Megosztás a következőn keresztül:


Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban

Ez a cikk a Microsoft Entra ID alkalmazásregisztrációját, alkalmazásobjektumait és szolgáltatásneveit, azok használatát és egymáshoz való kapcsolódását ismerteti. Egy több-bérlős példaforgatókönyvet is bemutatunk, amely bemutatja az alkalmazás objektuma és a kapcsolódó szolgáltatásnév-objektumok közötti kapcsolatot.

Alkalmazásregisztráció

Ahhoz, hogy identitás- és hozzáférés-kezelési függvényeket delegáljon a Microsoft Entra-azonosítóba, egy alkalmazást regisztrálni kell egy Microsoft Entra-bérlőnél. Amikor regisztrálja az alkalmazást a Microsoft Entra-azonosítóval, létrehoz egy identitáskonfigurációt az alkalmazáshoz, amely lehetővé teszi, hogy integrálható legyen a Microsoft Entra-azonosítóval. Amikor regisztrál egy alkalmazást, kiválaszthatja, hogy egyetlen bérlőről vagy több-bérlőről van-e szó, és igény szerint beállíthat átirányítási URI-t. Az alkalmazások regisztrálásával kapcsolatos részletes útmutatásért tekintse meg az alkalmazásregisztráció rövid útmutatóját.

Amikor befejezte az alkalmazásregisztrációt, az alkalmazásnak (az alkalmazásobjektumnak) egy globálisan egyedi példánya van, amely az otthoni bérlőn vagy könyvtáron belül található. Emellett globálisan egyedi azonosítóval is rendelkezik az alkalmazáshoz (az alkalmazás/ügyfél azonosítója). Titkos kulcsokat, tanúsítványokat és hatóköröket adhat hozzá az alkalmazás működéséhez, testre szabhatja az alkalmazás arculatát a bejelentkezési párbeszédpanelen, és így tovább.

Ha regisztrál egy alkalmazást, a rendszer automatikusan létrehoz egy alkalmazásobjektumot és egy szolgáltatásnév-objektumot az otthoni bérlőben. Ha a Microsoft Graph API-kkal regisztrál/hoz létre egy alkalmazást, a szolgáltatásnév-objektum létrehozása külön lépés.

Alkalmazásobjektum

A Microsoft Entra-alkalmazásokat egyetlen alkalmazásobjektum határozza meg, amely abban a Microsoft Entra-bérlőben található, ahol az alkalmazást regisztrálták (az alkalmazás "otthoni" bérlője). Az alkalmazásobjektumok sablonként vagy tervként szolgálnak egy vagy több egyszerű szolgáltatásobjektum létrehozásához. A rendszer minden olyan bérlőben létrehoz egy szolgáltatásnevet, amelyben az alkalmazást használják. Az objektumorientált programozás egyik osztályához hasonlóan az alkalmazásobjektum néhány statikus tulajdonsággal rendelkezik, amelyek az összes létrehozott szolgáltatásnévre (vagy alkalmazáspéldányra) vonatkoznak.

Az alkalmazásobjektum az alkalmazás három aspektusát írja le:

  • Hogyan adhat ki jogkivonatokat a szolgáltatás az alkalmazás eléréséhez?
  • Azokat az erőforrásokat, amelyekhez az alkalmazásnak szüksége lehet
  • Az alkalmazás által végrehajtható műveletek

A Microsoft Entra Felügyeleti központ Alkalmazásregisztrációk lapján listázhatja és kezelheti az otthoni bérlő alkalmazásobjektumait.

Alkalmazásregisztrációk panel

A Microsoft Graph-alkalmazás entitás határozza meg az alkalmazásobjektum tulajdonságainak sémáját.

Egyszerű szolgáltatásobjektum

A Microsoft Entra-bérlő által védett erőforrások eléréséhez a hozzáférést igénylő entitást egy biztonsági tagnak kell képviselnie. Ez a követelmény a felhasználók (felhasználónév) és az alkalmazások (szolgáltatásnév) esetében is érvényes. A biztonsági tag határozza meg a Microsoft Entra-bérlőben lévő felhasználó/alkalmazás hozzáférési szabályzatát és engedélyeit. Ez olyan alapvető funkciókat tesz lehetővé, mint a felhasználó/alkalmazás hitelesítése a bejelentkezés során, valamint az engedélyezés az erőforrás-hozzáférés során.

A szolgáltatásnévnek három típusa van:

  • Alkalmazás – Ez a szolgáltatásnév egy globális alkalmazásobjektum helyi reprezentációja vagy alkalmazáspéldánya egyetlen bérlőben vagy könyvtárban. Ebben az esetben a szolgáltatásnév az alkalmazásobjektumból létrehozott konkrét példány, amely az adott alkalmazásobjektum bizonyos tulajdonságait örökli. Minden olyan bérlőben létrejön egy szolgáltatásnév, amelyben az alkalmazást használják, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A szolgáltatásnév objektum határozza meg, hogy az alkalmazás valójában mit tehet az adott bérlőben, ki férhet hozzá az alkalmazáshoz, és milyen erőforrásokhoz férhet hozzá az alkalmazás.

    Ha egy alkalmazás engedélyt kap egy bérlő erőforrásainak elérésére (regisztráció vagy hozzájárulás esetén), létrejön egy egyszerű szolgáltatásobjektum. Amikor regisztrál egy alkalmazást, a rendszer automatikusan létrehozza a szolgáltatásnevet. Szolgáltatásnév-objektumokat is létrehozhat a bérlőkben az Azure PowerShell, az Azure CLI, a Microsoft Graph és más eszközök használatával.

  • Felügyelt identitás – Ez a szolgáltatásnévtípus egy felügyelt identitás ábrázolására szolgál. A felügyelt identitások nem igénylik a fejlesztők számára a hitelesítő adatok kezelését. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Ha egy felügyelt identitás engedélyezve van, a rendszer létrehoz egy, a felügyelt identitást képviselő szolgáltatásnevet a bérlőben. A felügyelt identitásokat képviselő szolgáltatásnevek hozzáférést és engedélyeket kaphatnak, de közvetlenül nem frissíthetők vagy módosíthatók.

  • Örökölt – Ez a szolgáltatásnév-típus egy örökölt alkalmazást jelöl, amely az alkalmazásregisztrációk bevezetése előtt létrehozott alkalmazás, vagy az örökölt szolgáltatásokon keresztül létrehozott alkalmazás. Az örökölt szolgáltatásnév rendelkezhet hitelesítő adatokkal, szolgáltatásnévnevekkel, válasz URL-címekkel és más olyan tulajdonságokkal, amelyeket egy jogosult felhasználó szerkeszthet, de nem rendelkezik társított alkalmazásregisztrációval. A szolgáltatásnév csak abban a bérlőben használható, ahol létrejött.

A Microsoft Graph ServicePrincipal entitás egy szolgáltatásnév-objektum tulajdonságainak sémáját határozza meg.

A Microsoft Entra Felügyeleti központban a Nagyvállalati alkalmazások lap használatával listázhatja és kezelheti a bérlő szolgáltatásneveit. Megtekintheti a szolgáltatásnév engedélyeit, a felhasználó által hozzájárulást kapó engedélyeket, amelyekhez a felhasználók hozzájárultak, bejelentkezési adatokat és egyebeket.

Vállalati alkalmazások panel

Az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolat

Az alkalmazásobjektum az alkalmazás globális reprezentációja, amely az összes bérlőben használható, a szolgáltatásnév pedig egy adott bérlőben való használat helyi reprezentációja. Az alkalmazásobjektum az a sablon, amelyből a rendszer általános és alapértelmezett tulajdonságokat hoz létre a megfelelő szolgáltatásnév-objektumok létrehozásához.

Egy alkalmazásobjektum a következő:

  • Egy-az-egyhez kapcsolat a szoftveralkalmazással, és
  • Egy-a-többhöz kapcsolat a megfelelő szolgáltatásnév-objektumokkal

Minden olyan bérlőben létre kell hozni egy szolgáltatásnevet, amelyben az alkalmazást használják, így identitást hozhat létre a bejelentkezéshez és/vagy a bérlő által biztosított erőforrásokhoz való hozzáféréshez. Egy egybérlős alkalmazás csak egy szolgáltatásnévvel rendelkezik (az otthoni bérlőjében), amelyet az alkalmazásregisztráció során hoztak létre és engedélyeztek a használathoz. A több-bérlős alkalmazásokban minden bérlőben létrejön egy szolgáltatásnév, ahol az adott bérlő egy felhasználója hozzájárult a használathoz.

Alkalmazáshoz társított szolgáltatásnevek listázása

Az alkalmazásobjektumhoz társított szolgáltatásnevek megtalálhatók.

A Microsoft Entra Felügyeleti központban keresse meg az alkalmazásregisztráció áttekintését. Válassza a Felügyelt alkalmazás lehetőséget a helyi címtárban.

Képernyőkép a felügyelt alkalmazás helyi könyvtárban lehetőségéről az áttekintésben.

Alkalmazások módosításának és törlésének következményei

Az alkalmazásobjektumon végzett módosítások a szolgáltatásnév objektumában is megjelennek csak az alkalmazás otthoni bérlőjében (abban a bérlőben, ahol regisztrálták). Ez azt jelenti, hogy egy alkalmazásobjektum törlése az otthoni bérlői szolgáltatásnév objektumát is törli. Az alkalmazásobjektum alkalmazásregisztrációkon keresztüli visszaállítása azonban nem fogja visszaállítani a megfelelő szolgáltatásnevet. Az alkalmazások és a szolgáltatásnév-objektumok törléséről és helyreállításáról további információt az alkalmazások és szolgáltatásnév-objektumok törléséről és helyreállításáról talál.

Példa

Az alábbi ábra az alkalmazás alkalmazásobjektuma és a kapcsolódó szolgáltatásnév-objektumok közötti kapcsolatot mutatja be egy HR-alkalmazásnak nevezett több-bérlős mintaalkalmazás kontextusában. Ebben a példában három Microsoft Entra-bérlő található:

  • Adatum – A HR-alkalmazást fejlesztő vállalat által használt bérlő
  • Contoso – A Contoso szervezet által használt bérlő, amely a HR-alkalmazás felhasználója
  • Fabrikam – A Fabrikam szervezet által használt bérlő, amely a HR-alkalmazást is használja

Kapcsolat az alkalmazásobjektum és a szolgáltatásnév objektuma között

Ebben a példaforgatókönyvben:

Lépés Leírás
1 Az alkalmazás- és szolgáltatásnév-objektumok létrehozásának folyamata az alkalmazás otthoni bérlőjében.
2 Amikor a Contoso és a Fabrikam rendszergazdái befejezik a hozzájárulást, létrejön egy szolgáltatásnév-objektum a vállalat Microsoft Entra-bérlőjében, és hozzárendelik a rendszergazda által megadott engedélyeket. Azt is vegye figyelembe, hogy a HR-alkalmazás konfigurálható/tervezhető úgy, hogy lehetővé tegye a felhasználók számára az egyéni használatra vonatkozó hozzájárulást.
3 A HR-alkalmazás fogyasztói bérlői (Contoso és Fabrikam) mindegyike saját szolgáltatásnév-objektummal rendelkezik. Mindegyik az alkalmazás egy-egy példányának futásidőben történő használatát jelöli, az adott rendszergazda által hozzájárulást kapó engedélyek alapján.

Következő lépések

Megtudhatja, hogyan hozhat létre egyszerű szolgáltatást: