt v tenantovi, který ukládá všechny informace o souhlasu uživatele. ID Microsoft Entra automaticky vytvoří instanční objekt pro nově zaregistrovanou aplikaci v tenantovi před ověřením uživatele.

Ti, kteří mají přiřazenou alespoň roli Správce aplikací nebo Správce cloudových aplikací, můžou provádět konkrétní úlohy aplikace (například přidávání aplikací z galerie aplikací a konfigurace aplikací pro použití proxy aplikací).

Registrace objektů aplikace

Jako vývojář zaregistrujete své aplikace, které používají platformu Microsoft Identity Platform. Zaregistrujte své aplikace na webu Azure Portal nebo voláním rozhraní API aplikací Microsoft Graphu. Po registraci aplikace komunikuje s platformou Microsoft Identity Platform odesláním žádostí do koncového bodu.

Možná nemáte oprávnění k vytvoření nebo úpravě registrace aplikace. Pokud vám správci neudělují oprávnění k registraci aplikací, požádejte je, jak jim můžete sdělit potřebné informace o registraci aplikací.

Vlastnosti registrace aplikace můžou zahrnovat následující součásti.

  • Název, logo a vydavatel
  • Přesměrování identifikátorů URI (Uniform Resource Identifier)
  • Tajné kódy (symetrické nebo asymetrické klíče používané k ověření aplikace)
  • Závislosti rozhraní API (OAuth)
  • Publikovaná rozhraní API, prostředky/ obory (OAuth)
  • Role aplikací pro řízení přístupu na základě role
  • Metadata a konfigurace jednotného přihlašování (SSO), zřizování uživatelů a proxy server

Požadovaná část registrace aplikace je výběr podporovaných typů účtů, které definují, kdo může vaši aplikaci používat na základě typu účtu uživatele. Správci Microsoft Entra se řídí aplikačním modelem a spravují objekty aplikací na webu Azure Portal prostřednictvím Registrace aplikací prostředí a definují nastavení aplikace, která službě říkají, jak v aplikaci vydávat tokeny.

Během registrace obdržíte identitu aplikace: ID aplikace (klienta). Vaše aplikace používá své ID klienta pokaždé, když provádí transakci prostřednictvím platformy Microsoft Identity Platform.

Osvědčené postupy registrace aplikací

Při registraci aplikace v Microsoft Entra ID jako kritické součásti jejího obchodního použití dodržujte osvědčené postupy zabezpečení pro vlastnosti aplikace. Snažte se zabránit výpadkům nebo ohrožení zabezpečení, které by mohly ovlivnit celou organizaci. Následující doporučení vám pomůžou vyvinout zabezpečenou aplikaci kolem principů nulová důvěra (Zero Trust).

  • Pomocí kontrolního seznamu integrace platformy Microsoft Identity Platform zajistěte vysokou kvalitu a zabezpečenou integraci. Udržujte kvalitu a zabezpečení vaší aplikace.
  • Správně definujte adresy URL pro přesměrování. Odkazujte na omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi), abyste se vyhnuli problémům s kompatibilitou a zabezpečením.
  • Zkontrolujte identifikátory URI přesměrování v registraci vaší aplikace, abyste se vyhnuli převzetí domény. Adresy URL pro přesměrování by měly být na doménách, které znáte a vlastníte. Pravidelně kontrolujte a odstraňujte nepotřebné a nepoužívané identifikátory URI. Nepoužívejte v produkčních aplikacích identifikátory URI bez https.
  • Vždy definujte a udržujte vlastníky aplikací a instančních objektů pro registrované aplikace ve vašem tenantovi. Vyhněte se osamoceným aplikacím (aplikacím a instančním objektům bez přiřazených vlastníků). Zajistěte, aby správci IT mohli během tísňového volání snadno a rychle identifikovat vlastníky aplikací. Udržujte počet vlastníků aplikací malý. Znesnadnit ohrožení uživatelského účtu, aby ovlivnil více aplikací.
  • Nepoužívejte stejnou registraci aplikace pro více aplikací. Oddělení registrací aplikací vám pomůže povolit nejméně privilegovaný přístup a snížit dopad při porušení zabezpečení.
    • Pro aplikace, které přihlašují uživatele a aplikace, které zpřístupňují data a operace prostřednictvím rozhraní API (pokud nejsou úzce propojené), použijte samostatné registrace aplikací. Tento přístup umožňuje oprávnění k vyššímu privilegovanému rozhraní API, jako je Microsoft Graph a přihlašovací údaje (jako jsou tajné kódy a certifikáty), vzdáleně od aplikací, které se přihlašují a pracují s uživateli.
    • Pro webové aplikace a rozhraní API používejte samostatné registrace aplikací. Tento přístup pomáhá zajistit, že pokud webové rozhraní API má vyšší sadu oprávnění, klientská aplikace je nezdědí.
  • Aplikaci definujte jako aplikaci s více tenanty jenom v případě potřeby. Víceklientní aplikace umožňují zřizování v jiných tenantech než ve vašich tenantech. K filtrování nežádoucího přístupu vyžadují větší režii na správu. Pokud nemáte v úmyslu vyvíjet aplikaci jako víceklientské aplikace, začněte hodnotou SignInAudience azureADMyOrg.

Další kroky