Szószedet: Microsoft Identitásplatform

Ezeket a feltételeket a dokumentáció, a Azure Portal, a hitelesítési kódtárak és a Microsoft Graph API használatakor fogja látni. Egyes kifejezések Microsoft-specifikusak, míg mások olyan protokollokhoz kapcsolódnak, mint az OAuth vagy a Microsoft Identitásplatform használt egyéb technológiák.

Hozzáférési jogkivonat

Egy engedélyezési kiszolgáló által kibocsátott biztonsági jogkivonat típusa, amelyet egy ügyfélalkalmazás használ a védett erőforrás-kiszolgáló eléréséhez. A jogkivonat jellemzően JSON webes jogkivonat (JWT) formájában tartalmazza az erőforrás-tulajdonos által az ügyfélnek a kért szintű hozzáféréshez megadott engedélyt. A jogkivonat tartalmazza a tárgyra vonatkozó összes vonatkozó jogcímet , így az ügyfélalkalmazás hitelesítő adatok formájában használhatja azt egy adott erőforrás elérésekor. Ez azt is kiküszöböli, hogy az erőforrás tulajdonosának elérhetővé kell tennie a hitelesítő adatokat az ügyfél számára.

A hozzáférési jogkivonatok csak rövid ideig érvényesek, és nem vonhatók vissza. Az engedélyezési kiszolgáló frissítési jogkivonatot is kiadhat a hozzáférési jogkivonat kiadásakor. A frissítési jogkivonatok általában csak a bizalmas ügyfélalkalmazások számára érhetők el.

A hozzáférési jogkivonatokat a megjelenített hitelesítő adatoktól függően "User+App" vagy "Csak app"-nak is nevezik. Ha például egy ügyfélalkalmazás a következőt használja:

  • "Engedélyezési kód" engedélyezési engedély, a végfelhasználó először az erőforrás tulajdonosaként hitelesíti magát, és delegálja az engedélyezést az ügyfélnek az erőforrás eléréséhez. Az ügyfél ezt követően hitelesíti magát a hozzáférési jogkivonat beszerzésekor. A jogkivonatot néha pontosabban "User+App" jogkivonatnak is nevezhetjük, mivel az az ügyfélalkalmazást engedélyező felhasználót és az alkalmazást is jelöli.
  • "Ügyfél hitelesítő adatai" engedélyezési engedély, az ügyfél biztosítja az egyetlen hitelesítést, amely az erőforrás-tulajdonos hitelesítése/engedélyezése nélkül működik, így a jogkivonatot néha "Csak alkalmazás" jogkivonatnak is nevezik.

További részletekért tekintse meg a hozzáférési jogkivonatok referenciáját .

Színész

Az ügyfélalkalmazás egy másik kifejezése. A színész a tulajdonos nevében eljáró fél (erőforrás-tulajdonos).

Alkalmazás (ügyfél) azonosítója

Az alkalmazásazonosító vagy ügyfél-azonosító olyan érték, amelyet a Microsoft Identitásplatform hozzárendel az alkalmazáshoz, amikor regisztrálja az Azure AD. Az alkalmazásazonosító egy GUID-érték, amely egyedileg azonosítja az alkalmazást és annak konfigurációját az identitásplatformon belül. Az alkalmazásazonosítót hozzáadja az alkalmazás kódjához, és a hitelesítési kódtárak tartalmazzák a kéréseikben szereplő értéket az identitásplatformon az alkalmazás futtatókörnyezetében. Az alkalmazás (ügyfél) azonosítója nem titkos – ne használja jelszóként vagy más hitelesítő adatként.

Alkalmazásjegyzék

A Azure Portal által biztosított szolgáltatás, amely az alkalmazás identitáskonfigurációjának JSON-reprezentációját állítja elő, és a társított Alkalmazás- és ServicePrincipal-entitások frissítésének mechanizmusaként szolgál. További részletekért lásd: Az Azure Active Directory alkalmazásjegyzékének ismertetése .

Alkalmazásobjektum

Amikor regisztrál/frissít egy alkalmazást a Azure Portal, a portál létrehoz/frissít egy alkalmazásobjektumot és egy kapcsolódó szolgáltatásnév-objektumot is az adott bérlőhöz. Az alkalmazásobjektum globálisan határozza meg az alkalmazás identitáskonfigurációját (az összes olyan bérlőn, ahol hozzáféréssel rendelkezik), és olyan sablont biztosít, amelyből a megfelelő szolgáltatásnév-objektum(ok) származtatva lesznek helyileg futtatáskor (egy adott bérlőben).

További információ: Alkalmazás- és szolgáltatásnév-objektumok.

Alkalmazásregisztráció

Ahhoz, hogy egy alkalmazás integrálható legyen az identitás- és hozzáférés-kezelési funkciókkal Azure AD, regisztrálva kell lennie egy Azure AD bérlővel. Amikor regisztrálja az alkalmazást a Azure AD, identitáskonfigurációt biztosít az alkalmazáshoz, amely lehetővé teszi, hogy integrálható legyen Azure AD és olyan funkciókat használjon, mint:

További részletekért lásd: Alkalmazások integrálása az Azure Active Directoryval .

Hitelesítés

Az a cselekmény, amely megkérdőjelezi a felet a törvényes hitelesítő adatokkal szemben, és amely biztosítja az identitás- és hozzáférés-vezérléshez használandó biztonsági tag létrehozásának alapját. Az OAuth 2.0 engedélyezési engedélyezése során például a hitelesítéssel rendelkező fél betölti az erőforrás-tulajdonos vagy az ügyfélalkalmazás szerepkörét a használt támogatástól függően.

Engedélyezés

A hitelesített rendszerbiztonsági tag engedélyének megadása a művelethez. Az Azure AD programozási modellben két alapvető használati eset létezik:

Engedélyezési kód

Egy rövid élettartamú érték, amelyet az engedélyezési végpont adott egy ügyfélalkalmazásnak az OAuth 2.0 engedélyezési kód engedélyezési folyamata során, amely egyike a négy OAuth 2.0 engedélyezési támogatásnak. Más néven hitelesítési kód, az engedélyezési kódot a rendszer egy erőforrás-tulajdonos hitelesítésére válaszul adja vissza az ügyfélalkalmazásnak. A hitelesítési kód azt jelzi, hogy az erőforrás tulajdonosa delegálta az engedélyt az ügyfélalkalmazásnak az erőforrásaik eléréséhez. A folyamat részeként a hitelesítési kód később egy hozzáférési jogkivonatra lesz beváltva.

Engedélyezési végpont

Az engedélyezési kiszolgáló által implementált egyik végpont, amely az erőforrás tulajdonosával való interakcióra szolgál, hogy engedélyezési engedélyt biztosítson egy OAuth 2.0 engedélyezési engedélyezési folyamat során. A használt engedélyezési engedélyezési folyamattól függően a tényleges megadás eltérő lehet, beleértve az engedélyezési kódot vagy a biztonsági jogkivonatot is.

További részletekért tekintse meg az OAuth 2.0 specifikáció engedélyezési engedélyezési engedélyezési típusait és engedélyezési végpontjának szakaszait, valamint az OpenIDConnect specifikációját .

Engedélyezési engedély

Az erőforrás tulajdonosának a védett erőforrásokhoz való hozzáférésének engedélyezését jelképező hitelesítő adat, amely egy ügyfélalkalmazás számára van megadva. Az ügyfélalkalmazások az OAuth 2.0 engedélyezési keretrendszer által meghatározott négy engedélyezési típus egyikét használhatják a támogatás beszerzéséhez az ügyfél típusától/követelményeitől függően: "engedélyezési kód megadása", "ügyfél-hitelesítő adatok megadása", "implicit támogatás", valamint "erőforrás-tulajdonosi jelszó hitelesítő adatainak megadása". Az ügyfélnek visszaadott hitelesítő adat egy hozzáférési jogkivonat vagy egy engedélyezési kód (amelyet később egy hozzáférési jogkivonatra cserélnek) a használt engedélyezési engedély típusától függően.

Engedélyezési kiszolgáló

Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint a hozzáférési jogkivonatok ügyfélnek való kiadásáért felelős kiszolgáló az erőforrás tulajdonosának sikeres hitelesítése és az engedélyezés beszerzése után. Az ügyfélalkalmazások futtatókörnyezetben az OAuth 2.0 által meghatározott engedélyezési engedélyekkel összhangban használják az engedélyezési kiszolgálót az engedélyezési és jogkivonat-végpontokon keresztül.

A Microsoft Identitásplatform alkalmazásintegráció esetén a Microsoft Identitásplatform implementálja az engedélyezési kiszolgálói szerepkört Azure AD alkalmazásokhoz és a Microsoft szolgáltatás API-khoz, például a Microsoft Graph API-khoz.

Jogcím

A jogcímek olyan név-érték párok egy biztonsági jogkivonatban , amelyek az egyik entitás által a másiknak adott állításokat biztosítják. Ezek az entitások általában az ügyfélalkalmazás vagy egy erőforrás-tulajdonos , amely érvényesíti az erőforrás-kiszolgálót. A jogcímek továbbítják a jogkivonat tárgyát, például az engedélyezési kiszolgáló által hitelesített rendszerbiztonsági tag azonosítóját. A jogkivonatban található jogcímek számos tényezőtől függhetnek, például a jogkivonat típusától, a tulajdonos hitelesítéséhez használt hitelesítő adatok típusától, az alkalmazás konfigurációjától és más tényezőktől.

További részletekért tekintse meg a Microsoft Identitásplatform tokenreferenciáját.

Ügyfélalkalmazás

Más néven "színész". Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint egy olyan alkalmazás, amely védett erőforrás-kérelmeket küld az erőforrás tulajdonosának nevében. Hatókörök formájában kapnak engedélyeket az erőforrás tulajdonosától. Az "ügyfél" kifejezés nem utal konkrét hardver-megvalósítási jellemzőkre (például arra, hogy az alkalmazás egy kiszolgálón, egy asztali gépen vagy más eszközön fut-e).

Az ügyfélalkalmazás engedélyt kér egy erőforrás-tulajdonostól egy OAuth 2.0 engedélyezési engedélyezési folyamatban való részvételre, és hozzáférhet az API-khoz/adatokhoz az erőforrás tulajdonosa nevében. Az OAuth 2.0 engedélyezési keretrendszer két ügyféltípust határoz meg, a "bizalmas" és a "nyilvános" típust az ügyfél hitelesítő adatainak bizalmasságának fenntartására vonatkozó képessége alapján. Az alkalmazások implementálhatnak egy webügyfélt (bizalmas), amely egy webkiszolgálón, egy eszközön telepített natív ügyfélen (nyilvános) vagy egy felhasználóügynök-alapú (nyilvános) ügyfélen fut, amely az eszköz böngészőjében fut.

Az az eljárás, amely során egy erőforrás-tulajdonos engedélyt ad egy ügyfélalkalmazásnak a védett erőforrások adott engedélyekkel való elérésére az erőforrás tulajdonosának nevében. Az ügyfél által kért engedélyektől függően a rendszer hozzájárulást kér a rendszergazdától vagy a felhasználótól a szervezeti/egyéni adatokhoz való hozzáférés engedélyezéséhez. Vegye figyelembe, hogy több-bérlős forgatókönyv esetén az alkalmazás szolgáltatásnevét a rendszer a hozzájárulást adó felhasználó bérlőjében is rögzíti.

További információt a hozzájárulási keretrendszerben talál.

Azonosító jogkivonata

Az engedélyezési kiszolgálóengedélyezési végpontja által biztosított OpenID Connectbiztonsági jogkivonat, amely egy végfelhasználói erőforrás-tulajdonos hitelesítésével kapcsolatos jogcímeket tartalmaz. A hozzáférési jogkivonatokhoz hasonlóan az azonosító jogkivonatok is digitálisan aláírt JSON webes jogkivonatként (JWT) jelennek meg. A hozzáférési jogkivonatokkal ellentétben azonban az azonosító jogkivonat jogcímei nem az erőforrás-hozzáféréshez és kifejezetten a hozzáférés-vezérléshez kapcsolódó célokra használatosak.

További részletekért tekintse meg az azonosító-jogkivonat referenciáját .

Felügyelt identitások

Nincs szükség a fejlesztőknek a hitelesítő adatok kezelésére. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Azure AD hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Az alkalmazások a felügyelt identitás használatával szerezhetnek be Azure AD jogkivonatokat. Az alkalmazások például felügyelt identitással férhetnek hozzá az olyan erőforrásokhoz, mint az Azure Key Vault, ahol a fejlesztők biztonságosan tárolhatják a hitelesítő adatokat, vagy hozzáférhetnek a tárfiókokhoz. További információ: Felügyelt identitások áttekintése.

Microsoft-identitásplatform

A Microsoft Identitásplatform az Azure Active Directory (Azure AD) identitásszolgáltatásának és fejlesztői platformjának fejlődése. Lehetővé teszi a fejlesztők számára, hogy olyan alkalmazásokat építsenek, amelyek az összes Microsoft-identitás használatával biztonságosan jelentkeznek be, és jogkivonattal hívják meg a Microsoft Graphot, más Microsoft API-kat vagy olyan API-kat, amelyeket fejlesztők készítettek. Ez egy teljes funkcionalitású platform, amely egy hitelesítési szolgáltatásból, kódtárakból, alkalmazásregisztrációból és -konfigurációból, teljes fejlesztői dokumentációból, kódmintákból és egyéb fejlesztői tartalmakból áll. A Microsoft identitásplatformja támogatja a nyílt szabványokat, többek között az OAuth 2.0-t és az OpenID Connectet.

Több-bérlős alkalmazás

Egy alkalmazásosztály, amely lehetővé teszi a bejelentkezést és a jóváhagyást bármely Azure AD bérlőben kiépített felhasználók számára, beleértve az ügyfél regisztrálásakor nem szereplő bérlőket is. A natív ügyfélalkalmazások alapértelmezés szerint több-bérlősek, míg a webes ügyfél - és webes erőforrás-/API-alkalmazások választhatnak az egy- vagy több-bérlős alkalmazások között. Ezzel szemben egy egybérlősként regisztrált webalkalmazás csak abban a bérlőben létesített felhasználói fiókokból engedélyezi a bejelentkezést, amelyben az alkalmazás regisztrálva van.

További részletekért lásd: Hogyan jelentkezhet be Azure AD felhasználókba a több-bérlős alkalmazásminta használatával.

Natív ügyfél

Az eszközön natív módon telepített ügyfélalkalmazás típusa. Mivel az összes kód végrehajtása egy eszközön történik, "nyilvános" ügyfélnek minősül, mivel nem lehet privát/bizalmas módon tárolni a hitelesítő adatokat. További részletekért lásd: OAuth 2.0-ügyféltípusok és -profilok .

Engedélyek

Az ügyfélalkalmazás engedélykérések deklarálásával hozzáférést kap egy erőforrás-kiszolgálóhoz . Két típus érhető el:

A hozzájárulási folyamat során is felszínre kerülnek, így a rendszergazda vagy az erőforrás tulajdonosa lehetőséget kap arra, hogy hozzáférést adjon/megtagadjon az ügyfél számára a bérlőben lévő erőforrásokhoz.

Az engedélykérelmek a Azure Portal egy alkalmazás API-engedélyoldalán konfigurálhatók a kívánt "Delegált engedélyek" és az "Alkalmazásengedélyek" kiválasztásával (ez utóbbihoz a globális rendszergazdai szerepkör tagsága szükséges). Mivel a nyilvános ügyfél nem tudja biztonságosan fenntartani a hitelesítő adatokat, csak delegált engedélyeket kérhet, míg a bizalmas ügyfelek delegált és alkalmazásengedélyeket is kérhetnek. Az ügyfél alkalmazásobjektuma a deklarált engedélyeket a requiredResourceAccess tulajdonságában tárolja.

Jogkivonat frissítése

Egy engedélyezési kiszolgáló által kibocsátott biztonsági jogkivonat típusa. A hozzáférési jogkivonat lejárata előtt az ügyfélalkalmazás a társított frissítési jogkivonatot is tartalmazza, amikor új hozzáférési jogkivonatot kér az engedélyezési kiszolgálótól. A frissítési jogkivonatok általában JSON webes jogkivonatként (JWT) vannak formázva.

A hozzáférési jogkivonatoktól eltérően a frissítési jogkivonatok visszavonhatók. Az engedélyezési kiszolgáló megtagad minden olyan kérést egy ügyfélalkalmazástól, amely visszavont frissítési jogkivonatot tartalmaz. Ha az engedélyezési kiszolgáló megtagad egy visszavont frissítési jogkivonatot tartalmazó kérést, az ügyfélalkalmazás elveszíti az erőforrás-kiszolgáló elérésére vonatkozó engedélyt az erőforrás-tulajdonos nevében.

További részletekért tekintse meg a frissítési jogkivonatokat .

Erőforrás tulajdonosa

Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint egy olyan entitás, amely képes hozzáférést biztosítani egy védett erőforráshoz. Ha az erőforrás tulajdonosa személy, akkor végfelhasználónak nevezzük. Ha például egy ügyfélalkalmazás a Microsoft Graph API keresztül szeretné elérni a felhasználó postaládáját, a postaláda erőforrás-tulajdonosától kell engedélyt kérnie. Az "erőforrás-tulajdonost" más néven tárgynak is nevezik.

Minden biztonsági jogkivonat egy erőforrás-tulajdonost jelöl. Az erőforrás tulajdonosa az, amit a tulajdonosi jogcím, az objektumazonosító jogcím és a jogkivonatban szereplő személyes adatok képviselnek. Az erőforrás-tulajdonosok azok a felek, amelyek delegált engedélyeket biztosítanak egy ügyfélalkalmazásnak hatókörök formájában. Az erőforrás-tulajdonosok olyan szerepkörök címzettjei is, amelyek kiterjesztett engedélyeket jeleznek egy bérlőn vagy egy alkalmazásban.

Erőforrás-kiszolgáló

Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint egy olyan kiszolgáló, amely védett erőforrásokat üzemeltet, és amely képes a hozzáférési jogkivonatot tartalmazó ügyfélalkalmazások védett erőforrás-kérelmeinek elfogadására és megválaszolására. Más néven védett erőforrás-kiszolgáló vagy erőforrás-alkalmazás.

Az erőforrás-kiszolgáló az OAuth 2.0 engedélyezési keretrendszer használatával teszi elérhetővé az API-kat, és hatókörökön és szerepkörökön keresztül kényszeríti ki a hozzáférést a védett erőforrásokhoz. Ilyenek például a Microsoft Graph API, amely hozzáférést biztosít Azure AD bérlői adatokhoz, valamint a Microsoft 365 API-k, amelyek hozzáférést biztosítanak az adatokhoz, például a levelezéshez és a naptárhoz.

Az ügyfélalkalmazáshoz hasonlóan az erőforrásalkalmazás identitáskonfigurációja is egy Azure AD-bérlőben történő regisztrációval jön létre, és az alkalmazás- és szolgáltatásnév-objektumot is biztosítja. Egyes Microsoft által biztosított API-k, például a Microsoft Graph API, előre regisztrált szolgáltatásnevekkel rendelkeznek, amelyek a kiépítés során minden bérlőn elérhetővé válnak.

Szerepkörök

A hatókörökhöz hasonlóan az alkalmazásszerepkörök is lehetővé teszik, hogy az erőforrás-kiszolgálók szabályozhassák a védett erőforrásokhoz való hozzáférést. A hatóköröktől eltérően a szerepkörök olyan jogosultságokat képviselnek, amelyeket a tárgy az alapkonfiguráción túl kapott – ezért a saját e-mailjeinek olvasása hatókör, míg e-mail-rendszergazdaként mindenki e-mail-címét elolvashatja.

Az alkalmazásszerepkörök két hozzárendelés-típust támogatnak: a "felhasználó" hozzárendelés szerepköralapú hozzáférés-vezérlést valósít meg az erőforráshoz hozzáférést igénylő felhasználók/csoportok számára, míg az "alkalmazás" hozzárendelés ugyanezt valósítja meg a hozzáférést igénylő ügyfélalkalmazások esetében. Az alkalmazásszerepkör definiálható felhasználó által hozzárendelhető, alkalmazás-hozzárendelési vagy mindkettőként.

A szerepkörök erőforrás által definiált sztringek (például "Költség jóváhagyó", "Írásvédett", "Directory.ReadWrite.All"), amelyeket a Azure Portal az erőforrás alkalmazásjegyzékén keresztül kezelnek, és az erőforrás appRoles tulajdonságában tárolnak. A Azure Portal felhasználók "felhasználóhoz" hozzárendelhető szerepkörökhöz való hozzárendelésére, valamint ügyfélalkalmazási engedélyek konfigurálására is használható az "alkalmazás" hozzárendelhető szerepkörök kéréséhez.

A Microsoft Graph API által közzétett alkalmazás-szerepkörök részletes ismertetését lásd: Graph API engedélyhatókörök. Részletes megvalósítási példa: Azure-beli szerepkör-hozzárendelések hozzáadása vagy eltávolítása a Azure Portal használatával.

Hatókörök

A szerepkörökhöz hasonlóan a hatókörök is lehetővé teszik, hogy az erőforrás-kiszolgálók szabályozhassák a védett erőforrásokhoz való hozzáférést. A hatókörök a hatóköralapú hozzáférés-vezérlés megvalósításához használhatók olyan ügyfélalkalmazások esetében, amelyek tulajdonosa delegált hozzáférést kapott az erőforráshoz.

A hatókörök erőforrás által definiált sztringek (például "Mail.Read", "Directory.ReadWrite.All"), amelyeket az Azure Portal az erőforrás alkalmazásjegyzékén keresztül kezelnek, és az erőforrás oauth2Permissions tulajdonságában vannak tárolva. A Azure Portal az ügyfélalkalmazás delegált engedélyeinek konfigurálására is használható a hatókörhöz való hozzáféréshez.

Az ajánlott eljárás elnevezési konvenciója a "resource.operation.constraint" formátum használata. A Microsoft Graph API által közzétett hatókörök részletes ismertetését lásd: Graph API engedélyhatókörök. A Microsoft 365-szolgáltatások által közzétett hatókörökért lásd: Microsoft 365 API-engedélyek referenciája.

Biztonsági jogkivonat

Jogcímeket tartalmazó aláírt dokumentum, például OAuth 2.0-jogkivonat vagy SAML 2.0-s helyességi feltétel. Az OAuth 2.0 engedélyezési engedély, a hozzáférési jogkivonat (OAuth2), a frissítési jogkivonat és az azonosító jogkivonatok biztonsági jogkivonatok típusai, amelyek mindegyike JSON webes jogkivonatként (JWT) van implementálva.

Szolgáltatásnév objektum

Amikor regisztrál/frissít egy alkalmazást a Azure Portal, a portál létrehoz/frissít egy alkalmazásobjektumot és egy kapcsolódó szolgáltatásnév-objektumot az adott bérlőhöz. Az alkalmazásobjektum globálisan határozza meg az alkalmazás identitáskonfigurációját (az összes olyan bérlőn, ahol a társított alkalmazás hozzáférést kapott), és az a sablon, amelyből a megfelelő szolgáltatásnév-objektum(ok) származtatva lesznek helyi használatra futásidőben (egy adott bérlőben).

További információ: Alkalmazás- és szolgáltatásnév-objektumok.

Bejelentkezés

Egy ügyfélalkalmazás folyamata, amely végfelhasználói hitelesítést kezdeményez, és rögzíti a kapcsolódó állapotot a biztonsági jogkivonat kéréséhez és az alkalmazás munkamenetének az adott állapothoz való hatókörének meghatározásához. Az állapot tartalmazhat összetevőket, például felhasználói profiladatokat és jogkivonatjogcímekből származó információkat.

Az alkalmazások bejelentkezési funkcióját általában az egyszeri bejelentkezés (SSO) megvalósításához használják. Ezt egy "regisztrációs" függvény is előzheti meg, amely belépési pontként szolgál ahhoz, hogy a végfelhasználó hozzáférjen egy alkalmazáshoz (az első bejelentkezéskor). A regisztrációs függvény a felhasználóra jellemző további állapotok gyűjtésére és megőrzésére szolgál, és felhasználói hozzájárulást igényelhet.

Kijelentkezés

A végfelhasználó hitelesítésének megszüntetése, az ügyfélalkalmazás munkamenetéhez társított felhasználói állapot leválasztása a bejelentkezés során

Tárgy

Más néven erőforrás-tulajdonos.

Bérlő

A Azure AD könyvtár egy példányát Azure AD-bérlőnek nevezzük. Számos funkciót kínál, többek között a következőket:

  • regisztrációs adatbázis-szolgáltatás integrált alkalmazásokhoz
  • felhasználói fiókok és regisztrált alkalmazások hitelesítése
  • A különböző protokollok, például az OAuth 2.0 és az SAML támogatásához szükséges REST-végpontok, beleértve a több-bérlős alkalmazások által használt engedélyezési végpontot, jogkivonatvégpontot és "közös" végpontot.

Azure AD bérlők létrehozása/társítása Azure- és Microsoft 365-előfizetésekkel a regisztráció során, identitás & biztosításával Az előfizetés hozzáférés-kezelési funkciói. Az Azure-előfizetések rendszergazdái további Azure AD bérlőket is létrehozhatnak a Azure Portal. A bérlőhöz való hozzáférés különböző módjairól az Azure Active Directory-bérlők lekérése című témakörben olvashat. Az előfizetések és egy Azure AD-bérlő közötti kapcsolat részleteit az Azure Active Directory-bérlő társítása vagy hozzáadása az Azure Active Directory-bérlőhöz című cikkben, valamint az előfizetések Azure AD-bérlőhöz való társítására vagy hozzáadására vonatkozó útmutatást ismertető cikkben találja.

Jogkivonat-végpont

Az engedélyezési kiszolgáló által az OAuth 2.0 engedélyezési engedélyek támogatásához implementált végpontok egyike. Az engedélytől függően használható hozzáférési jogkivonat (és a kapcsolódó "frissítési" jogkivonat) beszerzésére egy ügyfélhez, vagy azonosító jogkivonathoz az OpenID Connect protokollal való használat esetén.

Felhasználóügynök-alapú ügyfél

Olyan ügyfélalkalmazás , amely kódot tölt le egy webkiszolgálóról, és egy felhasználói ügynökön (például egy webböngészőn) belül hajtja végre, például egyoldalas alkalmazáson (SPA). Mivel az összes kód végrehajtása egy eszközön történik, "nyilvános" ügyfélnek minősül, mivel nem lehet privát/bizalmas módon tárolni a hitelesítő adatokat. További információ: OAuth 2.0-ügyféltípusok és -profilok.

Egyszerű felhasználó

A szolgáltatásnév-objektum alkalmazáspéldányok ábrázolására használt módjához hasonlóan a felhasználói egyszerű objektum egy másik típusú rendszerbiztonsági tag, amely egy felhasználót jelöl. A Microsoft Graph felhasználói erőforrástípusa határozza meg egy felhasználói objektum sémáját, beleértve a felhasználóval kapcsolatos tulajdonságokat, például a vezeték- és utónevet, az egyszerű felhasználónevet, a címtárszerepkör-tagságot stb. Ez biztosítja a felhasználói identitás konfigurációját a Azure AD számára, hogy futásidőben létrehozzon egy egyszerű felhasználót. A felhasználónév egy hitelesített felhasználót jelöl az egyszeri bejelentkezéshez, a hozzájárulás delegálásának rögzítéséhez, hozzáférés-vezérlési döntések meghozatalához stb.

Webes ügyfél

Egy olyan ügyfélalkalmazás , amely egy webkiszolgálón futtatja az összes kódot, és bizalmas ügyfélként működik, mert biztonságosan tárolhatja a hitelesítő adatait a kiszolgálón. További információ: OAuth 2.0-ügyféltípusok és -profilok.

Számítási feladat identitása

Olyan identitás, amelyet egy szoftveres számítási feladat, például egy alkalmazás, szolgáltatás, szkript vagy tároló használ más szolgáltatások és erőforrások hitelesítéséhez és eléréséhez. A Azure AD számítási feladatok identitásai alkalmazások, szolgáltatásnevek és felügyelt identitások. További információt a számítási feladatok identitásának áttekintése című témakörben talál.

Számítási feladat identitásának összevonása

Lehetővé teszi, hogy biztonságosan hozzáférjen Azure AD védett erőforrásokhoz külső alkalmazásokból és szolgáltatásokból anélkül, hogy titkos kulcsokat kellene kezelnie (támogatott forgatókönyvek esetén). További információ: számításifeladat-identitás összevonása.)

Következő lépések

A szószedet számos kifejezése az OAuth 2.0 és az OpenID Connect protokollhoz kapcsolódik. Bár nem kell tudnia, hogyan működnek a protokollok a "vezetéken" az identitásplatform használatához, néhány protokollal kapcsolatos alapismeret ismerete segíthet a hitelesítés és az engedélyezés egyszerűbb összeállításában és hibakeresésében az alkalmazásokban: