Správa a monitorování aplikací Microsoft Entra

  • 10 min

Teď, když jste implementovali svou první integrovanou aplikaci Microsoft Entra, plánujete prozkoumat podrobnější aspekty jeho funkcí, které se zaměřují na úlohy správy a údržby. Chcete také zajistit, abyste identifikovali jakékoli další upozornění týkající se víceklientských aplikací.

Implementace integrovaných aplikací Microsoft Entra zahrnuje následující zvláštní aspekty, z nichž některé můžou vyžadovat další úlohy správy a údržby:

  • Sledujte všechny identifikátory URI (Uniform Resource Identifier) přesměrování přidružené k vašim aplikacím, včetně odpovídajících záznamů DNS (Domain Name Service).

  • Chraňte webové aplikace tím, že zajistíte, aby identifikátory URI přesměrování odpovídaly šifrovaným koncovým bodům.

  • Udržujte přihlašovací údaje pro webové aplikace, webová rozhraní API a aplikace démona.

  • Při používání tajných kódů zvažte automatizaci správy, včetně jejich obměně.

  • Při konfiguraci oboru oprávnění aplikací použijte princip nejnižší úrovně oprávnění. Aplikace by měly požadovat další oprávnění pouze v případě potřeby.

  • Kdykoli je to možné, použijte delegovaná oprávnění místo oprávnění aplikace.

  • Během vývoje používejte knihovnu Microsoft Authentication Library místo programování přímo proti protokolům, jako jsou OAuth 2.0 a Open ID.

    Poznámka:

    Microsoft Authentication Library nabízí snadno použitelný přístup k implementaci široké škály scénářů ověřování, včetně podmíněného přístupu, jednotného přihlašování pro zařízení a ukládání tokenů do mezipaměti.

    Poznámka:

    Tento modul není určený k poskytování kompletních pokynů a osvědčených postupů týkajících se integrace aplikací nativních pro cloud s ID Microsoft Entra, ale spíše je určený k zavedení konceptů ověřování Microsoft Entra a víceklientské architektury.

Při implementaci scénářů s více tenanty Microsoft Entra je potřeba nakonfigurovat aplikaci tak, aby přijímala přihlášení z libovolného tenanta Microsoft Entra. Uživatelé v těchto tenantech budou mít přístup k aplikaci po udělení relevantního souhlasu požadovaného vaší aplikací.

Při implementaci víceklientských aplikací jsou vyžadovány čtyři primární prvky:

  • Registrace aplikace pro víceklientských
  • Konfigurace aplikace pro odesílání požadavků do /společného koncového bodu
  • Přidání kódu pro správu více hodnot vystavitelů
  • Zahrnutí ustanovení pro reagování na souhlas uživatele a správce

Registrace aplikace pro více tenantů

Postup registrace aplikace jako víceklientů:

  1. Pomocí textového pole Prohledat prostředky, služby a dokumenty vyhledejte registraci aplikace a v seznamu výsledků v části Služby Azure vyberte Registraci aplikace.

  2. Vyberte Všechny registrace a vyberte aplikaci can-app.

  3. Vyberte možnost Podporované typy účtů, pak v části Podporované typy účtů Účty v libovolném organizačním adresáři (Libovolný adresář Microsoft Entra – Víceklient) a vyberte Uložit.

Microsoft Entra ID vyžaduje, aby identifikátor URI ID aplikace byl globálně jedinečný. V případě aplikace s jedním tenantem musí být identifikátor URI ID aplikace v rámci daného tenanta jedinečný. U víceklientských aplikací musí být globálně jedinečný. Pro splnění tohoto požadavku musí název URI ID aplikace odpovídat ověřené doméně tenanta Microsoft Entra.

Konfigurace aplikace pro odesílání požadavků do koncového bodu /common

V aplikaci s jedním tenantem se žádosti o přihlášení posílají do přihlašovacího koncového bodu tenanta. Například pro contoso.com je https://login.microsoftonline.com/contoso.comodpovídající koncový bod . Požadavky, které cílí na tento koncový bod, umožňují přihlášení uživatelů nebo hostů do odpovídajícího tenanta Microsoft Entra. U víceklientských aplikací nemůžete předem určit, kterého tenanta se použije, takže použijete https://login.microsoftonline.com/common koncový bod, který obsluhuje všechny tenanty Microsoft Entra.

Přidání kódu pro správu více hodnot vystavitelů

Webové aplikace a webová rozhraní API musí být schopné ověřovat tokeny z platformy Microsoft Identity Platform. To vyžaduje implementaci logiky, která rozhoduje, které hodnoty vystavitele jsou platné a které nejsou založené na části ID tenanta hodnoty vystavitele. Další podrobnosti najdete v dokumentaci uvedené v souhrnné lekci tohoto kurzu.

U víceklientské aplikace probíhá počáteční registrace aplikace v tenantovi Microsoft Entra, který používá vývojář aplikace. Když se jednotliví uživatelé z různých tenantů Microsoft Entra poprvé přihlásí k aplikaci, zobrazí se každému z nich výzva k vyjádření souhlasu s oprávněními požadovanými aplikací. To by pak vedlo k vytvoření instančního objektu v příslušných tenantech. Podrobnosti o ustanoveních, která tento požadavek řeší, najdete v dokumentaci uvedené v souhrnné lekci tohoto kurzu.