Alkalmazás- és szolgáltatásfőobjektumok a Microsoft Entra ID-ban
Ez a cikk a Microsoft Entra ID alkalmazásregisztrációját, alkalmazásobjektumait és szolgáltatásneveit, azok használatát és egymáshoz való kapcsolódását ismerteti. Egy több-bérlős példaforgatókönyv is bemutatja az alkalmazás alkalmazásobjektuma és a kapcsolódó alkalmazáspéldány-objektumok közötti kapcsolatot.
Alkalmazásregisztráció
Az identitás- és hozzáférés-kezelési funkciók Microsoft Entra ID számára való delegálásához az alkalmazásnak Microsoft Entra ID-bérlői regisztrációval kell rendelkeznie. Amikor regisztrálja az alkalmazást a Microsoft Entra-azonosítóval, létrehoz egy identitáskonfigurációt az alkalmazáshoz, amely lehetővé teszi, hogy integrálható legyen a Microsoft Entra-azonosítóval. Amikor regisztrál egy alkalmazást, kiválaszthatja, hogy egyetlen bérlőről vagy több-bérlőről van-e szó, és igény szerint beállíthat átirányítási URI-t. Az alkalmazások regisztrálásával kapcsolatos részletes útmutatásért tekintse meg az alkalmazásregisztráció rövid útmutatóját.
Amikor befejezte az alkalmazásregisztrációt, az alkalmazásnak (az alkalmazásobjektumnak) egy globálisan egyedi példánya van, amely az otthoni bérlőn vagy könyvtáron belül található. Emellett globálisan egyedi azonosítóval is rendelkezik az alkalmazáshoz (az alkalmazás/ügyfél azonosítója). Titkos kulcsokat, tanúsítványokat és hatóköröket adhat hozzá az alkalmazás működéséhez, testre szabhatja az alkalmazás arculatát a bejelentkezési párbeszédpanelen, és így tovább.
Ha regisztrál egy alkalmazást, a rendszer automatikusan létrehoz egy alkalmazásobjektumot és egy szolgáltatásnév-objektumot az otthoni bérlőben. Ha a Microsoft Graph API-kkal regisztrál/hoz létre egy alkalmazást, a szolgáltatásnév-objektum létrehozása külön lépés.
Alkalmazásobjektum
A Microsoft Entra-alkalmazásokat egyetlen alkalmazásobjektum határozza meg, amely abban a Microsoft Entra-bérlőben található, ahol az alkalmazást regisztrálták (az alkalmazás "otthoni" bérlője). Az alkalmazásobjektumok sablonként vagy tervként szolgálnak egy vagy több egyszerű szolgáltatásobjektum létrehozásához. A rendszer minden olyan bérlőben létrehoz egy szolgáltatásnevet, amelyben az alkalmazást használják. Az objektumorientált programozás egyik osztályához hasonlóan az alkalmazásobjektum néhány statikus tulajdonsággal rendelkezik, amelyek az összes létrehozott szolgáltatásnévre (vagy alkalmazáspéldányra) vonatkoznak.
Az alkalmazásobjektum az alkalmazás három aspektusát írja le:
- Hogyan adhat ki jogkivonatokat a szolgáltatás az alkalmazás eléréséhez?
- Azokat az erőforrásokat, amelyekhez az alkalmazásnak szüksége lehet
- Az alkalmazás által végrehajtható műveletek
A Microsoft Entra Felügyeleti központ Alkalmazásregisztrációk lapján listázhatja és kezelheti az otthoni bérlő alkalmazásobjektumait.
A Microsoft Graph-alkalmazás entitás határozza meg az alkalmazásobjektum tulajdonságainak sémáját.
Egyszerű szolgáltatásobjektum
A Microsoft Entra-bérlő által védett erőforrások eléréséhez a hozzáférést igénylő entitást egy biztonsági tagnak kell képviselnie. Ez a követelmény a felhasználók (felhasználónév) és az alkalmazások (szolgáltatásnév) esetében is érvényes. A biztonsági tag határozza meg a Microsoft Entra-bérlőben lévő felhasználó/alkalmazás hozzáférési szabályzatát és engedélyeit. Ez olyan alapvető funkciókat tesz lehetővé, mint a felhasználó/alkalmazás hitelesítése a bejelentkezés során, valamint az engedélyezés az erőforrás-hozzáférés során.
A szolgáltatásnévnek három típusa van:
Alkalmazás – Ez a szolgáltatásnév egy globális alkalmazásobjektum helyi reprezentációja vagy alkalmazáspéldánya egyetlen bérlőben vagy könyvtárban. Ebben az esetben a szolgáltatásnév az alkalmazásobjektumból létrehozott konkrét példány, amely az adott alkalmazásobjektum bizonyos tulajdonságait örökli. Minden olyan bérlőben létrejön egy szolgáltatásnév, amelyben az alkalmazást használják, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A szolgáltatásnév objektum határozza meg, hogy az alkalmazás valójában mit tehet az adott bérlőben, ki férhet hozzá az alkalmazáshoz, és milyen erőforrásokhoz férhet hozzá az alkalmazás.
Ha egy alkalmazás engedélyt kap egy bérlő erőforrásainak elérésére (regisztráció vagy hozzájárulás esetén), létrejön egy egyszerű szolgáltatásobjektum. Amikor regisztrál egy alkalmazást, a rendszer automatikusan létrehozza a szolgáltatásnevet. Szolgáltatásnév-objektumokat is létrehozhat a bérlőkben az Azure PowerShell, az Azure CLI, a Microsoft Graph és más eszközök használatával.
Felügyelt identitás – Ez a szolgáltatásnévtípus egy felügyelt identitás ábrázolására szolgál. Felügyelt identitásokkal nincs szükség arra, hogy a fejlesztők kezeljék a hitelesítő adatokat. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Ha egy felügyelt identitás engedélyezve van, a rendszer létrehoz egy, a felügyelt identitást képviselő szolgáltatásnevet a bérlőben. A felügyelt identitásokat képviselő szolgáltatásnevek hozzáférést és engedélyeket kaphatnak, de közvetlenül nem frissíthetők vagy módosíthatók.
Örökölt – Ez a szolgáltatásnév-típus egy örökölt alkalmazást jelöl, amely az alkalmazásregisztrációk bevezetése előtt létrehozott alkalmazás, vagy az örökölt szolgáltatásokon keresztül létrehozott alkalmazás. Az örökölt szolgáltatásnév rendelkezhet hitelesítő adatokkal, szolgáltatásnévnevekkel, válasz URL-címekkel és más olyan tulajdonságokkal, amelyeket egy jogosult felhasználó szerkeszthet, de nem rendelkezik társított alkalmazásregisztrációval. A szolgáltatásnév csak abban a bérlőben használható, ahol létrejött.
A Microsoft Graph ServicePrincipal entitás egy szolgáltatásnév-objektum tulajdonságainak sémáját határozza meg.
A Microsoft Entra Felügyeleti központban a Nagyvállalati alkalmazások lap használatával listázhatja és kezelheti a bérlő szolgáltatásneveit. Megtekintheti a szolgáltatásnév engedélyeit, a felhasználó által hozzájárulást kapó engedélyeket, amelyekhez a felhasználók hozzájárultak, bejelentkezési adatokat és egyebeket.
Az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolat
Az alkalmazásobjektum az alkalmazás globális reprezentációja, amely az összes bérlőben használható, a szolgáltatásnév pedig egy adott bérlőben való használat helyi reprezentációja. Az alkalmazásobjektum az a sablon, amelyből a rendszer általános és alapértelmezett tulajdonságokat hoz létre a megfelelő szolgáltatásnév-objektumok létrehozásához.
Egy alkalmazásobjektum a következő:
- Egy-az-egyhez kapcsolat a szoftveralkalmazással, és
- Egy-a-többhöz kapcsolat a megfelelő szolgáltatásnév-objektum(ok)tal
Az alkalmazás használatának helyén bérlőnkénti alkalmazáspéldányra van szükség, ami lehetővé teszi, hogy létrehozzon egy identitást a bejelentkezéshez és/vagy a bérlő által védett erőforrások eléréséhez. Egy egybérlős alkalmazás csak egy szolgáltatásnévvel rendelkezik (az otthoni bérlőjében), amelyet az alkalmazásregisztráció során hoztak létre és engedélyeztek a használathoz. A több-bérlős alkalmazásokban minden bérlőben létrejön egy szolgáltatásnév, ahol az adott bérlő egy felhasználója hozzájárult a használathoz.
Alkalmazáshoz társított szolgáltatásnevek listázása
Az alkalmazásobjektumhoz társított szolgáltatásnevek megtalálhatók.
A Microsoft Entra Felügyeleti központban keresse meg az alkalmazásregisztráció áttekintését. Válassza a Felügyelt alkalmazás lehetőséget a helyi címtárban.
Alkalmazások módosításának és törlésének következményei
Az alkalmazásobjektumon végzett módosítások a szolgáltatásnév objektumában is megjelennek csak az alkalmazás otthoni bérlőjében (abban a bérlőben, ahol regisztrálták). Ez azt jelenti, hogy egy alkalmazásobjektum törlése az otthoni bérlői szolgáltatásnév objektumát is törli. Az alkalmazásobjektum alkalmazásregisztrációkon keresztüli visszaállítása azonban nem fogja visszaállítani a megfelelő szolgáltatásnevet. Az alkalmazások és a szolgáltatásnév-objektumok törléséről és helyreállításáról további információt az alkalmazások és szolgáltatásnév-objektumok törléséről és helyreállításáról talál.
Példa
Az alábbi ábra az alkalmazás alkalmazásobjektuma és a kapcsolódó szolgáltatásnév-objektumok közötti kapcsolatot mutatja be egy HR-alkalmazásnak nevezett több-bérlős mintaalkalmazás kontextusában. Ebben a példában három Microsoft Entra-bérlő található:
- Adatum – A HR-alkalmazást fejlesztő vállalat által használt bérlő
- Contoso – A Contoso szervezet által használt bérlő, amely a HR-alkalmazás felhasználója
- Fabrikam – A Fabrikam szervezet által használt bérlő, amely a HR-alkalmazást is használja
Ebben a példaforgatókönyvben:
| Lépés | Leírás |
|---|---|
| 0 | Az alkalmazás- és szolgáltatásnév-objektumok létrehozásának folyamata az alkalmazás otthoni bérlőjében. |
| 2 | Amikor a Contoso és a Fabrikam rendszergazdái befejezik a hozzájárulást, létrejön egy szolgáltatásnév-objektum a vállalat Microsoft Entra-bérlőjében, és hozzárendelik a rendszergazda által megadott engedélyeket. Azt is vegye figyelembe, hogy a HR-alkalmazás konfigurálható/tervezhető úgy, hogy lehetővé tegye a felhasználók számára az egyéni használatra vonatkozó hozzájárulást. |
| 3 | A HR-alkalmazás fogyasztói bérlői (Contoso és Fabrikam) mindegyike saját szolgáltatásnév-objektummal rendelkezik. Mindegyik az alkalmazás egy-egy példányának futásidőben történő használatát jelöli, az adott rendszergazda által hozzájárulást kapó engedélyek alapján. |
Következő lépések
Megtudhatja, hogyan hozhat létre egyszerű szolgáltatást:
- A Microsoft Entra admin center használata
- Az Azure PowerShell használata
- Az Azure parancssori felület használata
- A Microsoft Graph használata, majd a Microsoft Graph Explorer használata az alkalmazás- és szolgáltatásnév-objektumok lekérdezéséhez.