Verwalten und Überwachen von Microsoft Entra-Apps

  • 10 Minuten

Nachdem Sie nun Ihre erste integrierte Microsoft Entra-Anwendung implementiert haben, planen Sie, weitere Aspekte ihrer Funktionalität vertieft zu erkunden, die sich auf Verwaltungs- und Wartungsaufgaben konzentrieren. Sie sollten auch sicherstellen, dass Sie alle zusätzlichen Vorbehalte gegenüber mehrinstanzenfähigen Anwendungen kennen.

Für die Implementierung von integrierten Microsoft Entra-Apps sind die folgenden Besonderheiten zu beachten, von denen einige zusätzliche Verwaltungs- und Wartungsaufgaben erfordern können:

  • Verfolgen Sie alle URIs (Uniform Resource Identifiers) nach, die Ihren Anwendungen zugeordnet sind, einschließlich der entsprechenden DNS-Einträge (Domain Name Service).

  • Schützen Sie Web-Apps, indem Sie sicherstellen, dass Umleitungs-URIs verschlüsselten Endpunkten entsprechen.

  • Verwalten Sie Anmeldeinformationen für Web-Apps, Web-APIs und Daemon-Apps.

  • Wenn Sie Geheimnisse verwenden, sollten Sie deren Verwaltung, einschließlich ihrer Rotation, automatisieren.

  • Wenden Sie das Prinzip der geringsten Rechte an, wenn Sie den Berechtigungsbereich Ihrer Anwendungen konfigurieren. Anwendungen sollten nur bei Bedarf zusätzliche Berechtigungen anfordern.

  • Verwenden Sie nach Möglichkeit delegierte Berechtigungen anstelle von Anwendungsberechtigungen.

  • Verwenden Sie bei der Entwicklung die Microsoft-Authentifizierungsbibliothek, und programmieren Sie nicht direkt für Protokolle wie OAuth 2.0 und Open ID.

    Hinweis

    Die Microsoft-Authentifizierungsbibliothek bietet einen benutzerfreundlichen Ansatz für die Implementierung einer Vielzahl von Authentifizierungsszenarien, einschließlich bedingtem Zugriff, geräteübergreifendem SSO (einmaliges Anmelden) und Tokencaching.

    Hinweis

    Dieses Modul ist nicht dafür gedacht, eine vollständige Anleitung und bewährte Methoden für die Integration von cloudnativen Anwendungen mit Microsoft Entra ID zu bieten, sondern soll vielmehr Konzepte der Microsoft Entra-Authentifizierung und Mandantenfähigkeit vorstellen.

Bei der Implementierung von mandantenfähigen Microsoft Entra-Szenarien müssen Sie Ihre Anwendung so konfigurieren, dass sie Anmeldungen von jedem Microsoft Entra-Mandanten akzeptiert. Die Nutzer in diesen Mandanten können auf die App zugreifen, nachdem sie die für Ihre App erforderliche Einwilligung erteilt haben.

Es gibt vier Hauptelemente, die für die Implementierung einer mehrinstanzenfähigen App erforderlich sind:

  • Registrieren der App als „mehrinstanzenfähig“
  • Konfigurieren der App zum Senden von Anforderungen an den Endpunkt /common
  • Hinzufügen von Code zum Verwalten mehrerer Ausstellerwerte
  • Einschließen von Bestimmungen zur Reaktion auf die Einwilligung von Benutzern und Administratoren

Registrieren der App als „mehrinstanzenfähig“

So registrieren Sie Ihre App als mandantenfähig:

  1. Verwenden Sie das Textfeld Ressourcen, Dienste und Dokumente durchsuchen, um nach App-Registrierung zu suchen, und wählen Sie in der Liste der Ergebnisse im Abschnitt Azure-Dienste die Option App-Registrierung aus.

  2. Wählen Sie Alle Registrierungen aus, und wählen Sie die cna-App aus.

  3. Wählen Sie die Option Unterstützte Kontotypen und dann unter Unterstützte Kontotypen die Option Konten in jedem Organisationsverzeichnis (Jedes Microsoft Entra-Verzeichnis – Mandantenfähig) aus, und wählen Sie Speichern aus.

Microsoft-App-ID erfordert, dass der App-ID-URI der App global eindeutig ist. Bei einer App für einen einzelnen Mandanten muss der App-ID-URI innerhalb dieses Mandanten eindeutig sein. Für eine mehrinstanzenfähige App muss sie global eindeutig sein. Um diese Anforderung zu erfüllen, muss der Hostname der App-ID-URI mit einer überprüften Domäne des Microsoft Entra-Mandanten übereinstimmen.

Konfigurieren der App zum Senden von Anforderungen an den Endpunkt /common

Bei einer App mit einem einzelnen Mandanten werden Anmeldeanforderungen an den Anmeldeendpunkt des Mandanten gesendet. Beispielsweise lautet für contoso.com der entsprechende Endpunkt https://login.microsoftonline.com/contoso.com. Anforderungen, die auf diesen Endpunkt abzielen, ermöglichen effektiv die Anmeldung von Benutzern oder Gästen beim entsprechenden Microsoft Entra-Mandanten. Bei einer mandantenfähigen App können Sie nicht im Voraus bestimmen, welcher Mandant verwendet wird. Daher müssen Sie den https://login.microsoftonline.com/common-Endpunkt verwenden, der alle Microsoft Entra-Mandanten bedient.

Hinzufügen von Code zum Verwalten mehrerer Ausstellerwerte

Webanwendungen und Web-APIs müssen in der Lage sein, Token von der Microsoft Identity Platform zu überprüfen. Dazu muss eine Logik implementiert werden, die auf der Grundlage des Mandanten-ID-Teils des Ausstellerwerts entscheidet, welche Ausstellerwerte gültig sind und welche nicht. Weitere Informationen finden Sie in der Dokumentation, auf die in der zusammenfassenden Lerneinheit dieses Kurses verwiesen wird.

Bei einer mandantenfähigen Anwendung erfolgt die anfängliche Registrierung einer App in dem vom App-Entwickler verwendeten Microsoft Entra-Mandanten. Wenn sich einzelne Benutzer aus verschiedenen Microsoft Entra-Mandaten zum ersten Mal bei der App anmelden, wird jeder von ihnen aufgefordert, in die von der Anwendung angeforderten Berechtigungen einzuwilligen. Dies wiederum würde dazu führen, dass in den jeweiligen Mandanten ein Dienstprinzipal erstellt wird. Weitere Informationen zu den Bestimmungen, die diese Anforderung erfüllen, finden Sie in der Dokumentation, auf die in der zusammenfassenden Lerneinheit dieses Kurses verwiesen wird.