Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Aplikace mohou uživatele přihlásit samy nebo delegovat přihlášení poskytovateli identity. Tento článek popisuje kroky potřebné k registraci aplikace na platformě Microsoft Identity Platform.
Registrace aplikace
Aby zprostředkovatel identity věděl, že uživatel má přístup k určité aplikaci, musí být uživatel i aplikace zaregistrované u zprostředkovatele identity. Při registraci aplikace pomocí Microsoft Entra ID poskytujete konfiguraci identity pro vaši aplikaci, která umožňuje integraci s platformou Microsoft Identity Platform. Registrace aplikace vám také umožní:
- Přizpůsobte branding aplikace v dialogovém okně pro přihlášení. Tato značka je důležitá, protože přihlášení je prvním prostředím, které bude mít uživatel s vaší aplikací.
- Rozhodněte se, jestli chcete uživatelům povolit přihlášení jenom v případě, že patří do vaší organizace. Tato architektura se označuje jako aplikace s jedním tenantem. Nebo můžete uživatelům povolit přihlášení pomocí libovolného pracovního nebo školního účtu, který se označuje jako víceklientské aplikace. Můžete také povolit osobní účty Microsoft nebo sociální účet z LinkedInu, Googlu atd.
- Požádejte o oprávnění rozsahu. Můžete například požádat o obor user.read, který uděluje oprávnění ke čtení profilu přihlášeného uživatele.
- Definujte obory, které definují přístup k vašemu webovému rozhraní API. Když chce aplikace získat přístup k rozhraní API, obvykle bude muset požádat o oprávnění k definovaným oborům.
- Sdílejte tajný kód s platformou Microsoft Identity Platform, která potvrzuje identitu aplikace. Použití tajného kódu je relevantní v případě, že je aplikace důvěrnou klientskou aplikací. Důvěrná klientská aplikace je aplikace , která může bezpečně uchovávat přihlašovací údaje, jako je webový klient. K uložení přihlašovacích údajů se vyžaduje důvěryhodný back-endový server.
Po registraci aplikace dostane jedinečný identifikátor, který sdílí s platformou Microsoft Identity Platform, když požaduje tokeny. Pokud je aplikace důvěrnou klientskou aplikací, bude také sdílet tajný klíč nebo veřejný klíč v závislosti na tom, jestli byly použity certifikáty nebo tajné kódy.
Platforma Microsoft Identity Platform představuje aplikace pomocí modelu, který splňuje dvě hlavní funkce:
- Identifikujte aplikaci ověřovacími protokoly, které podporuje.
- Zadejte všechny identifikátory, adresy URL, tajné kódy a související informace potřebné k ověření.
Platforma Microsoft Identity Platform:
- Uchovává všechna data potřebná k podpoře ověřování za běhu.
- Uchovává všechna data pro rozhodování o prostředcích, ke kterým by mohla aplikace potřebovat přístup, a za jakých okolností by měla být daná žádost splněna.
- Poskytuje infrastrukturu pro implementaci přidělování aplikací v tenantu vývojáře aplikace a v jakémkoli jiném tenantu Microsoft Entra.
- Zpracovává souhlas uživatele během doby žádosti o token a usnadňuje dynamické zřizování aplikací napříč tenanty.
Souhlas je proces vlastníka prostředku, který uděluje autorizaci pro klientskou aplikaci pro přístup k chráněným prostředkům v rámci konkrétních oprávnění jménem vlastníka prostředku. Platforma Microsoft Identity Platform umožňuje:
- Uživatelé a správci dynamicky udělují nebo zamítají souhlas aplikace pro přístup k prostředkům jejich jménem.
- Správci mají konečné slovo o tom, které aplikace mají povoleno co dělat, které konkrétní uživatelé mohou používat a jakým způsobem jsou přístupné zdroje adresáře.
Víceklientské aplikace
Důležité
Víceklientské aplikace (MTA) nefungují přes hranice cloudu kvůli oddělení instančních autorit v rámci každého cloudu. Například, pokud je objekt aplikace hostován v komerčním cloudu, přidružený službový principál je vytvořen lokálně během onboardingu zákazníka. Tento proces selže při překračování hranic cloudu, protože adresy URL autority se liší (např .com . vs. .us), což způsobuje nekompatibilitu.
Na platformě Microsoft Identity Platform objekt aplikace popisuje aplikaci. V době nasazení používá platforma Microsoft Identity Platform objekt aplikace jako podrobný plán k vytvoření instančního objektu, který představuje konkrétní instanci aplikace v rámci adresáře nebo tenanta. Aplikační objekt služby definuje, co může aplikace skutečně dělat v konkrétním cílovém adresáři, kdo ji může používat, k jakým prostředkům má přístup atd. Microsoft Identity Platform vytvoří servisního principála z objektu aplikace prostřednictvím souhlasu.
Následující diagram znázorňuje zjednodušený tok zřizování platformy Microsoft Identity Platform řízený souhlasem. Zobrazuje dva tenanty: A a B.
- Tenant A vlastní aplikaci.
- Tenant B spouští aplikaci prostřednictvím služebního účtu.
V tomto toku zřizování:
- Uživatel z tenanta B se pokusí přihlásit pomocí aplikace. Koncový bod autorizace požaduje token pro aplikaci.
- Přihlašovací údaje uživatele jsou získány a ověřeny pro ověření.
- Uživateli se zobrazí výzva k udělení souhlasu pro aplikaci, aby získal přístup k tenantovi B.
- Platforma Microsoft Identity používá objekt aplikace v tenantovi A jako předlohu pro vytvoření služebního principálu v tenantovi B.
- Uživatel obdrží požadovaný token.
Tento proces můžete opakovat pro více tenantů. Tenant A uchovává podrobný plán aplikace (objekt aplikace). Uživatelé a správci všech ostatních tenantů, u kterých má aplikace udělený souhlas, udržují kontrolu nad tím, co může aplikace dělat prostřednictvím odpovídajícího instančního objektu v každém tenantovi. Další informace najdete v tématu Aplikační a instanční objekty na platformě Microsoft Identity Platform.
Další kroky
Další informace o ověřování a autorizaci na platformě Microsoft Identity Platform najdete v následujících článcích:
- Informace o základních konceptech ověřování a autorizace najdete v tématu Ověřování a autorizace.
- Informace o tom, jak se při ověřování a autorizaci používají přístupové tokeny, obnovovací tokeny a tokeny ID, najdete v tématu Tokeny zabezpečení.
- Další informace o toku přihlašování webových, desktopových a mobilních aplikací najdete v tématu Tok přihlašování k aplikacím.
- Informace o správné autorizaci pomocí deklarací identity tokenů najdete v tématu Zabezpečené aplikace a rozhraní API ověřováním deklarací identity.
Další informace o aplikačním modelu najdete v následujících článcích:
- Další informace o objektech aplikací a hlavních instančních objektech v platformě identity Microsoft najdete v tématu Jak a proč jsou aplikace přidávány do Microsoft Entra ID.
- Další informace o aplikacích s jedním tenantem a víceklientských aplikacích najdete v tématu Tenantancy v Microsoft Entra ID.
- Další informace o tom, jak Microsoft Entra ID také poskytuje Azure Active Directory B2C, aby organizace mohly přihlásit uživatele, obvykle zákazníky, pomocí sociálních identit, jako je účet Google, najdete v dokumentaci k Azure Active Directory B2C.