Alkalmazások regisztrálása
Az Microsoft Identitásplatform appregisztrációs portál az elsődleges belépési pont azoknak az alkalmazásoknak, amelyek a platformot használják a hitelesítéshez és a kapcsolódó igényekhez. Fejlesztőként az alkalmazások regisztrálása és konfigurálása során az ön által választott lehetőségek befolyásolják, hogy az alkalmazás mennyire felel meg Teljes felügyelet alapelveknek. A hatékony alkalmazásregisztráció különösen figyelembe veszi a legkevésbé kiemelt hozzáférés használatának alapelveit, és feltételezi a jogsértést. Ez a cikk segít megismerni az alkalmazásregisztrációs folyamatot és annak követelményeit, hogy az alkalmazások Teljes felügyelet biztonsági megközelítést kövessenek.
A Microsoft Entra ID (Microsoft Entra ID) alkalmazásfelügyelete a felhőbeli alkalmazások biztonságos létrehozásának, konfigurálásának, kezelésének és monitorozásának folyamata. Amikor regisztrálja az alkalmazást egy Microsoft Entra-bérlőben, konfigurálja a biztonságos felhasználói hozzáférést.
A Microsoft Entra ID alkalmazásobjektumok és szolgáltatásnevek szerint jelöli az alkalmazásokat. Néhány kivételtől eltekintve az alkalmazások alkalmazásobjektumok. A szolgáltatásnév egy alkalmazás egy olyan példánya, amely egy alkalmazásobjektumra hivatkozik. A címtárakban több szolgáltatásnév hivatkozhat egyetlen alkalmazásobjektumra.
Az alkalmazást három módszerrel konfigurálhatja a Microsoft Entra ID használatára: a Visual Studióban, a Microsoft Graph API használatával vagy a PowerShell használatával. Az Azure-ban és az API Explorerben fejlesztői szolgáltatások érhetők el a fejlesztői központokban. Tekintse át a fejlesztői és informatikai pro szerepkörökhöz szükséges döntéseket és feladatokat a biztonságos alkalmazások Microsoft Identitásplatform való létrehozásához és üzembe helyezéséhez.
Ki vehet fel és regisztrálhat alkalmazásokat?
Rendszergazda, és ha a bérlő engedélyezi, a felhasználók és a fejlesztők alkalmazásobjektumokat hozhatnak létre az alkalmazások Azure Portalon való regisztrálásával. Alapértelmezés szerint a címtár összes felhasználója regisztrálhatja az általuk fejlesztett alkalmazásobjektumokat . Az alkalmazásobjektum-fejlesztők eldöntik, hogy mely alkalmazások osztják meg, és hozzájárulásukkal hozzáférést biztosítanak a szervezeti adatokhoz.
Amikor a címtár első felhasználója bejelentkezik egy alkalmazásba, és jóváhagyást ad, a rendszer létrehoz egy szolgáltatásnevet a bérlőben, amely minden felhasználói hozzájárulási információt tárol. A Microsoft Entra ID automatikusan létrehoz egy szolgáltatásnevet egy újonnan regisztrált alkalmazáshoz a bérlőben, mielőtt egy felhasználó hitelesítené magát.
Csak a Microsoft Entra globális rendszergazdái végezhetnek el bizonyos alkalmazásfeladatokat (például alkalmazásokat adhat hozzá az alkalmazáskatalógusból, és alkalmazásproxy használatára konfigurálhatja az alkalmazásokat).
Alkalmazásobjektumok regisztrálása
Fejlesztőként regisztrálja a Microsoft Identitásplatform használó alkalmazásokat. Regisztrálja alkalmazásait az Azure Portalon vagy a Microsoft Graph alkalmazás API-k meghívásával. Az alkalmazás regisztrálása után a végpontra küldött kérésekkel kommunikál a Microsoft Identitásplatform.
Előfordulhat, hogy nincs engedélye alkalmazásregisztráció létrehozására vagy módosítására. Ha a rendszergazdák nem adnak engedélyt az alkalmazások regisztrálására, kérdezze meg őket, hogyan továbbíthatja számukra a szükséges alkalmazásregisztrációs adatokat.
Az alkalmazásregisztrációs tulajdonságok a következő összetevőket tartalmazhatják.
- Név, embléma és közzétevő
- Átirányítási URI azonosítók
- Titkos kódok (az alkalmazás hitelesítéséhez használt szimmetrikus és/vagy aszimmetrikus kulcsok)
- API-függőségek (OAuth)
- Közzétett API-k/erőforrások/hatókörök (OAuth)
- Alkalmazásszerepkörök szerepköralapú hozzáférés-vezérléshez
- Metaadatok és konfiguráció egyszeri bejelentkezéshez (SSO), felhasználókiépítéshez és proxyhoz
Az alkalmazásregisztráció kötelező része a támogatott fióktípusok kiválasztása annak meghatározásához, hogy ki használhatja az alkalmazást a felhasználó fióktípusa alapján. A Microsoft Entra rendszergazdái az alkalmazásmodellt követve kezelhetik az alkalmazásobjektumokat az Azure Portalon az Alkalmazásregisztrációk felületen, és meghatároznak olyan alkalmazásbeállításokat, amelyek tájékoztatják a szolgáltatást arról, hogyan adhat ki jogkivonatokat az alkalmazásnak.
A regisztráció során megkapja az alkalmazás identitását: az alkalmazás (ügyfél) azonosítóját. Az alkalmazás az ügyfélazonosítóját használja minden alkalommal, amikor tranzakciót hajt végre a Microsoft Identitásplatform keresztül.
Ajánlott alkalmazásregisztrációs eljárások
Kövesse az alkalmazástulajdonságokkal kapcsolatos ajánlott biztonsági eljárásokat, amikor az alkalmazást a Microsoft Entra ID-ban regisztrálja az üzleti használat kritikus részeként. Célja, hogy megakadályozza az állásidőt vagy a biztonsági rést, amely a teljes szervezetet érintheti. Az alábbi javaslatok segítenek a biztonságos alkalmazás fejlesztésében Teljes felügyelet alapelvek köré.
- A Microsoft Identitásplatform integrációs ellenőrzőlistával biztosíthatja a magas színvonalú és biztonságos integrációt. Az alkalmazás minőségének és biztonságának fenntartása.
- Megfelelően definiálja az átirányítási URL-címeket. A kompatibilitási és biztonsági problémák elkerülése érdekében hivatkozzon az átirányítási URI (válasz URL-cím) korlátozásaira és korlátozásaira .
- A tartományátvétel elkerülése érdekében ellenőrizze az átirányítási URI-kat az alkalmazásregisztrációban. Az átirányítási URL-címeknek olyan tartományokon kell lenniük, amelyeket ismer és birtokol. Rendszeresen tekintse át és távolítsa el a szükségtelen és a nem használt URI-kat. Éles alkalmazásokban ne használjon nem https URI-kat.
- Mindig definiáljon és tartson fenn alkalmazás- és szolgáltatásnév-tulajdonosokat a bérlő regisztrált alkalmazásaihoz. Kerülje az árva alkalmazásokat (azokat az alkalmazásokat és szolgáltatásneveket , amelyekhez nincs hozzárendelt tulajdonos). Győződjön meg arról, hogy az informatikai rendszergazdák vészhelyzet esetén könnyen és gyorsan azonosíthatják az alkalmazástulajdonosokat. Tartsa alacsonyan az alkalmazástulajdonosok számát. Megnehezítheti, hogy egy feltört felhasználói fiók több alkalmazást is érintsen.
- Ne használja ugyanazt az alkalmazásregisztrációttöbb alkalmazáshoz. Az alkalmazásregisztrációk elkülönítésével lehetővé teheti a legkevésbé kiemelt hozzáférést, és csökkentheti a biztonsági incidensek hatását.
- Használjon külön alkalmazásregisztrációkat az olyan alkalmazásokhoz, amelyek api-n keresztül teszik elérhetővé az adatokat és műveleteket (kivéve, ha szorosan össze vannak állítva). Ez a megközelítés lehetővé teszi a magasabb szintű jogosultságú API-k, például a Microsoft Graph és a hitelesítő adatok (például titkos kódok és tanúsítványok) engedélyeit, távol azoktól az alkalmazásoktól, amelyek bejelentkeznek és interakcióba lépnek a felhasználókkal.
- Használjon külön alkalmazásregisztrációkat webalkalmazásokhoz és API-khoz. Ez a módszer segít biztosítani, hogy ha a webes API nagyobb engedélykészlettel rendelkezik, akkor az ügyfélalkalmazás ne örökölje őket.
- Az alkalmazást csak akkor definiálja több-bérlős alkalmazásként, ha szükséges. A több-bérlős alkalmazások lehetővé teszik a kiépítést a sajáttól eltérő bérlőkben. A nem kívánt hozzáférés szűréséhez több felügyeleti többletterhelésre van szükség. Ha nem szeretné több-bérlős alkalmazásként fejleszteni az alkalmazást, kezdje az AzureADMyOrg SignInAudience értékével.
Következő lépések
- Az alkalmazástípusok regisztrálásához tekintse meg a Microsoft Identitásplatform dokumentációját. Az alkalmazástípusok közé tartoznak például az egyoldalas alkalmazások (SPA), a webalkalmazások, a webes API-k, az asztali alkalmazások, a mobilalkalmazások és a háttérszolgáltatások, a démonok és a szkriptek.
- Az Azure AD B2C új Alkalmazásregisztrációk felülete című cikk segít megismerni az örökölt élményt lecserélő új élményt.
- Az alkalmazások Microsoft Entra-azonosítóval és a Microsoft Identitásplatform való integrálásával a fejlesztők olyan alkalmazásokat hozhatnak létre és integrálhatnak, amelyeket az informatikai szakemberek biztonságosan integrálhatnak a vállalaton belül a Microsoft Entra-azonosítóval és a Microsoft Identitásplatform.
- Az erőforrások elérésére vonatkozó engedélyek beszerzése segít megérteni, hogyan biztosíthatja a legjobban Teljes felügyelet az alkalmazás erőforrás-hozzáférési engedélyeinek beszerzésekor.
- Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: