Definieren von Microsoft Entra ID
Das Managementteam von Adatum möchte sicherstellen, dass die Kunden des Unternehmens über eine zuverlässige Möglichkeit verfügen, sicher auf die von Ihren Anwendungen bereitgestellten Dienste zuzugreifen. Sie beabsichtigen, diese Funktionalität zu implementieren, indem Sie sich auf die Authentifizierungs- und Autorisierungsfunktionen von Microsoft Entra ID verlassen. Um dieses Ziel zu erreichen, beschließen Sie, die wichtigsten Features und Vorteile von Microsoft Entra ID zu erkunden, wobei Sie sich auf die Features konzentrieren, die auf cloudnative Anwendungen anwendbar sind.
Bei der Authentifizierung wird die Identität eines Sicherheitsprinzipals, z. B. eines Benutzers oder eines Geräts, festgestellt. Bei der Autorisierung wird einem authentifizierten Sicherheitsprinzipal die Berechtigung erteilt, eine Aktion durchzuführen oder auf eine Ressource zuzugreifen.
Was ist Microsoft Entra ID und welche Vorteile bietet es?
Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugangsverwaltungsdienst für Microsoft. Es bietet Authentifizierungsfunktionen und erleichtert die Autorisierung durch die Integration in die meisten Microsoft-Clouddienste und eine Vielzahl von SaaS-Angeboten (Software-as-a-Service) von Drittanbietern. Es unterstützt moderne, branchenübliche Authentifizierungs- und Autorisierungsprotokolle.
Hinweis
Durch die Integration mit Windows Server Active Directory trägt Microsoft Entra ID auch zum Schutz interner Ressourcen bei, z. B. von Anwendungen in Ihrem Unternehmensnetzwerk und Intranet, sowie von Cloudanwendungen, die Ihr Unternehmen entwickelt.
Microsoft Entra ID dient als Identitätsspeicher und bietet Ihnen die Möglichkeit, Konten für die Benutzer, Gruppen und Geräte Ihres Unternehmens zu erstellen. Es ermöglicht auch die Erstellung von Gastkonten, welche die Identitäten Ihrer Partnerorganisationen repräsentieren können, wodurch die sichere Freigabe von Ressourcen in B2B (Business-to-Business)-Szenarien vereinfacht wird. Sie können Microsoft Entra ID auch in B2C (Business-to-Consumer)-Szenarien verwenden, indem Sie externen Benutzern die Möglichkeit geben, sich mit ihren vorhandenen Anmeldeinformationen für den Zugriff auf Ihre Anwendungen zu registrieren, und dies unterstützt die gängigsten Identitätsanbieter für soziale Netzwerke.
Für jedes dieser Szenarien können Sie weitere Kontrollen implementieren, die den Grad des Schutzes vor potenziellen Bedrohungen bestimmen. Diese Kontrollen umfassen die integrierte Unterstützung für mehrstufige Authentifizierung und bedingten Zugriff.
Microsoft Entra ID organisiert seine Objekte, z. B. Benutzer, Gruppen und Apps, in Containern, die als Mandanten bezeichnet werden. Jeder Mandant stellt eine Verwaltungs- und Sicherheitsgrenze dar. Sie können einen oder mehrere Mandanten für Ihr Unternehmen erstellen. Jedes Azure-Abonnement ist einem Microsoft Entra-Mandanten zugeordnet.
Welche Rolle spielt Microsoft Entra ID in cloudnativen Anwendungen?
Als App-Entwickler können Sie Microsoft Entra ID für die Authentifizierung und Autorisierung des Zugriffs auf Ihre Anwendungen und deren Daten verwenden. Microsoft Entra ID bietet programmgesteuerte Methoden, die bei der Erstellung benutzerdefinierter Apps helfen. Es dient auch als zentraler Speicherort für Informationen im Zusammenhang mit der digitalen Identität, einschließlich der Unterstützung für die Anwendungsregistrierung und ihrer jeweiligen Sicherheitsprinzipale. Diese Funktion ermöglicht es, jedem Benutzer, Gast oder jeder Gruppe einen differenzierten Zugriff auf Ihre intern entwickelten Anwendungen zu gewähren. Außerdem ermöglicht es Anwendungen, unabhängig oder im Namen ihrer Benutzer zu arbeiten, wenn sie auf andere von Microsoft Entra ID-geschützte Ressourcen, Dienste und Anwendungen zugreifen.
Cloudnative Anwendungen verwenden offene HTTP-basierte Protokolle, um Sicherheitsprinzipale zu authentifizieren, da sowohl Clients als auch Anwendungen überall und auf jeder Plattform oder jedem Gerät ausgeführt werden können. Microsoft Entra ID als cloudnative Identitätslösung bietet diese Funktionalität, einschließlich seiner REST-basierten Schnittstelle und der Unterstützung für die Graph-API und OData-basierte Abfragen.
Microsoft Entra ID erleichtert die Implementierung einer Reihe von Szenarien, die bei der Erstellung von cloudnativen Anwendungen häufig auftreten, z. B.:
- Benutzer, die über einen Webbrowser auf Webanwendungen zugreifen.
- Benutzer, die über browserbasierte Apps auf Back-End-Web-APIs zugreifen.
- Benutzer, die über mobile Apps auf Back-End-Web-APIs zugreifen.
- Anwendungen, die ohne aktiven Benutzer oder ohne Benutzeroberfläche auf Back-End-Web-APIs zugreifen und dazu ihre eigene Identität verwenden.
- Anwendungen, die mit anderen Web-APIs interagieren und im Namen eines Benutzers mit den delegierten Anmeldeinformationen dieses Benutzers agieren.
In jedem dieser Szenarien müssen Anwendungen vor nicht autorisierter Verwendung geschützt werden. Dieser Schritt erfordert mindestens die Authentifizierung des Sicherheitsprinzipals, der Zugriff auf eine Ressource anfordert. Diese Authentifizierung kann eines von mehreren gängigen Protokollen verwenden, z. B. SAML V2.0 (Security Assertion Markup Language), WS-Fed oder OpenID Connect. Die Kommunikation mit Web-APIs basiert in der Regel auf dem OAuth2-Protokoll und dessen Unterstützung für Zugriffstoken.