Alkalmazásmodell
Az alkalmazások maguk is bejelentkezhetnek a felhasználókba, vagy delegálhatnak bejelentkezést egy identitásszolgáltatónak. Ez a cikk az alkalmazás Microsoft Identitásplatform való regisztrálásához szükséges lépéseket ismerteti.
Egy alkalmazás regisztrálása
Ahhoz, hogy egy identitásszolgáltató tudja, hogy a felhasználó hozzáfér egy adott alkalmazáshoz, mind a felhasználónak, mind az alkalmazásnak regisztrálnia kell az identitásszolgáltatónál. Amikor regisztrálja az alkalmazást a Microsoft Entra-azonosítóval, olyan identitáskonfigurációt biztosít az alkalmazáshoz, amely lehetővé teszi az alkalmazás integrálását a Microsoft Identitásplatform. Az alkalmazás regisztrálása a következőket is lehetővé teszi:
- Az alkalmazás arculatának testreszabása a bejelentkezési párbeszédpanelen. Ez a védjegyzés azért fontos, mert a bejelentkezés az első felhasználói élmény az alkalmazással.
- Döntse el, hogy csak akkor szeretné-e engedélyezni a felhasználók bejelentkezését, ha azok a szervezethez tartoznak. Ez az architektúra egybérlős alkalmazásként ismert. Vagy engedélyezheti, hogy a felhasználók bármilyen munkahelyi vagy iskolai fiókkal jelentkezzenek be, amelyet több-bérlős alkalmazásnak neveznek. Személyes Microsoft-fiókokat vagy közösségi fiókokat is engedélyezhet a LinkedInből, a Google-ból stb.
- Hatókör-engedélyek kérése. Kérheti például a "user.read" hatókört, amely engedélyt ad a bejelentkezett felhasználó profiljának olvasására.
- A webes API-hoz való hozzáférést meghatározó hatókörök definiálása. Amikor egy alkalmazás hozzá szeretne férni az API-hoz, általában engedélyeket kell kérnie a megadott hatókörökhöz.
- Adjon meg egy titkos kulcsot az alkalmazás személyazonosságát igazoló Microsoft Identitásplatform. A titkos kód használata abban az esetben fontos, ha az alkalmazás bizalmas ügyfélalkalmazás. A bizalmas ügyfélalkalmazások olyan alkalmazások, amelyek biztonságosan tárolhatják a hitelesítő adatokat, például egy webes ügyfelet. A hitelesítő adatok tárolásához megbízható háttérkiszolgálóra van szükség.
Az alkalmazás regisztrálása után egy egyedi azonosítót kap, amelyet a jogkivonatok kérésekor a Microsoft Identitásplatform oszt meg. Ha az alkalmazás bizalmas ügyfélalkalmazás, a titkos vagy a nyilvános kulcsot is megosztja attól függően, hogy a tanúsítványokat vagy titkos kulcsokat használták-e.
A Microsoft Identitásplatform az alkalmazásokat egy olyan modellel jelöli, amely két fő funkciót tölt be:
- Azonosítsa az alkalmazást az általa támogatott hitelesítési protokollok alapján.
- Adja meg a hitelesítéshez szükséges összes azonosítót, URL-címet, titkos kódot és kapcsolódó információt.
A Microsoft Identitásplatform:
- A futtatókörnyezeti hitelesítés támogatásához szükséges összes adatot tartalmazza.
- Tárolja az összes adatot annak eldöntéséhez, hogy az alkalmazásnak milyen erőforrásokhoz kell hozzáférnie, és milyen körülmények között kell teljesítenie egy adott kérést.
- Infrastruktúrát biztosít az alkalmazáskiépítés implementálásához az alkalmazásfejlesztő bérlőjén belül és bármely más Microsoft Entra-bérlő számára.
- Kezeli a felhasználói hozzájárulást a tokenkérelmek ideje alatt, és megkönnyíti az alkalmazások dinamikus kiépítését a bérlők között.
A hozzájárulás annak az erőforrás-tulajdonosnak a folyamata, amely engedélyt ad egy ügyfélalkalmazásnak a védett erőforrások hozzáférésére adott engedélyekkel az erőforrás tulajdonosának nevében. A Microsoft Identitásplatform a következőket teszi lehetővé:
- A felhasználók és a rendszergazdák dinamikusan adhatnak vagy tagadhatnak meg hozzájárulást ahhoz, hogy az alkalmazás hozzáférjen az erőforrásokhoz a nevükben.
- Rendszergazda felhasználók végső soron eldönthetik, hogy mely alkalmazások engedélyezettek, és mely felhasználók használhatnak adott alkalmazásokat, és hogyan férnek hozzá a címtárerőforrásokhoz.
Több-bérlős alkalmazások
Az Microsoft Identitásplatform egy alkalmazásobjektum egy alkalmazást ír le. Az üzembe helyezéskor a Microsoft Identitásplatform az alkalmazásobjektumot tervként használja egy szolgáltatásnév létrehozásához, amely egy alkalmazás konkrét példányát jelöli egy címtáron vagy bérlőn belül. A szolgáltatásnév határozza meg, hogy az alkalmazás valójában mit tehet egy adott célkönyvtárban, ki használhatja, milyen erőforrásokhoz fér hozzá, és így tovább. A Microsoft Identitásplatform hozzájáruláson keresztül létrehoz egy szolgáltatásnevet egy alkalmazásobjektumból.
Az alábbi ábra egy egyszerűsített Microsoft Identitásplatform hozzájáruláson alapuló kiépítési folyamatot mutat be. Két bérlőt jelenít meg: A és B.
- Az A bérlő az alkalmazás tulajdonosa.
- A B bérlő egy szolgáltatásnéven keresztül hozza létre az alkalmazást.
A kiépítési folyamat:
- A B bérlő egyik felhasználója megpróbál bejelentkezni az alkalmazással. Az engedélyezési végpont jogkivonatot kér az alkalmazáshoz.
- A rendszer a felhasználói hitelesítő adatokat a hitelesítéshez szerzi be és ellenőrzi.
- A rendszer arra kéri a felhasználót, hogy adjon hozzájárulást ahhoz, hogy az alkalmazás hozzáférjen a B bérlőhöz.
- A Microsoft Identitásplatform az A bérlőben lévő alkalmazásobjektumot használja tervként egy szolgáltatásnév létrehozásához a B bérlőben.
- A felhasználó megkapja a kért jogkivonatot.
Ezt a folyamatot több bérlő esetén is megismételheti. Az A bérlő megőrzi az alkalmazás (alkalmazásobjektum) tervét. Az összes többi olyan bérlő felhasználói és rendszergazdái, ahol az alkalmazás hozzájárulást kap, folyamatosan szabályozhatják, hogy az alkalmazás mit tehet az egyes bérlők megfelelő szolgáltatásnév-objektumán keresztül. További információ: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Identitásplatform.
Következő lépések
A hitelesítésről és az engedélyezésről a Microsoft Identitásplatform a következő cikkekben talál további információt:
- A hitelesítés és az engedélyezés alapfogalmaival kapcsolatban lásd : Hitelesítés és engedélyezés.
- A hozzáférési jogkivonatok, a frissítési jogkivonatok és az azonosító jogkivonatok hitelesítésben és engedélyezésben való használatáról a Biztonsági jogkivonatok című témakörben olvashat.
- A webes, asztali és mobilalkalmazások bejelentkezési folyamatával kapcsolatos további információkért tekintse meg az alkalmazás bejelentkezési folyamatát.
- A jogkivonat-jogcímek használatával történő megfelelő engedélyezésről további információt a jogcímek érvényesítésével kapcsolatos biztonságos alkalmazások és API-k című témakörben talál .
Az alkalmazásmodellről az alábbi cikkekben talál további információt:
- Az Microsoft Identitásplatform alkalmazásobjektumokról és szolgáltatásnevekről további információt a Microsoft Entra-azonosítóhoz adott alkalmazások hogyan és miért tartalmaznak.
- Az egybérlős alkalmazásokról és a több-bérlős alkalmazásokról további információt a Microsoft Entra ID bérlői szolgáltatásában talál.
- Ha többet szeretne megtudni arról, hogy a Microsoft Entra ID hogyan biztosítja az Azure Active Directory B2C-t is, hogy a szervezetek bejelentkezhessenek a felhasználókba, általában az ügyfelekbe, közösségi identitások, például Google-fiók használatával, tekintse meg az Azure Active Directory B2C dokumentációját.