Správa a monitorování aplikací Microsoft Entra
Teď, když jste implementovali svou první integrovanou aplikaci Microsoft Entra, plánujete prozkoumat podrobnější aspekty jeho funkcí, které se zaměřují na úlohy správy a údržby. Chcete také zajistit, abyste identifikovali jakékoli další upozornění týkající se víceklientských aplikací.
Jaké jsou běžné úlohy správy a údržby související s integrovanými aplikacemi Microsoft Entra?
Implementace integrovaných aplikací Microsoft Entra zahrnuje následující zvláštní aspekty, z nichž některé můžou vyžadovat další úlohy správy a údržby:
Sledujte všechny identifikátory URI (Uniform Resource Identifier) přesměrování přidružené k vašim aplikacím, včetně odpovídajících záznamů DNS (Domain Name Service).
Chraňte webové aplikace tím, že zajistíte, aby identifikátory URI přesměrování odpovídaly šifrovaným koncovým bodům.
Udržujte přihlašovací údaje pro webové aplikace, webová rozhraní API a aplikace démona.
Při používání tajných kódů zvažte automatizaci správy, včetně jejich obměně.
Při konfiguraci oboru oprávnění aplikací použijte princip nejnižší úrovně oprávnění. Aplikace by měly požadovat další oprávnění pouze v případě potřeby.
Kdykoli je to možné, použijte delegovaná oprávnění místo oprávnění aplikace.
Během vývoje používejte knihovnu Microsoft Authentication Library místo programování přímo proti protokolům, jako jsou OAuth 2.0 a Open ID.
Poznámka:
Microsoft Authentication Library nabízí snadno použitelný přístup k implementaci široké škály scénářů ověřování, včetně podmíněného přístupu, jednotného přihlašování pro zařízení a ukládání tokenů do mezipaměti.
Poznámka:
Tento modul není určený k poskytování kompletních pokynů a osvědčených postupů týkajících se integrace aplikací nativních pro cloud s ID Microsoft Entra, ale spíše je určený k zavedení konceptů ověřování Microsoft Entra a víceklientské architektury.
Co jsou další aspekty související s víceklientských integrovaných aplikací Microsoft Entra?
Při implementaci scénářů s více tenanty Microsoft Entra je potřeba nakonfigurovat aplikaci tak, aby přijímala přihlášení z libovolného tenanta Microsoft Entra. Uživatelé v těchto tenantech budou mít přístup k aplikaci po udělení relevantního souhlasu požadovaného vaší aplikací.
Při implementaci víceklientských aplikací jsou vyžadovány čtyři primární prvky:
- Registrace aplikace pro víceklientských
- Konfigurace aplikace pro odesílání požadavků do /společného koncového bodu
- Přidání kódu pro správu více hodnot vystavitelů
- Zahrnutí ustanovení pro reagování na souhlas uživatele a správce
Registrace aplikace pro více tenantů
Postup registrace aplikace jako víceklientů:
Pomocí textového pole Prohledat prostředky, služby a dokumenty vyhledejte registraci aplikace a v seznamu výsledků v části Služby Azure vyberte Registraci aplikace.
Vyberte Všechny registrace a vyberte aplikaci can-app.
Vyberte možnost Podporované typy účtů, pak v části Podporované typy účtů Účty v libovolném organizačním adresáři (Libovolný adresář Microsoft Entra – Víceklient) a vyberte Uložit.
Microsoft Entra ID vyžaduje, aby identifikátor URI ID aplikace byl globálně jedinečný. V případě aplikace s jedním tenantem musí být identifikátor URI ID aplikace v rámci daného tenanta jedinečný. U víceklientských aplikací musí být globálně jedinečný. Pro splnění tohoto požadavku musí název URI ID aplikace odpovídat ověřené doméně tenanta Microsoft Entra.
Konfigurace aplikace pro odesílání požadavků do koncového bodu /common
V aplikaci s jedním tenantem se žádosti o přihlášení posílají do přihlašovacího koncového bodu tenanta. Například pro contoso.com je https://login.microsoftonline.com/contoso.com
odpovídající koncový bod . Požadavky, které cílí na tento koncový bod, umožňují přihlášení uživatelů nebo hostů do odpovídajícího tenanta Microsoft Entra. U víceklientských aplikací nemůžete předem určit, kterého tenanta se použije, takže použijete https://login.microsoftonline.com/common
koncový bod, který obsluhuje všechny tenanty Microsoft Entra.
Přidání kódu pro správu více hodnot vystavitelů
Webové aplikace a webová rozhraní API musí být schopné ověřovat tokeny z platformy Microsoft Identity Platform. To vyžaduje implementaci logiky, která rozhoduje, které hodnoty vystavitele jsou platné a které nejsou založené na části ID tenanta hodnoty vystavitele. Další podrobnosti najdete v dokumentaci uvedené v souhrnné lekci tohoto kurzu.
Zahrnout ustanovení pro reagování na souhlas uživatele a správce
U víceklientské aplikace probíhá počáteční registrace aplikace v tenantovi Microsoft Entra, který používá vývojář aplikace. Když se jednotliví uživatelé z různých tenantů Microsoft Entra poprvé přihlásí k aplikaci, zobrazí se každému z nich výzva k vyjádření souhlasu s oprávněními požadovanými aplikací. To by pak vedlo k vytvoření instančního objektu v příslušných tenantech. Podrobnosti o ustanoveních, která tento požadavek řeší, najdete v dokumentaci uvedené v souhrnné lekci tohoto kurzu.