Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Entra-azonosítóban két alkalmazásábrázolás van:
- Alkalmazásobjektumok – Bár vannak kivételek, az alkalmazásobjektumok egy alkalmazás definíciójának tekinthetők.
- Szolgáltatásnevek – Egy alkalmazás példányának tekinthető. A szolgáltatásnevek általában egy alkalmazásobjektumra hivatkoznak, és egy alkalmazásobjektumra több szolgáltatásnév hivatkozhat a címtárak között.
Mik azok az alkalmazásobjektumok, és honnan származnak?
Az alkalmazásobjektumokat az alkalmazásregisztrációk felületén kezelheti a Microsoft Entra felügyeleti központban. Az alkalmazásobjektumok leírják az alkalmazást a Microsoft Entra ID-nek, és az alkalmazás definíciójaként tekinthetők, így a szolgáltatás megismerheti, hogyan adjon ki jogkivonatokat az alkalmazásnak a beállításai alapján. Az alkalmazásobjektum csak a saját címtárában fog létezni, még akkor is, ha egy több-bérlős alkalmazás, amely más címtárakban lévő szolgáltatási egyedeket támogat. Az alkalmazásobjektum a következők bármelyikét tartalmazhatja (de nem kizárólagosan):
- Név, embléma és közzétevő
- Átirányítási URI-k
- Titkos kódok (az alkalmazás hitelesítéséhez használt szimmetrikus és/vagy aszimmetrikus kulcsok)
- API-függőségek (OAuth)
- Közzétett API-k/erőforrások/hatókörök (OAuth)
- Alkalmazásszerepkörök
- Egyszeri bejelentkezés (SSO) metaadatai és konfigurációja
- Felhasználó-ellátás metaadatok és konfiguráció
- Proxy metaadatai és konfigurálása
Az alkalmazásobjektumok több útvonalon is létrehozhatók, például:
- Alkalmazásregisztrációk a Microsoft Entra felügyeleti központban
- Új alkalmazás létrehozása a Visual Studióval és konfigurálása a Microsoft Entra-hitelesítés használatára
- Amikor egy rendszergazda hozzáad egy alkalmazást az alkalmazáskatalógusból (amely szintén létrehoz egy szolgáltatásnevet)
- Új alkalmazás létrehozása a Microsoft Graph API vagy a PowerShell használatával
- Különféle fejlesztői élmények, többek között az Azure-ban és az API Explorer-ben különböző fejlesztői központokban.
Mik azok a szolgáltatásnevek, és honnan származnak?
A szolgáltatási alapelvek a Microsoft Entra felügyeleti központban a nagyvállalati alkalmazások felületen kezelhetők. A szolgáltatásfőfelhasználók azok, amelyek az alkalmazások Microsoft Entra ID-hez való csatlakozását szabályozzák, és a címtárban az alkalmazás példányának tekinthetők. Egy adott alkalmazás legfeljebb egy alkalmazásobjektummal rendelkezhet (amely egy "kezdőlap" könyvtárban van regisztrálva), és egy vagy több egyszerű szolgáltatásobjektummal, amelyek az alkalmazás példányait jelölik minden olyan könyvtárban, amelyben működik.
A szolgáltatásnév a következőket tartalmazhatja:
- Hivatkozás egy alkalmazásobjektumra az alkalmazásazonosító tulajdonságon keresztül
- A helyi felhasználói és csoportalkalmazási szerepkör-hozzárendelések rekordjai
- Az alkalmazásnak adott helyi felhasználói és rendszergazdai engedélyek rekordjai
- Például: az alkalmazás engedélye egy adott felhasználó e-mailjeinek elérésére
- A helyi szabályzatok, köztük a feltételes hozzáférési szabályzatok rekordjai
- Alkalmazás másodlagos helyi beállításainak rekordjai
- Jogcím-átalakítási szabályok
- Attribútumleképezések (felhasználó ellátás)
- Címtárspecifikus alkalmazásszerepkörök (ha az alkalmazás támogatja az egyéni szerepköröket)
- Címtárspecifikus név vagy embléma
Az alkalmazásobjektumokhoz hasonlóan a szolgáltatásnevek is több útvonalon is létrehozhatók, például:
- Amikor a felhasználók a Microsoft Entra ID azonosítójával integrált külső alkalmazásba jelentkeznek be
- A bejelentkezés során a felhasználóknak engedélyt kell adniuk az alkalmazásnak, hogy hozzáférjenek a profiljukhoz és más engedélyükhöz. Az első hozzájáruló hozzájárulása egy olyan szolgáltatásfőnevet eredményez, amely az alkalmazást képviseli, és hozzá lesz adva a címtárhoz.
- Amikor a felhasználók a Microsoft online szolgáltatások használnak vagy jelentkeznek be, például Microsoft 365, Microsoft Entra ID vagy Microsoft Azure.
- Amikor először használ Microsoft-szolgáltatást, előfordulhat, hogy egy vagy több szolgáltatásnév jön létre a szolgáltatás nyújtásához használt különböző Microsoft-szolgáltatásidentitásokat képviselő címtárban. Ez a "just-in-time" ellátás bármikor megtörténhet, gyakran egy háttérfolyamat részeként. Ritkán előfordulhat, hogy a microsoftos szolgáltatásnév, amely létrejön, címtárszerepkörhöz is hozzárendelhető, például "Címtárolvasók".
- Egyes Microsoft-szolgáltatások, mint például a SharePoint Online, folyamatosan hoznak létre szolgáltatásneveket, hogy biztonságos kommunikációt tegyenek lehetővé az összetevők, köztük a munkafolyamatok között.
- Amikor egy rendszergazda hozzáad egy alkalmazást az alkalmazáskatalógusból (ez egy mögöttes alkalmazásobjektumot is létrehoz)
- A Microsoft Entra alkalmazásproxy használatához adjon hozzá egy alkalmazást.
- Egy alkalmazás csatlakoztatása SSO-hoz SAML vagy jelszó SSO használatával
- Programozott módon a Microsoft Graph API-n vagy a PowerShellen keresztül
Hogyan kapcsolódnak egymáshoz az alkalmazásobjektumok és a szolgáltatásnevek?
Egy alkalmazásnak egyetlen alkalmazásobjektuma van a kezdőkönyvtárában, amelyet egy vagy több szolgáltatásnév hivatkozik az egyes címtárakban, ahol működik (beleértve az alkalmazás kezdőkönyvtárát is).
Az előző ábrán a Microsoft két belső könyvtárat tart fenn (a bal oldalon látható), amelyeket alkalmazások közzétételére használ:
- One for Microsoft Apps (Microsoft-szolgáltatások könyvtár)
- Egy harmadik féltől származó, előre integrált alkalmazásokhoz (alkalmazásgaléria könyvtár)
A Microsoft Entra-azonosítóval integrálható alkalmazáskiadóknak/szállítóknak rendelkezniük kell közzétételi címtárral (a jobb oldalon "Egyes szoftverek szolgáltatásként (SaaS) címtárként" jelennek meg).
A saját maga által hozzáadott (a diagramban alkalmazásként (sajátként) ábrázolt alkalmazások a következők:
- Ön által fejlesztett alkalmazások (a Microsoft Entra ID-val integrálva)
- SSO-hoz csatlakoztatott alkalmazások
- A Microsoft Entra alkalmazásproxyval közzétett alkalmazások
Megjegyzések és kivételek
- Nem minden szolgáltatásnév mutat vissza egy alkalmazásobjektumra. Amikor a Microsoft Entra ID-t eredetileg létrehozták, az alkalmazásoknak nyújtott szolgáltatások korlátozottabbak voltak, és a szolgáltatásnév elegendő volt az alkalmazásidentitás létrehozásához. Az eredeti szolgáltatásnév közelebb állt a Windows Server Active Directory szolgáltatásfiókhoz. Ezért továbbra is létrehozhat szolgáltatásneveket különböző útvonalakon, például a Microsoft Graph PowerShell használatával anélkül, hogy először létrehoznál egy alkalmazásobjektumot. A Microsoft Graph API szolgáltatásnév létrehozása előtt egy alkalmazásobjektumot igényel.
- Jelenleg nem minden fent leírt információ van programozott módon közzétéve. A következők csak a felhasználói felületen érhetők el:
- Jogcím-átalakítási szabályok
- Attribútumleképezések (felhasználó ellátás)
- A szolgáltatásnévvel és az alkalmazásobjektumokkal kapcsolatos részletesebb információkért tekintse meg a Microsoft Graph API referenciadokumentációját:
Miért integrálhatók az alkalmazások a Microsoft Entra-azonosítóval?
Az alkalmazások hozzáadódnak a Microsoft Entra-azonosítóhoz egy vagy több általa nyújtott szolgáltatás használatához, beleértve a következőket:
- Alkalmazáshitelesítés és engedélyezés
- Felhasználói hitelesítés és engedélyezés
- Egyszeri bejelentkezés federációval vagy jelszóval
- Felhasználó kiépítése és szinkronizálása
- Szerepköralapú hozzáférés-vezérlés (RBAC) – A címtár használatával definiálhatja az alkalmazásszerepköröket a szerepköralapú engedélyezési ellenőrzések végrehajtásához egy alkalmazásban
- OAuth engedélyezési szolgáltatások – A Microsoft 365 és más Microsoft-alkalmazások az API-khoz/erőforrásokhoz való hozzáférés engedélyezésére használják
- Alkalmazás közzététele és proxyja – Alkalmazás közzététele magánhálózatról az internetre
- Címtárséma-bővítmény attribútumai – A szolgáltatásnév és a felhasználói objektumok sémájának kiterjesztése további adatok tárolására a Microsoft Entra-azonosítóban
Kinek van engedélye alkalmazások hozzáadására a Microsoft Entra-példányomhoz?
Alapértelmezés szerint a címtárban lévő összes felhasználónak joga van regisztrálni az általuk fejlesztett alkalmazásobjektumokat, és saját belátása szerint dönthet arról, hogy mely alkalmazásokat osztja meg vagy ad hozzáférést a szervezeti adataihoz felhasználói hozzájárulással. Ha egy személy az első felhasználó a címtárban, aki bejelentkezik egy alkalmazásba, és jóváhagyást ad, az létrehoz egy szolgáltatásnevet a bérlőjében. Ellenkező esetben a hozzájárulás megadására vonatkozó információk a meglévő szolgáltatásnéven lesznek tárolva.
A felhasználók regisztrációjának és az alkalmazásokhoz való hozzájárulásának engedélyezése kezdetben aggályosnak tűnhet, de tartsa szem előtt az alábbi indokokat:
- Az alkalmazások már évek óta használhatják a Windows Server Active Directoryt a felhasználói hitelesítéshez anélkül, hogy az alkalmazást regisztrálják vagy rögzítenék a címtárban. A szervezet mostantól jobban áttekinti, hogy pontosan hány alkalmazás használja a címtárat és milyen célra.
- Ha ezeket a feladatokat a felhasználókra delegálja, az nem teszi szükségessé a rendszergazdai alkalmazásregisztrációs és közzétételi folyamatot. A Active Directory Federation Services (ADFS) esetében valószínű volt, hogy egy rendszergazdának kellett hozzáadnia egy alkalmazást függő félként a fejlesztők nevében. A fejlesztők mostantól önkiszolgálással elérhetik a kívánt szolgáltatásokat.
- Azok a felhasználók, akik vállalati fiókjukkal jelentkeznek be az alkalmazásokba üzleti célokra, hasznosak. Ha később kilépnek a szervezetből, automatikusan elveszítik a hozzáférésüket a fiókjukhoz az általuk használt alkalmazásban.
- Az, hogy nyilvántartást vezetünk arról, mely adatokat osztották meg mely alkalmazásokkal, jó dolog. Az adatok minden eddiginél jobban szállíthatók, és hasznos, ha egyértelmű nyilvántartást készítünk arról, hogy ki milyen adatokkal osztotta meg azokat az alkalmazásokat.
- Azok az API-tulajdonosok, akik Microsoft Entra-azonosítót használnak az OAuth-hoz, pontosan eldöntik, hogy a felhasználók milyen engedélyeket adhatnak az alkalmazásoknak, és mely engedélyekhez van szükség a rendszergazdára. A nagyobb hatókörökhöz és a jelentősebb engedélyekhez csak a rendszergazdák járulhatnak hozzá, míg a felhasználói hozzájárulás a felhasználók saját adataira és képességeire terjed ki.
- Amikor egy felhasználó hozzáadja vagy engedélyezi egy alkalmazás számára az adatok elérését, az esemény naplózható, így a Microsoft Entra felügyeleti központban megtekintheti az auditjelentéseket, hogy megállapíthassa, hogyan lett hozzáadva egy alkalmazás a címtárhoz.
Ha továbbra is meg szeretné akadályozni, hogy a címtár felhasználói regisztrálják az alkalmazásokat, és rendszergazdai jóváhagyás nélkül jelentkezzenek be az alkalmazásokba, két beállítással kikapcsolhatja ezeket a képességeket:
Ha módosítani szeretné a felhasználói hozzájárulás beállításait a szervezetében, olvassa el a felhasználók alkalmazásokhoz való hozzájárulásának konfigurálását ismertető témakört.
Annak megakadályozása, hogy a felhasználók regisztrálhassák saját alkalmazásaikat:
- A Microsoft Entra Felügyeleti Központban keresse meg az Entra ID>Felhasználók>Felhasználói beállítások.
- Állítsa a Felhasználók alkalmazások regisztrálása opciót Nem-re.