Objek perwakilan layanan dan aplikasi di Microsoft Entra ID
Artikel ini menjelaskan pendaftaran aplikasi, objek aplikasi, dan perwakilan layanan di ID Microsoft Entra, apa itu, bagaimana mereka digunakan, dan bagaimana mereka terkait satu sama lain. Skenario contoh multi-penyewa juga disajikan untuk menggambarkan hubungan antara objek aplikasi dari suatu aplikasi dan objek layanan utama yang sesuai.
Pendaftaran aplikasi
Untuk mendelegasikan fungsi manajemen identitas dan akses ke Microsoft Entra ID, aplikasi harus terdaftar dengan penyewa Azure Active Directory. Saat mendaftarkan aplikasi dengan ID Microsoft Entra, Anda membuat konfigurasi identitas untuk aplikasi yang memungkinkannya berintegrasi dengan ID Microsoft Entra. Saat mendaftarkan aplikasi, Anda memilih apakah itu penyewa tunggal, atau multi-penyewa, dan dapat secara opsional mengatur URI pengalihan. Untuk petunjuk langkah demi langkah tentang mendaftarkan aplikasi, lihat mulai cepat pendaftaran aplikasi.
Setelah menyelesaikan pendaftaran aplikasi, Anda memiliki instans aplikasi yang unik secara global (objek aplikasi) yang berada dalam penyewa atau direktori rumah Anda. Anda juga memiliki ID unik global untuk aplikasi Anda (ID aplikasi/klien). Anda dapat menambahkan rahasia atau sertifikat dan cakupan untuk membuat aplikasi berfungsi, menyesuaikan branding aplikasi Anda dalam dialog masuk, dan banyak lagi.
Jika Anda mendaftarkan aplikasi, objek aplikasi dan objek perwakilan layanan secara otomatis dibuat di penyewa rumah Anda. Jika Anda mendaftarkan/membuat aplikasi menggunakan API Microsoft Graph, membuat objek layanan utama adalah langkah terpisah.
Objek aplikasi
Aplikasi Microsoft Entra didefinisikan oleh satu-satunya objek aplikasi, yang berada di penyewa Microsoft Entra tempat aplikasi terdaftar (dikenal sebagai penyewa "rumah" aplikasi). Objek aplikasi digunakan sebagai templat atau cetak biru untuk membuat satu atau beberapa objek layanan utama. Layanan utama dibuat di setiap penyewa tempat aplikasi digunakan. Mirip dengan kelas dalam pemrograman berorientasi objek, objek aplikasi memiliki beberapa properti statis yang diterapkan ke semua layanan utama yang dibuat (atau instans aplikasi).
Objek aplikasi menjelaskan tiga aspek aplikasi:
- Bagaimana layanan dapat mengeluarkan token untuk mengakses aplikasi
- Sumber daya yang mungkin perlu diakses aplikasi
- Tindakan yang dapat dilakukan aplikasi
Anda dapat menggunakan halaman Pendaftaran aplikasi di pusat admin Microsoft Entra untuk mencantumkan dan mengelola objek aplikasi di penyewa rumah Anda.
Entitas Aplikasi Microsoft Graph mendefinisikan skema untuk properti objek aplikasi.
Objek layanan utama
Untuk mengakses sumber daya yang diamankan oleh penyewa Microsoft Entra, entitas yang memerlukan akses harus diwakili oleh prinsip keamanan. Persyaratan ini berlaku untuk pengguna (pengguna utama) dan aplikasi (layanan utama). Prinsip keamanan menentukan kebijakan akses dan izin untuk pengguna/aplikasi di penyewa Microsoft Entra. Ini memungkinkan fitur inti seperti autentikasi pengguna / aplikasi selama masuk, dan otorisasi selama akses sumber daya.
Ada tiga jenis perwakilan layanan:
Aplikasi - Jenis perwakilan layanan ini adalah representasi lokal, atau instans aplikasi, dari objek aplikasi global dalam satu penyewa atau direktori. Dalam hal ini, layanan utama adalah instans konkret yang dibuat dari objek aplikasi dan mewarisi properti tertentu dari objek aplikasi itu. Layanan utama dibuat di setiap penyewa di mana aplikasi digunakan dan mereferensikan objek aplikasi yang unik secara global. Objek utama layanan menentukan apa yang sebenarnya dapat dilakukan aplikasi di penyewa tertentu, yang dapat mengakses aplikasi, dan sumber daya apa yang dapat diakses aplikasi.
Ketika aplikasi diberi izin untuk mengakses sumber daya dalam penyewa (setelah pendaftaran atau persetujuan), objek layanan utama dibuat. Saat Anda mendaftarkan aplikasi, perwakilan layanan dibuat secara otomatis. Anda juga dapat membuat objek perwakilan layanan di penyewa menggunakan Azure PowerShell, Azure CLI, Microsoft Graph, dan alat lainnya.
Identitas terkelola - Jenis perwakilan layanan ini digunakan untuk mewakili identitas terkelola. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola info masuk. Identitas terkelola menyediakan identitas untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Microsoft Entra. Saat identitas terkelola diaktifkan, layanan utama yang mewakili identitas terkelola dibuat di penyewa Anda. Layanan utama yang mewakili identitas terkelola dapat diberikan akses dan izin, tetapi tidak dapat diperbarui atau dimodifikasi secara langsung.
Warisan - Jenis perwakilan layanan ini mewakili aplikasi warisan, yaitu aplikasi yang dibuat sebelum pendaftaran aplikasi diperkenalkan atau aplikasi yang dibuat melalui pengalaman warisan. Perwakilan layanan warisan dapat memiliki info masuk, nama prinsipal layanan, URL balasan, dan properti lain yang dapat diedit oleh pengguna yang berwenang, tetapi tidak memiliki pendaftaran aplikasi terkait. Prinsipal layanan hanya dapat digunakan di penyewa tempat ia dibuat.
Entitas ServicePrincipal Microsoft Graph mendefinisikan skema untuk properti objek utama layanan.
Anda dapat menggunakan halaman Aplikasi perusahaan di pusat admin Microsoft Entra untuk mencantumkan dan mengelola perwakilan layanan dalam penyewa. Anda dapat melihat izin prinsipal layanan, izin yang disetujui pengguna, yang telah dilakukan pengguna persetujuan tersebut, informasi masuk, dan lainnya.
Hubungan antara objek aplikasi dan layanan utama
Objek aplikasi adalah representasi global aplikasi Anda untuk digunakan di semua penyewa, dan prinsipal layanan adalah representasi lokal untuk digunakan dalam penyewa tertentu. Objek aplikasi berfungsi sebagai template dari mana properti umum dan default diturunkan untuk digunakan dalam membuat objek layanan utama yang sesuai.
Objek aplikasi memiliki:
- Hubungan satu-lawan-satu dengan aplikasi perangkat lunak, dan
- Hubungan satu-lawan-banyak dengan objek perwakilan layanan yang sesuai
Layanan utama harus dibuat di setiap penyewa tempat aplikasi digunakan, memungkinkannya untuk menetapkan identitas untuk masuk dan/atau akses ke sumber daya yang diamankan oleh penyewa. Aplikasi satu penyewa hanya memiliki satu layanan utama (dalam penyewa rumahnya), dibuat dan disetujui untuk digunakan selama pendaftaran aplikasi. Aplikasi multi-penyewa juga memiliki layanan utama yang dibuat di setiap penyewa di mana pengguna dari penyewa tersebut telah menyetujui penggunaannya.
Mencantumkan perwakilan layanan yang terkait dengan aplikasi
Anda dapat menemukan perwakilan layanan yang terkait dengan objek aplikasi.
Di pusat admin Microsoft Entra, navigasikan ke gambaran umum pendaftaran aplikasi. Pilih Aplikasi terkelola di direktori lokal.
Konsekuensi dari memodifikasi dan menghapus aplikasi
Setiap perubahan yang Anda buat pada objek aplikasi Anda juga tercermin dalam objek layanan utamanya hanya di penyewa rumah aplikasi (penyewa tempat objek terdaftar). Ini berarti bahwa menghapus objek aplikasi juga akan menghapus objek layanan utama penyewa rumahnya. Namun, memulihkan objek aplikasi tersebut melalui UI pendaftaran aplikasi tidak akan memulihkan perwakilan layanan yang sesuai. Untuk informasi selengkapnya tentang penghapusan dan pemulihan aplikasi dan objek perwakilan layanannya, lihat menghapus dan memulihkan aplikasi dan objek perwakilan layanan.
Contoh
Diagram berikut mengilustrasikan hubungan antara objek aplikasi aplikasi dan objek perwakilan layanan terkait dalam konteks aplikasi multi-penyewa sampel yang disebut aplikasi HR. Ada tiga penyewa Microsoft Entra dalam skenario contoh ini:
- Adatum - Penyewa yang digunakan oleh perusahaan yang mengembangkan aplikasi SDM
- Contoso - Penyewa yang digunakan oleh organisasi Contoso, yang merupakan konsumen aplikasi SDM
- Fabrikam - Penyewa yang digunakan oleh organisasi Contoso, yang merupakan konsumen aplikasi SDM
Dalam contoh skenario ini:
| Langkah | Deskripsi |
|---|---|
| 1 | Proses pembuatan objek perwakilan layanan dan aplikasi di penyewa rumah aplikasi. |
| 2 | Ketika administrator Contoso dan Fabrikam menyelesaikan persetujuan, objek perwakilan layanan dibuat di penyewa Microsoft Entra perusahaan mereka dan menetapkan izin yang diberikan administrator. Perhatikan juga bahwa aplikasi HR dapat dikonfigurasi/ dirancang untuk memungkinkan persetujuan oleh pengguna untuk penggunaan individual. |
| 3 | Para penyewa konsumen aplikasi SDM (Contoso dan Fabrikam) masing-masing memiliki objek layanan utama sendiri. Masing-masing mewakili penggunaan instans aplikasi pada waktu proses, yang diatur oleh izin yang disetujui oleh administrator masing-masing. |
Langkah berikutnya
Pelajari cara membuat perwakilan layanan:
- Menggunakan pusat admin Microsoft Entra
- Menggunakan Azure PowerShell
- Menggunakan Azure CLI
- Menggunakan Microsoft Graph lalu menggunakan Penjelajah Microsoft Graph untuk mengkueri aplikasi dan objek perwakilan layanan.