Alkalmazások hozzáadása a Microsoft Entra-azonosítóhoz

  • Cikk

A Microsoft Entra-azonosítóban két alkalmazás van:

  • Alkalmazásobjektumok – Bár vannak kivételek, az alkalmazásobjektumok egy alkalmazás definíciójának tekinthetők.
  • Szolgáltatásnevek – Egy alkalmazás példányának tekinthető. A szolgáltatásnevek általában egy alkalmazásobjektumra hivatkoznak, és egy alkalmazásobjektumra több szolgáltatásnév hivatkozhat a címtárak között.

Mik azok az alkalmazásobjektumok, és honnan származnak?

A Microsoft Entra Felügyeleti központban az alkalmazásobjektumokat a Alkalmazásregisztrációk felületen kezelheti. Az alkalmazásobjektumok leírják az alkalmazást a Microsoft Entra-azonosítóra, és az alkalmazás definíciójának tekinthetők, így a szolgáltatás megismerheti, hogyan adhat ki jogkivonatokat az alkalmazásnak a beállításai alapján. Az alkalmazásobjektum csak a saját címtárában fog létezni, még akkor is, ha egy több-bérlős alkalmazás, amely más könyvtárak szolgáltatásneveit támogatja. Az alkalmazásobjektum a következők bármelyikét tartalmazhatja (de nem kizárólagosan):

  • Név, embléma és közzétevő
  • Átirányítási URI azonosítók
  • Titkos kódok (az alkalmazás hitelesítéséhez használt szimmetrikus és/vagy aszimmetrikus kulcsok)
  • API-függőségek (OAuth)
  • Közzétett API-k/erőforrások/hatókörök (OAuth)
  • Alkalmazásszerepkörök
  • Egyszeri bejelentkezés (SSO) metaadatai és konfigurációja
  • Metaadatok és konfiguráció felhasználókiépítése
  • Proxy metaadatai és konfigurálása

Az alkalmazásobjektumok több útvonalon is létrehozhatók, például:

  • Alkalmazásregisztrációk a Microsoft Entra felügyeleti központban
  • Új alkalmazás létrehozása a Visual Studióval és konfigurálása a Microsoft Entra-hitelesítés használatára
  • Amikor egy rendszergazda hozzáad egy alkalmazást az alkalmazáskatalógusból (amely szintén létrehoz egy szolgáltatásnevet)
  • Új alkalmazás létrehozása a Microsoft Graph API vagy a PowerShell használatával
  • Sok más, többek között az Azure-ban és az API Explorer különböző fejlesztői központokban használható felhasználói felületei

Mik azok a szolgáltatásnevek, és honnan származnak?

A Szolgáltatásnevek a Microsoft Entra Felügyeleti központban a Nagyvállalati alkalmazások felületen kezelhetők. A szolgáltatásnevek a Microsoft Entra-azonosítóhoz csatlakozó alkalmazásokat szabályozzák, és az alkalmazás példányának tekinthetők a címtárban. Egy adott alkalmazás legfeljebb egy alkalmazásobjektummal rendelkezhet (amely egy "kezdőlap" könyvtárban van regisztrálva), és egy vagy több egyszerű szolgáltatásobjektummal, amelyek az alkalmazás példányait jelölik minden olyan könyvtárban, amelyben működik.

A szolgáltatásnév a következőket tartalmazhatja:

  • Hivatkozás egy alkalmazásobjektumra az alkalmazásazonosító tulajdonságon keresztül
  • A helyi felhasználói és csoportalkalmazási szerepkör-hozzárendelések rekordjai
  • Az alkalmazásnak adott helyi felhasználói és rendszergazdai engedélyek rekordjai
    • Például: az alkalmazás engedélye egy adott felhasználó e-mailjeinek elérésére
  • A helyi szabályzatok, köztük a feltételes hozzáférési szabályzatok rekordjai
  • Alkalmazás másodlagos helyi beállításainak rekordjai
    • Jogcím-átalakítási szabályok
    • Attribútumleképezések (felhasználói kiépítés)
    • Címtárspecifikus alkalmazásszerepkörök (ha az alkalmazás támogatja az egyéni szerepköröket)
    • Címtárspecifikus név vagy embléma

Az alkalmazásobjektumokhoz hasonlóan a szolgáltatásnevek is több útvonalon is létrehozhatók, például:

  • Amikor a felhasználók a Microsoft Entra ID azonosítójával integrált külső alkalmazásba jelentkeznek be
    • A bejelentkezés során a felhasználóknak engedélyt kell adniuk az alkalmazásnak, hogy hozzáférjenek a profiljukhoz és más engedélyükhöz. A hozzájárulás első személye egy olyan szolgáltatásnevet eredményez, amely az alkalmazást jelöli, és hozzá lesz adva a címtárhoz.
  • Amikor a felhasználók bejelentkeznek a Microsoft online szolgáltatások, például a Microsoft 365-be.
    • Amikor előfizet a Microsoft 365-re, vagy próbaidőszakot kezd, egy vagy több szolgáltatásnév jön létre a címtárban, amely a Microsoft 365-höz társított összes funkció biztosításához használt különböző szolgáltatásokat képviseli.
    • Egyes Microsoft 365-szolgáltatások, például a SharePoint folyamatosan létrehoznak szolgáltatásneveket, hogy biztonságos kommunikációt tegyenek lehetővé az összetevők, köztük a munkafolyamatok között.
  • Amikor egy rendszergazda hozzáad egy alkalmazást az alkalmazáskatalógusból (ez egy mögöttes alkalmazásobjektumot is létrehoz)
  • Alkalmazás hozzáadása a Microsoft Entra alkalmazásproxy használatához
  • SSO-alkalmazás Csatlakozás SAML vagy jelszó SSO használatával
  • Programozott módon a Microsoft Graph API-n vagy a PowerShellen keresztül

Egy alkalmazásnak egyetlen alkalmazásobjektuma van a kezdőkönyvtárában, amelyet egy vagy több szolgáltatásnév hivatkozik az egyes címtárakban, ahol működik (beleértve az alkalmazás kezdőkönyvtárát is).

Az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolatot jeleníti meg

Az előző ábrán a Microsoft két belső könyvtárat tart fenn (a bal oldalon látható), amelyeket alkalmazások közzétételére használ:

  • One for Microsoft Apps (Microsoft-szolgáltatások könyvtár)
  • Egy előre integrált külső alkalmazásokhoz (alkalmazáskatalógus könyvtára)

A Microsoft Entra-azonosítóval integrálható alkalmazáskiadóknak/szállítóknak rendelkezniük kell közzétételi címtárral (a jobb oldalon "Egyes szoftverek szolgáltatásként (SaaS) címtárként" jelennek meg).

A saját maga által hozzáadott (a diagramban alkalmazásként (sajátként) ábrázolt alkalmazások a következők:

  • Ön által fejlesztett alkalmazások (a Microsoft Entra ID-val integrálva)
  • SSO-hoz csatlakoztatott alkalmazások
  • A Microsoft Entra alkalmazásproxyval közzétett alkalmazások

Megjegyzések és kivételek

  • Nem minden szolgáltatásnév mutat vissza egy alkalmazásobjektumra. Amikor a Microsoft Entra ID-t eredetileg létrehozták, az alkalmazásoknak nyújtott szolgáltatások korlátozottabbak voltak, és a szolgáltatásnév elegendő volt az alkalmazásidentitás létrehozásához. Az eredeti szolgáltatásnév közelebb állt a Windows Server Active Directory szolgáltatásfiókhoz. Ezért továbbra is létrehozhat szolgáltatásneveket különböző útvonalakon, például a Microsoft Graph PowerShell használatával anélkül, hogy először létrehoznál egy alkalmazásobjektumot. A Microsoft Graph API szolgáltatásnév létrehozása előtt egy alkalmazásobjektumot igényel.
  • Jelenleg nem minden fent leírt információ van programozott módon közzétéve. A következők csak a felhasználói felületen érhetők el:
    • Jogcím-átalakítási szabályok
    • Attribútumleképezések (felhasználói kiépítés)
  • A szolgáltatásnévvel és az alkalmazásobjektumokkal kapcsolatos részletesebb információkért tekintse meg a Microsoft Graph API referenciadokumentációját:

Miért integrálhatók az alkalmazások a Microsoft Entra-azonosítóval?

Az alkalmazások hozzáadódnak a Microsoft Entra-azonosítóhoz egy vagy több általa nyújtott szolgáltatás használatához, beleértve a következőket:

  • Alkalmazáshitelesítés és engedélyezés
  • Felhasználói hitelesítés és engedélyezés
  • Egyszeri bejelentkezés összevonással vagy jelszóval
  • Felhasználó kiépítése és szinkronizálása
  • Szerepköralapú hozzáférés-vezérlés (RBAC) – A címtár használatával definiálhatja az alkalmazásszerepköröket a szerepköralapú engedélyezési ellenőrzések végrehajtásához egy alkalmazásban
  • OAuth engedélyezési szolgáltatások – A Microsoft 365 és más Microsoft-alkalmazások az API-khoz/erőforrásokhoz való hozzáférés engedélyezésére használják
  • Alkalmazás közzététele és proxyja – Alkalmazás közzététele magánhálózatról az internetre
  • Címtárséma-bővítmény attribútumai – A szolgáltatásnév és a felhasználói objektumok sémájának kiterjesztése további adatok tárolására a Microsoft Entra-azonosítóban

Kinek van engedélye alkalmazások hozzáadására a Microsoft Entra-példányomhoz?

Bár vannak olyan feladatok, amelyeket csak a globális Rendszergazda istratorok végezhetnek el (például alkalmazásokat adhat hozzá az alkalmazásgyűjteményből, és konfigurálhat egy alkalmazást a alkalmazásproxy használatára), alapértelmezés szerint a címtárban lévő összes felhasználónak joga van regisztrálni az általuk fejlesztett alkalmazásobjektumokat, és belátása szerint, hogy mely alkalmazásokat osztják meg/férhetnek hozzá a szervezeti adataikhoz hozzájárulással. Ha egy személy az első felhasználó a címtárban, aki bejelentkezik egy alkalmazásba, és jóváhagyást ad, az létrehoz egy szolgáltatásnevet a bérlőjében. Ellenkező esetben a hozzájárulás megadására vonatkozó információk a meglévő szolgáltatásnéven lesznek tárolva.

A felhasználók regisztrációjának és az alkalmazásokhoz való hozzájárulásának engedélyezése kezdetben aggályosnak tűnhet, de tartsa szem előtt az alábbi indokokat:

  • Az alkalmazások már évek óta használhatják a Windows Server Active Directoryt a felhasználói hitelesítéshez anélkül, hogy az alkalmazást regisztrálják vagy rögzítenék a címtárban. A szervezet mostantól jobban áttekinti, hogy pontosan hány alkalmazás használja a címtárat és milyen célra.
  • Ha ezeket a feladatokat a felhasználókra delegálja, az nem teszi szükségessé a rendszergazdai alkalmazásregisztrációs és közzétételi folyamatot. A Active Directory összevonási szolgáltatások (AD FS) (ADFS) esetében valószínű volt, hogy egy rendszergazdának függő entitásként kellett hozzáadnia egy alkalmazást a fejlesztők nevében. A fejlesztők mostantól önkiszolgálóak.
  • Azok a felhasználók, amelyek vállalati fiókjukkal jelentkeznek be az alkalmazásokba, jó dolog. Ha később kilépnek a szervezetből, automatikusan elveszítik a hozzáférésüket a fiókjukhoz az általuk használt alkalmazásban.
  • Jó dolog, ha rögzíti, hogy mely adatokkal osztották meg azokat az alkalmazásokat. Az adatok minden eddiginél jobban szállíthatók, és hasznos, ha egyértelmű nyilvántartást készítünk arról, hogy ki milyen adatokkal osztotta meg azokat az alkalmazásokat.
  • Azok az API-tulajdonosok, akik Microsoft Entra-azonosítót használnak az OAuth-hoz, pontosan eldöntik, hogy a felhasználók milyen engedélyeket adhatnak az alkalmazásoknak, és mely engedélyekhez van szükség a rendszergazdára. A nagyobb hatókörökhöz és a jelentősebb engedélyekhez csak a rendszergazdák járulhatnak hozzá, míg a felhasználói hozzájárulás a felhasználók saját adataira és képességeire terjed ki.
  • Amikor egy felhasználó hozzáadja vagy engedélyezi egy alkalmazás számára az adatok elérését, az esemény naplózható, így a Microsoft Entra felügyeleti központban megtekintheti az auditjelentéseket, hogy megállapíthassa, hogyan lett hozzáadva egy alkalmazás a címtárhoz.

Ha továbbra is meg szeretné akadályozni, hogy a címtár felhasználói regisztrálják az alkalmazásokat, és rendszergazdai jóváhagyás nélkül jelentkezzenek be az alkalmazásokba, két beállítással kikapcsolhatja ezeket a képességeket:

  • Ha módosítani szeretné a felhasználói hozzájárulás beállításait a szervezetében, olvassa el a felhasználók alkalmazásokhoz való hozzájárulásának konfigurálását ismertető témakört.

  • Annak megakadályozása, hogy a felhasználók regisztrálhassák saját alkalmazásaikat:

    1. A Microsoft Entra Felügyeleti központban keresse meg az Identitásfelhasználók>>felhasználói beállításokat.
    2. A Felhasználók módosítása alkalmazásokat a Nem gombra regisztrálhat.