Szószedet: Microsoft Identitásplatform
Ezeket a kifejezéseket a dokumentáció, a Microsoft Entra felügyeleti központ, a hitelesítési kódtárak és a Microsoft Graph API használatakor láthatja. Egyes kifejezések Microsoft-specifikusak, míg mások olyan protokollokhoz kapcsolódnak, mint az OAuth vagy a Microsoft Identitásplatform használt egyéb technológiák.
Hozzáférési jogkivonat
Egy engedélyezési kiszolgáló által kibocsátott biztonsági jogkivonat típusa, amelyet egy ügyfélalkalmazás használ a védett erőforrás-kiszolgáló eléréséhez. Általában JSON webes jogkivonat (JWT) formájában a jogkivonat az erőforrás tulajdonosa által az ügyfélnek adott engedélyt tartalmazza a kért hozzáférési szinthez. A jogkivonat tartalmazza a tárgyra vonatkozó összes vonatkozó jogcímet , így az ügyfélalkalmazás hitelesítő adatként használhatja azt egy adott erőforrás elérésekor. Ez azt is kiküszöböli, hogy az erőforrás tulajdonosa elérhetővé tegye a hitelesítő adatokat az ügyfél számára.
A hozzáférési jogkivonatok csak rövid ideig érvényesek, és nem vonhatók vissza. Az engedélyezési kiszolgáló frissítési jogkivonatot is kiadhat a hozzáférési jogkivonat kiadásakor. A frissítési jogkivonatokat általában csak bizalmas ügyfélalkalmazások számára biztosítják.
A hozzáférési jogkivonatokat a megjelenített hitelesítő adatoktól függően "User+App" vagy "Csak alkalmazás" néven is említik. Ha például egy ügyfélalkalmazás a következőket használja:
- Az "Engedélyezési kód" engedélyezési megadásakor a végfelhasználó először az erőforrás tulajdonosaként hitelesít, és delegálja az engedélyezést az ügyfélnek az erőforrás eléréséhez. Az ügyfél ezt követően hitelesíti a hozzáférési jogkivonat beszerzésekor. A jogkivonatot néha pontosabban "User+App" jogkivonatnak is nevezhetjük, mivel az az ügyfélalkalmazást engedélyező felhasználót és az alkalmazást is jelöli.
- Az "ügyfél hitelesítő adatai" engedélyezési engedély megadása esetén az ügyfél biztosítja az egyetlen hitelesítést, amely az erőforrás-tulajdonos hitelesítése/engedélyezése nélkül működik, így a jogkivonatot néha csak "Csak alkalmazás" jogkivonatnak is nevezhetjük.
További részletekért tekintse meg a hozzáférési jogkivonatok hivatkozását .
Színész
Az ügyfélalkalmazás másik kifejezése. A színész az a fél, aki a tulajdonos (erőforrás tulajdonosa) nevében jár el.
Alkalmazás (ügyfél) azonosítója
Az alkalmazásazonosító vagy ügyfél-azonosító az az érték, amelyet a Microsoft Identitásplatform hozzárendel az alkalmazáshoz, amikor regisztrálja azt a Microsoft Entra-azonosítóban. Az alkalmazásazonosító egy GUID-érték, amely egyedileg azonosítja az alkalmazást és annak konfigurációját az identitásplatformon belül. Az alkalmazásazonosítót hozzáadja az alkalmazás kódjához, és a hitelesítési kódtárak tartalmazzák a kéréseikben szereplő értéket az identitásplatformon az alkalmazás futtatókörnyezetében. Az alkalmazás (ügyfél) azonosítója nem titkos – ne használja jelszóként vagy más hitelesítő adatként.
Alkalmazásjegyzék
Az alkalmazásjegyzék egy olyan szolgáltatás, amely JSON-reprezentációt készít az alkalmazás identitáskonfigurációjáról, amely a társított Alkalmazás - és ServicePrincipal-entitások frissítésének mechanizmusaként szolgál. További részletekért tekintse meg a Microsoft Entra alkalmazásjegyzékének ismertetését.
Alkalmazásobjektum
Egy alkalmazás regisztrálása/frissítésekor a rendszer egy alkalmazásobjektumot és egy kapcsolódó szolgáltatásnév-objektumot is létrehoz/frissít az adott bérlőhöz. Az alkalmazásobjektum globálisan határozza meg az alkalmazás identitáskonfigurációját (az összes olyan bérlőn, ahol hozzáféréssel rendelkezik), és olyan sablont biztosít, amelyből a megfelelő szolgáltatásnév-objektum(ok) származtatva lesznek helyileg futtatáskor (egy adott bérlőben).
További információ: Alkalmazás- és szolgáltatásnév-objektumok.
Alkalmazásregisztráció
Ahhoz, hogy egy alkalmazás integrálható legyen az identitás- és hozzáférés-kezelési funkciókkal a Microsoft Entra-azonosítóba, regisztrálva kell lennie egy Microsoft Entra-bérlőnél. Amikor regisztrálja az alkalmazást a Microsoft Entra-azonosítóval, identitáskonfigurációt biztosít az alkalmazáshoz, lehetővé téve, hogy integrálható legyen a Microsoft Entra-azonosítóval, és olyan funkciókat használjon, mint:
- Az egyszeri bejelentkezés robusztus kezelése a Microsoft Entra identitáskezelésével és az OpenID Connect protokoll implementálásával
- Felügyelt hozzáférés védett erőforrásokhoz ügyfélalkalmazások által az OAuth 2.0 engedélyezési kiszolgálón keresztül
- Hozzájárulási keretrendszer a védett erőforrásokhoz való ügyfélhozzáférés kezeléséhez az erőforrás-tulajdonosi engedélyezés alapján.
További részletekért lásd: Alkalmazások integrálása a Microsoft Entra-azonosítóval .
Hitelesítés
Az a cselekmény, amely megkérdőjelezi a felet a hitelesítő adatokkal kapcsolatban, amely biztosítja az identitás- és hozzáférés-vezérléshez használandó biztonsági tag létrehozásának alapját. Az OAuth 2.0 engedélyezési engedélyezése során például a hitelesítéssel rendelkező fél betölti az erőforrás-tulajdonos vagy az ügyfélalkalmazás szerepkörét a felhasznált támogatástól függően.
Engedélyezés
A hitelesített biztonsági tagok engedélyének megadása a művelethez. A Microsoft Entra programozási modellben két elsődleges használati eset létezik:
- OAuth 2.0 engedélyezési engedélyezési folyamat során: amikor az erőforrás tulajdonosa engedélyt ad az ügyfélalkalmazásnak, lehetővé téve az ügyfél számára az erőforrás-tulajdonos erőforrásainak elérését.
- Az ügyfél erőforrás-hozzáférése során: az erőforrás-kiszolgáló által implementált módon a hozzáférési jogkivonatban található jogcímértékek használatával hozza meg az alapján a hozzáférés-vezérlési döntéseket.
Engedélyezési kód
Egy rövid élettartamú érték, amelyet az engedélyezési végpont biztosít egy ügyfélalkalmazásnak az OAuth 2.0 engedélyezési kód megadásának folyamata során, amely egyike a négy OAuth 2.0 engedélyezési támogatásnak. Más néven hitelesítési kód, az engedélyezési kódot a rendszer az erőforrás-tulajdonos hitelesítésére válaszul adja vissza az ügyfélalkalmazásnak. A hitelesítési kód azt jelzi, hogy az erőforrás tulajdonosa delegálta az engedélyt az ügyfélalkalmazásnak az erőforrások eléréséhez. A folyamat részeként a hitelesítési kód később beváltható egy hozzáférési jogkivonatra.
Engedélyezési végpont
Az engedélyezési kiszolgáló által implementált végpontok egyike, amellyel az erőforrás-tulajdonossal együttműködve engedélyezési engedélyt adhat meg az OAuth 2.0 engedélyezési engedélyezési folyamat során. A használt engedélyezési engedélyezési folyamattól függően a ténylegesen megadott támogatás eltérő lehet, beleértve az engedélyezési kódot vagy a biztonsági jogkivonatot is.
További részletekért tekintse meg az OAuth 2.0 specifikáció engedélyezési engedélyezési és engedélyezési végpontszakaszait , valamint az OpenIDConnect specifikációját .
Engedélyezés engedélyezése
Az erőforrás tulajdonosának az ügyfélalkalmazásnak adott védett erőforrásokhoz való hozzáférésére vonatkozó engedélyét jelképező hitelesítő adat. Az ügyfélalkalmazások az OAuth 2.0 engedélyezési keretrendszer által meghatározott négy támogatási típus egyikét használhatják a támogatás beszerzéséhez az ügyfél típusától/követelményeitől függően: "engedélyezési kód megadása", "ügyfél-hitelesítő adatok megadása", "implicit támogatás" és "erőforrás-tulajdonosi jelszó hitelesítő adatainak megadása". Az ügyfélnek visszaadott hitelesítő adat egy hozzáférési jogkivonat vagy egy engedélyezési kód (amelyet később cseréltek le egy hozzáférési jogkivonatra), a használt engedélyezési engedély típusától függően.
Az erőforrás-tulajdonos jelszó hitelesítő adatainak megadása nem használható , kivéve azokat az eseteket, amikor más folyamatok nem használhatók. Ha SPA-t hoz létre, használja az engedélyezési kódfolyamot a PKCE-vel az implicit engedélyezés helyett.
Engedélyezési kiszolgáló
Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint a hozzáférési jogkivonatok ügyfélhez való kiadásáért felelős kiszolgáló az erőforrás tulajdonosának sikeres hitelesítése és az engedélyezés beszerzése után. Az ügyfélalkalmazás futásidőben az engedélyezési és jogkivonatvégpontokon keresztül kommunikál az engedélyezési kiszolgálóval az OAuth 2.0 által meghatározott engedélyezési támogatásokkal összhangban.
Az Microsoft Identitásplatform alkalmazásintegráció esetén a Microsoft Identitásplatform implementálja az engedélyezési kiszolgálói szerepkört a Microsoft Entra-alkalmazásokhoz és a Microsoft szolgáltatás API-khoz, például a Microsoft Graph API-khoz.
Jogcím
A jogcímek név-érték párok egy biztonsági jogkivonatban , amelyek az egyik entitás által a másiknak tett állításokat biztosítják. Ezek az entitások általában az ügyfélalkalmazások vagy az erőforrás-tulajdonosok , amelyek állításokat biztosítanak az erőforrás-kiszolgálónak. A jogcímek továbbítják a jogkivonat tárgyát, például az engedélyezési kiszolgáló által hitelesített biztonsági tag azonosítóját. A jogkivonatokban található jogcímek különbözőek lehetnek, és számos tényezőtől függhetnek, például a jogkivonat típusától, a tulajdonos hitelesítéséhez használt hitelesítő adatok típusától, az alkalmazás konfigurációjától és más tényezőktől.
További részletekért tekintse meg a Microsoft Identitásplatform tokenreferenciát.
Ügyfélalkalmazás
Más néven "színész". Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint egy alkalmazás, amely védett erőforrás-kérelmeket küld az erőforrás tulajdonosának nevében. Hatókörök formájában kapnak engedélyeket az erőforrás tulajdonosától. Az "ügyfél" kifejezés nem jelent konkrét hardveres megvalósítási jellemzőket (például azt, hogy az alkalmazás egy kiszolgálón, egy asztalon vagy más eszközön fut-e).
Az ügyfélalkalmazás engedélyt kér egy erőforrás-tulajdonostól, hogy részt vegyen egy OAuth 2.0 engedélyezési engedélyezési folyamatban, és hozzáférhet az API-khoz/adatokhoz az erőforrás-tulajdonos nevében. Az OAuth 2.0 engedélyezési keretrendszer két ügyféltípust határoz meg: "bizalmas" és "nyilvános", attól függően, hogy az ügyfél képes-e megőrizni a hitelesítő adatainak bizalmasságát. Az alkalmazások implementálhatnak egy (bizalmas) webügyfélt, amely egy webkiszolgálón, egy eszközön telepített natív ügyfélen (nyilvános) vagy egy felhasználóügynök-alapú (nyilvános) ügyfélen fut, amely az eszköz böngészőjében fut.
Hozzájárulás
Az az erőforrás-tulajdonos folyamata, amely engedélyt ad egy ügyfélalkalmazásnak a védett erőforrások adott engedélyekkel való elérésére az erőforrás tulajdonosának nevében. Az ügyfél által kért engedélyektől függően a rendszer hozzájárulást kér a rendszergazdától vagy a felhasználótól a szervezeti/egyéni adatokhoz való hozzáférés engedélyezéséhez. Vegye figyelembe, hogy több-bérlős forgatókönyv esetén az alkalmazás szolgáltatásnevét a rendszer a hozzájárulást adó felhasználó bérlőjében is rögzíti.
További információért tekintse meg a hozzájárulási keretrendszert .
Azonosító jogkivonata
Az engedélyezési kiszolgáló engedélyezési végpontja által biztosított OpenID Connect biztonsági jogkivonat, amely egy végfelhasználói erőforrás-tulajdonos hitelesítésével kapcsolatos jogcímeket tartalmaz. A hozzáférési jogkivonatokhoz hasonlóan az azonosító jogkivonatok is digitálisan aláírt JSON-webjogkivonatként (JWT) jelennek meg. A hozzáférési jogkivonatokkal ellentétben azonban az azonosító jogkivonatok jogcímei nem az erőforrás-hozzáféréssel és kifejezetten a hozzáférés-vezérléssel kapcsolatos célokra használhatók.
További részletekért tekintse meg az azonosító jogkivonatának referenciáját .
Felügyelt identitások
Ne kelljen a fejlesztőknek hitelesítő adatokat kezelnie. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Az alkalmazások a felügyelt identitás használatával szerezhetnek be Microsoft Identitásplatform jogkivonatokat. Az alkalmazások például felügyelt identitással férhetnek hozzá az olyan erőforrásokhoz, mint az Azure Key Vault, ahol a fejlesztők biztonságosan tárolhatják a hitelesítő adatokat, vagy hozzáférhetnek a tárfiókokhoz. További információkért tekintse meg a felügyelt identitások áttekintését.
Microsoft-identitásplatform
A Microsoft Identitásplatform a Microsoft Entra identitásszolgáltatás és fejlesztői platform fejlődése. Lehetővé teszi a fejlesztők számára, hogy olyan alkalmazásokat építsenek, amelyek az összes Microsoft-identitás használatával biztonságosan jelentkeznek be, és jogkivonattal hívják meg a Microsoft Graphot, más Microsoft API-kat vagy olyan API-kat, amelyeket fejlesztők készítettek. Ez egy teljes funkcionalitású platform, amely egy hitelesítési szolgáltatásból, kódtárakból, alkalmazásregisztrációból és konfigurációból, teljes fejlesztői dokumentációból, kódmintákból és egyéb fejlesztői tartalmakból áll. A Microsoft identitásplatformja támogatja a nyílt szabványokat, többek között az OAuth 2.0-t és az OpenID Connectet.
Több-bérlős alkalmazás
Olyan alkalmazásosztály, amely lehetővé teszi a bejelentkezést és a jóváhagyást a Microsoft Entra-bérlőkben kiépített felhasználók számára, beleértve az ügyfél regisztrálásakor nem szereplő bérlőket is. A natív ügyfélalkalmazások alapértelmezés szerint több-bérlősek, míg a webes ügyfél - és webes erőforrás-/API-alkalmazások választhatnak az egy- vagy több-bérlős alkalmazások között. Ezzel szemben egy egybérlősként regisztrált webalkalmazás csak abban a bérlőben létesített felhasználói fiókokból engedélyezi a bejelentkezéseket, ahol az alkalmazás regisztrálva van.
További részletekért tekintse meg a Microsoft Entra-felhasználók bejelentkezését a több-bérlős alkalmazásminta használatával.
Natív ügyfél
Az eszközön natív módon telepített ügyfélalkalmazás típusa. Mivel az összes kód végrehajtása egy eszközön történik, "nyilvános" ügyfélnek minősül, mivel nem lehet privát/bizalmas módon tárolni a hitelesítő adatokat. További részletekért tekintse meg az OAuth 2.0-ügyféltípusokat és -profilokat .
Engedélyek
Az ügyfélalkalmazások engedélykérések deklarálásával hozzáférést kapnak az erőforrás-kiszolgálóhoz . Két típus érhető el:
- A "Delegált" engedélyek, amelyek hatóköralapú hozzáférést adnak meg a bejelentkezett erőforrás tulajdonosának delegált engedélyével, futtatáskor "scp" jogcímként jelennek meg az ügyfél hozzáférési jogkivonatában. Ezek azt jelzik, hogy a tulajdonos milyen engedélyt adott a színésznek.
- Az "Alkalmazás" engedélyek, amelyek szerepköralapú hozzáférést adnak meg az ügyfélalkalmazás hitelesítő adataival/identitásával, futtatáskor "szerepkörök" jogcímként jelennek meg az ügyfél hozzáférési jogkivonatában. Ezek a bérlő által a tulajdonosnak adott engedélyeket jelzik.
A hozzájárulási folyamat során is felszínre kerülnek, így a rendszergazda vagy az erőforrás tulajdonosa lehetőséget kap arra, hogy hozzáférést adjon/megtagadjon az ügyfél számára a bérlői erőforrásokhoz.
Az engedélykérelmek az alkalmazás API-engedélyoldalán konfigurálhatók a kívánt "Delegált engedélyek" és az "Alkalmazásengedélyek" kiválasztásával (utóbbihoz a globális rendszergazdai szerepkör tagsága szükséges). Mivel egy nyilvános ügyfél nem tudja biztonságosan fenntartani a hitelesítő adatokat, csak delegált engedélyeket kérhet, míg a bizalmas ügyfélnek lehetősége van delegált és alkalmazásengedélyeket is kérni. Az ügyfél alkalmazásobjektuma a deklarált engedélyeket a szükségesResourceAccess tulajdonságában tárolja.
Jogkivonat frissítése
Az engedélyezési kiszolgáló által kibocsátott biztonsági jogkivonat típusa. A hozzáférési jogkivonat lejárata előtt az ügyfélalkalmazás tartalmazza a hozzá tartozó frissítési jogkivonatot, amikor új hozzáférési jogkivonatot kér az engedélyezési kiszolgálótól. A frissítési jogkivonatok általában JSON webes jogkivonatként (JWT) vannak formázva.
A hozzáférési jogkivonatokkal ellentétben a frissítési jogkivonatok visszavonhatók. Az engedélyezési kiszolgáló tagad minden olyan kérést egy ügyfélalkalmazástól, amely visszavont frissítési jogkivonatot tartalmaz. Ha az engedélyezési kiszolgáló tagad egy visszavont frissítési jogkivonatot tartalmazó kérést, az ügyfélalkalmazás elveszíti az erőforrás-kiszolgáló elérésére vonatkozó engedélyt az erőforrás-tulajdonos nevében.
További részletekért tekintse meg a frissítési jogkivonatokat .
Erőforrás tulajdonosa
Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint egy olyan entitás, amely képes hozzáférést biztosítani egy védett erőforráshoz. Ha az erőforrás tulajdonosa személy, akkor azt végfelhasználónak nevezzük. Ha például egy ügyfélalkalmazás a Microsoft Graph API-n keresztül szeretné elérni egy felhasználó postaládáját, a postaláda erőforrás-tulajdonosától kell engedélyt kérnie. Az "erőforrás-tulajdonost" más néven tárgynak is nevezik.
Minden biztonsági jogkivonat egy erőforrás-tulajdonost jelöl. Az erőforrás tulajdonosa az, amit a tulajdonosi jogcím, az objektumazonosító jogcím és a jogkivonat személyes adatai képviselnek. Az erőforrás-tulajdonosok azok a felek, amelyek hatókörök formájában delegált engedélyeket adnak egy ügyfélalkalmazásnak. Az erőforrás-tulajdonosok olyan szerepkörök címzettjei is, amelyek kiterjesztett engedélyeket jeleznek egy bérlőn vagy egy alkalmazásban.
Erőforrás-kiszolgáló
Az OAuth 2.0 engedélyezési keretrendszer által definiált, védett erőforrásokat üzemeltető kiszolgáló, amely képes a hozzáférési jogkivonatot tartalmazó ügyfélalkalmazások védett erőforrás-kérelmeinek elfogadására és megválaszolására. Más néven védett erőforrás-kiszolgáló vagy erőforrás-alkalmazás.
Az erőforrás-kiszolgáló az OAuth 2.0 engedélyezési keretrendszer használatával teszi elérhetővé az API-kat, és hatókörökön és szerepkörökön keresztül kényszeríti ki a védett erőforrásokhoz való hozzáférést. Ilyen például a Microsoft Graph API, amely hozzáférést biztosít a Microsoft Entra bérlői adataihoz, valamint a Microsoft 365 API-k, amelyek hozzáférést biztosítanak az adatokhoz, például a levelezéshez és a naptárhoz.
Az ügyfélalkalmazáshoz hasonlóan az erőforrásalkalmazás identitáskonfigurációja egy Microsoft Entra-bérlőben való regisztrációval jön létre, amely az alkalmazás és a szolgáltatásnév objektumot is biztosítja. Egyes Microsoft által biztosított API-k, például a Microsoft Graph API előre regisztrált szolgáltatásnévvel rendelkeznek, amelyeket a kiépítés során az összes bérlőn elérhetővé tettek.
Szerepkörök
A hatókörökhöz hasonlóan az alkalmazásszerepkörök is lehetővé teszik az erőforrás-kiszolgáló számára a védett erőforrásokhoz való hozzáférés szabályozását. A hatóköröktől eltérően a szerepkörök olyan jogosultságokat jelentenek, amelyeket a tárgy az alapkonfiguráción túl kapott – ezért a saját e-mailjeinek olvasása hatókör, míg az e-mail-rendszergazdai szerepkör, amely képes elolvasni mindenki e-mail-címét.
Az alkalmazásszerepkörök két hozzárendeléstípust támogatnak: a "user" hozzárendelés szerepköralapú hozzáférés-vezérlést valósít meg az erőforráshoz hozzáférést igénylő felhasználók/csoportok számára, míg az "alkalmazás" hozzárendelés ugyanazt valósítja meg a hozzáférést igénylő ügyfélalkalmazások esetében. Az alkalmazásszerepkör definiálható felhasználó által hozzárendelhetőként, alkalmazás-hozzárendelési vagy mindkettőként.
A szerepkörök erőforrás által definiált sztringek (például "Költség jóváhagyó", "Írásvédett", "Directory.ReadWrite.All"), amelyeket az erőforrás alkalmazásjegyzékén keresztül kezelnek, és az erőforrás appRoles tulajdonságában vannak tárolva. A felhasználók hozzárendelhetők "felhasználó" hozzárendelhető szerepkörökhöz, az ügyfélalkalmazás-engedélyek pedig konfigurálhatók az "alkalmazás" hozzárendelhető szerepkörök lekérésére.
A Microsoft Graph API által közzétett alkalmazásszerepkörök részletes ismertetését a Graph API engedélytartományai című témakörben találja. Részletes megvalósítási példa: Azure-szerepkör-hozzárendelések hozzáadása vagy eltávolítása.
Hatókörök
A szerepkörökhöz hasonlóan a hatókörök is lehetővé teszik, hogy az erőforrás-kiszolgáló szabályozhassa a védett erőforrásokhoz való hozzáférést. A hatókörök hatóköralapú hozzáférés-vezérlés implementálásához használhatók olyan ügyfélalkalmazások esetében, amelyek tulajdonosának delegált hozzáférése van az erőforráshoz.
A hatókörök erőforrás által definiált sztringek (például "Mail.Read", "Directory.ReadWrite.All"), amelyeket az erőforrás alkalmazásjegyzékén keresztül kezelnek, és az erőforrás oauth2Permissions tulajdonságában vannak tárolva. Az ügyfélalkalmazás delegált engedélyei konfigurálhatók egy hatókör elérésére.
Az ajánlott eljárás elnevezési konvenciója a "resource.operation.constraint" formátum használata. A Microsoft Graph API által közzétett hatókörök részletes ismertetését a Graph API engedélyhatókörei című témakörben találja. A Microsoft 365-szolgáltatások által közzétett hatókörökről lásd a Microsoft 365 API engedélyeinek hivatkozását.
Biztonsági jogkivonat
Jogcímeket tartalmazó aláírt dokumentum, például OAuth 2.0-jogkivonat vagy SAML 2.0-s állítás. Az OAuth 2.0 engedélyezési engedély esetében a hozzáférési jogkivonat (OAuth2), a frissítési jogkivonat és az azonosító jogkivonat olyan típusú biztonsági jogkivonatok, amelyek mindegyike JSON-webjogkivonatként (JWT) van implementálva.
Egyszerű szolgáltatásobjektum
Egy alkalmazás regisztrálása/frissítésekor a rendszer egy alkalmazásobjektumot és egy kapcsolódó szolgáltatásnév-objektumot is létrehoz/frissít az adott bérlőhöz. Az alkalmazásobjektum globálisan határozza meg az alkalmazás identitáskonfigurációját (az összes bérlőn, ahol a társított alkalmazás hozzáférést kapott), és az a sablon, amelyből a megfelelő szolgáltatásnév-objektum(ok) származtatva lesznek helyileg futtatáskor (egy adott bérlőben).
További információ: Alkalmazás- és szolgáltatásnév-objektumok.
Bejelentkezés
A végfelhasználói hitelesítést kezdeményező és a kapcsolódó állapot rögzítését kezdeményező ügyfélalkalmazás folyamata a biztonsági jogkivonat kéréséhez és az alkalmazás munkamenetének az adott állapothoz való hatókörének meghatározásához. Az állapot tartalmazhat összetevőket, például felhasználói profiladatokat és jogkivonat-jogcímekből származó információkat.
Az alkalmazások bejelentkezési funkcióját általában az egyszeri bejelentkezés (SSO) megvalósításához használják. Előzheti meg egy "regisztrációs" függvény is, amely belépési pontként szolgál ahhoz, hogy a végfelhasználó hozzáférjen egy alkalmazáshoz (az első bejelentkezéskor). A regisztrációs függvény a felhasználóra jellemző további állapotok gyűjtésére és megőrzésére szolgál, és felhasználói hozzájárulást igényelhet.
Kijelentkezés
A végfelhasználó hitelesítésének megszüntetése, az ügyfélalkalmazás munkamenetéhez társított felhasználói állapot leválasztása a bejelentkezés során
Tárgy
Más néven erőforrás-tulajdonos.
Bérlő
A Microsoft Entra-címtár egy példányát Microsoft Entra-bérlőnek nevezzük. Számos funkciót kínál, többek között a következőket:
- beállításjegyzék-szolgáltatás integrált alkalmazásokhoz
- felhasználói fiókok és regisztrált alkalmazások hitelesítése
- A különböző protokollok , például az OAuth 2.0 és az SAML támogatásához szükséges REST-végpontok, beleértve az engedélyezési végpontot, a jogkivonatvégpontot és a több-bérlős alkalmazások által használt "közös" végpontot.
A Microsoft Entra-bérlők azure-beli és Microsoft 365-előfizetésekkel jönnek létre/vannak társítva a regisztráció során, és identitás- és hozzáférés-kezelési funkciókat biztosítanak az előfizetéshez. Az Azure-előfizetés rendszergazdái további Microsoft Entra-bérlőket is létrehozhatnak. A Microsoft Entra-bérlők beszerzéséről a bérlők elérésének különböző módjairól olvashat. Az előfizetések és a Microsoft Entra-bérlők közötti kapcsolat részleteiért tekintse meg az Azure-előfizetés társítása vagy hozzáadása a Microsoft Entra-bérlőhöz című témakört, valamint az előfizetés Microsoft Entra-bérlőhöz való társítására vagy hozzáadására vonatkozó útmutatást.
Jogkivonatvégpont
Az engedélyezési kiszolgáló által az OAuth 2.0 engedélyezési támogatásának támogatásához implementált végpontok egyike. A támogatástól függően használható hozzáférési jogkivonat (és kapcsolódó "frissítési" jogkivonat) beszerzésére egy ügyfélhez, vagy az OpenID Connect protokollal való használat esetén azonosító jogkivonathoz.
Felhasználóügynök-alapú ügyfél
Olyan ügyfélalkalmazás, amely letölti a kódot egy webkiszolgálóról, és egy felhasználói ügynökön (például webböngészőn) belül hajtja végre, például egyoldalas alkalmazáson (SPA). Mivel az összes kód végrehajtása egy eszközön történik, "nyilvános" ügyfélnek minősül, mivel nem lehet privát/bizalmas módon tárolni a hitelesítő adatokat. További információ: OAuth 2.0-ügyféltípusok és -profilok.
Egyszerű felhasználó
A szolgáltatásnév-objektum alkalmazáspéldányok ábrázolására használt módjához hasonlóan a felhasználói egyszerű objektum egy másik típusú biztonsági egyszerű objektum, amely egy felhasználót jelöl. A Microsoft Graph-erőforrástípus User
definiálja a felhasználói objektumok sémáját, beleértve a felhasználóval kapcsolatos tulajdonságokat, például az utónevet és a vezetéknevet, a felhasználónevet, a címtárszerepkör-tagságot stb. Ez biztosítja a Microsoft Entra ID felhasználói identitáskonfigurációját, hogy futásidőben létrehozzon egy egyszerű felhasználót. A felhasználónév egy hitelesített felhasználót jelöl az egyszeri bejelentkezéshez, a hozzájárulás-delegálás rögzítéséhez, a hozzáférés-vezérlési döntések meghozatalához stb.
Webes ügyfél
Olyan ügyfélalkalmazás, amely egy webkiszolgálón futtatja az összes kódot, és bizalmas ügyfélként működik, mert biztonságosan tárolhatja a hitelesítő adatait a kiszolgálón. További információ: OAuth 2.0-ügyféltípusok és -profilok.
Számítási feladatok identitása
Olyan identitás, amelyet egy szoftveres számítási feladat, például egy alkalmazás, szolgáltatás, szkript vagy tároló használ más szolgáltatások és erőforrások hitelesítéséhez és eléréséhez. A Microsoft Entra-azonosítóban a számítási feladatok identitásai alkalmazások, szolgáltatásnevek és felügyelt identitások. További információkért tekintse meg a számítási feladatok identitásának áttekintését.
Számítási feladatok identitásának összevonása
Lehetővé teszi a Microsoft Entra által védett erőforrások biztonságos elérését külső alkalmazásokból és szolgáltatásokból anélkül, hogy titkos kulcsokat kellene kezelnie (támogatott forgatókönyvek esetén). További információ: számítási feladatok identitásának összevonása.
Következő lépések
A szószedet számos kifejezése az OAuth 2.0 és az OpenID Connect protokollhoz kapcsolódik. Bár nem kell tudnia, hogyan működnek a protokollok a "vezetéken" az identitásplatform használatához, bizonyos protokoll-alapismeretek ismerete segíthet a hitelesítés és az engedélyezés egyszerűbb összeállításában és hibakeresésében az alkalmazásokban: