Integrace aplikací s Microsoft Entra ID a platformou Microsoft Identity Platform
Jako vývojář můžete vytvářet a integrovat aplikace, které můžou IT specialisté zabezpečit v podniku. Tento článek vám pomůže pochopit, jak používat principy nulová důvěra (Zero Trust) k bezpečné integraci aplikace s Microsoft Entra ID a platformou Microsoft Identity Platform.
Cloudová služba microsoftu pro správu identit a přístupu, Microsoft Entra ID, poskytuje vývojářům tyto výhody integrace aplikací:
- Ověřování a autorizace aplikací
- Ověřování a autorizace uživatelů
- Jednotné přihlašování (SSO) pomocí federace nebo hesla
- Zřizování a synchronizace uživatelů
- Řízení přístupu na základě role
- Autorizační služby OAuth
- Publikování aplikací a proxy server
- Atributy rozšíření schématu adresáře
Výše uvedený diagram znázorňuje jednotnou sadu nástrojů Microsoft identity platform pro vývojáře, která podporuje několik identit a oborových standardů. Můžete vytvářet aplikace a integrovat identitu s koncovými body, knihovnami, webovými rozhraními API, ověřením vydavatele, zřizováním uživatelů a zprostředkovateli ověřování.
Začínáme s integrací aplikací
Web dokumentace k platformě Microsoft Identity Platform je nejlepším výchozím bodem, kde se dozvíte, jak integrovat aplikace s platformou Microsoft Identity Platform. Můžete najít vývojářské workshopy, materiály workshopů, odkazy na nahrávky workshopů a informace o nadcházejících živých akcích na https://aka.ms/UpcomingIDLOBDevadrese .
Při návrhu aplikace musíte:
- Identifikujte prostředky, ke kterým vaše aplikace potřebuje přístup.
- Zvažte, jestli má vaše aplikace interaktivní uživatele a komponenty úloh.
- Získejte přístup k prostředkům, které Microsoft Entra ID zabezpečuje vytvořením aplikací, které zajišťují identitu prostřednictvím oprávnění a přístupu.
Typy aplikací, které můžete integrovat
Platforma Microsoft Identity Platform provádí správu identit a přístupu (IAM) pouze pro registrované a podporované aplikace. Pokud se chcete integrovat s platformou Microsoft Identity Platform, musí být vaše aplikace schopná poskytnout součást založenou na webovém prohlížeči, která se může připojit ke koncovým bodům autorizace platformy Microsoft Identity Platform pod https://login.microsoftonline.com adresou. Vaše aplikace volá koncový bod tokenu pod stejnou adresou.
Integrovaná aplikace může běžet z libovolného umístění, včetně těchto příkladů:
- Microsoft Azure
- Jiní poskytovatelé cloudu
- Vaše vlastní datová centra a servery
- Stolní počítače
- Mobilní zařízení
- Zařízení internetu věcí.
Aplikace nebo zařízení, jako je například aplikace webového prohlížeče, která přistupuje ke koncovému bodu autorizace, může nativně poskytovat požadavky. Spolupráce mezi odpojeným prohlížečem a aplikací splňuje požadavky. Aplikace spuštěné na televizních obrazovkách můžou například vyžadovat, aby uživatel provedl počáteční ověření v prohlížeči na stolním nebo mobilním zařízení.
Zaregistrujete klientskou aplikaci (webovou nebo nativní aplikaci) nebo webové rozhraní API, abyste vytvořili vztah důvěryhodnosti mezi vaší aplikací a platformou Microsoft Identity Platform. Registrace aplikace Microsoft Entra je důležitá, protože chybná konfigurace nebo selhání hygieny aplikace může vést k výpadku nebo ohrožení zabezpečení. Dodržujte osvědčené postupy zabezpečení pro vlastnosti aplikace v Microsoft Entra ID.
Publikování do galerie aplikací Microsoft Entra
Galerie aplikací Microsoft Entra je kolekce aplikací typu software jako služba (SaaS) v Microsoft Entra ID předinintegrace s Microsoft Entra ID. Obsahuje tisíce aplikací, které usnadňují nasazení a konfiguraci jednotného přihlašování a automatického zřizování uživatelů.
Automatické zřizování uživatelů odkazuje na vytváření identit a rolí uživatelů v cloudových aplikacích, ke kterým uživatelé potřebují přístup. Automatické zřizování zahrnuje údržbu a odebírání identit uživatelů při změně stavu nebo rolí. Pokud chcete uživatelům zřizovat aplikace SaaS a další systémy, připojí se služba Microsoft Entra provisioning k systému pro správu identit (SCIM) 2.0 koncového bodu rozhraní API pro správu uživatelů, který poskytuje dodavatel aplikace. Tento koncový bod SCIM umožňuje Microsoft Entra ID programově vytvářet, aktualizovat a odebírat uživatele.
Při vývoji aplikací pro Microsoft Entra ID můžete pomocí rozhraní API pro správu uživatelů SCIM 2.0 vytvořit koncový bod SCIM, který integruje Microsoft Entra ID pro zřizování. Podrobnosti najdete v kurzu o vývoji a plánování zřizování pro koncový bod SCIM v Microsoft Entra ID .
Publikujte aplikaci do galerie aplikací Microsoft Entra a zpřístupněte je veřejně uživatelům, aby mohli přidávat do svých tenantů dokončením těchto úloh:
- Dokončete požadavky.
- Vytvoření a publikování dokumentace
- Odešlete svou aplikaci.
- Připojte se k partnerské síti Microsoftu.
Staňte se ověřeným vydavatelem
Ověření vydavatele poskytuje uživatelům aplikací a správcům organizace informace o pravosti vývojářů, kteří publikují aplikace, které se integrují s platformou Microsoft Identity Platform. Když jste ověřený vydavatel, můžou se uživatelé snadněji rozhodnout, jestli chtějí aplikaci povolit přihlášení a přístup k informacím o profilu. Mohou založit své rozhodnutí na informacích a přístupu, které vaše aplikace požaduje v tokenech.
Vydavatelé aplikací ověřují svou identitu s Microsoftem tím, že přidružují registraci aplikace k ověřenému účtu MPN (Microsoft Partner Network). Během ověřování microsoft požaduje dokumentaci k ověření. Jakmile se stanete ověřeným vydavatelem, zobrazí se modrý ověřený odznáček v výzev k vyjádření souhlasu Microsoft Entra vaší aplikace a na webových stránkách.
Další kroky
- Vytváření aplikací s přístupem k identitě nulová důvěra (Zero Trust) poskytuje přehled o oprávněních a osvědčených postupech přístupu.
- Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
- Konfigurace domény vydavatele aplikace vám pomůže pochopit víceklientské aplikace a výchozí hodnoty domény vydavatele.
- Kurzy integrace aplikací SaaS pro použití s Microsoft Entra ID vám pomůžou integrovat cloudové aplikace SaaS s Microsoft Entra ID.
- Referenční tipy pro řešení potíží s ověřením vydavatele, pokud dochází k chybám nebo dochází k neočekávanému chování při publikování
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro