Bagikan melalui


Model aplikasi

Aplikasi dapat membolehkan pengguna masuk sendiri atau mendelegasikan log masuk ke penyedia identitas. Artikel ini membahas langkah-langkah yang diperlukan untuk mendaftarkan aplikasi dengan platform identitas Microsoft.

Daftarkan aplikasi

Agar penyedia identitas mengetahui bahwa pengguna memiliki akses ke aplikasi tertentu, pengguna dan aplikasi harus terdaftar di penyedia identitas. Saat mendaftarkan aplikasi dengan MICROSOFT Entra ID, Anda menyediakan konfigurasi identitas untuk aplikasi yang memungkinkannya berintegrasi dengan platform identitas Microsoft. Mendaftarkan aplikasi ini juga memungkinkan Anda untuk:

  • Menyesuaikan branding aplikasi Anda dalam kotak dialog masuk. Branding ini penting karena proses masuk adalah pengalaman pertama yang akan dialami pengguna dengan aplikasi Anda.
  • Memutuskan apakah Anda ingin memperbolehkan pengguna masuk hanya jika mereka bagian dari organisasi Anda. Arsitektur ini dikenal sebagai aplikasi penyewa tunggal. Atau, Anda dapat mengizinkan pengguna untuk masuk dengan menggunakan akun kerja atau sekolah apa pun, yang dikenal sebagai aplikasi multipenyewa. Anda juga dapat mengizinkan akun Microsoft pribadi atau akun sosial dari LinkedIn, Google, dan sebagainya.
  • Meminta izin cakupan. Misalnya, Anda dapat meminta cakupan "user.read", yang memberi izin untuk membaca profil pengguna yang masuk.
  • Mendefinisikan cakupan yang menentukan akses ke API web Anda. Biasanya, ketika aplikasi ingin mengakses API Anda, aplikasi harus meminta izin ke cakupan yang Anda tentukan.
  • Membagikan rahasia dengan platform identitas Microsoft yang membuktikan identitas aplikasi. Menggunakan rahasia relevan dalam kasus saat aplikasi adalah aplikasi klien rahasia. Aplikasi klien rahasia adalah aplikasi yang dapat menyimpan kredensial dengan aman, seperti klien web. Server back-end tepercaya diperlukan untuk menyimpan informasi masuk.

Setelah aplikasi didaftarkan, aplikasi diberi pengidentifikasi unik yang berbagi dengan platform identitas Microsoft ketika meminta token. Jika aplikasi adalah aplikasi klien rahasia, aplikasi ini juga akan berbagi rahasia atau kunci umum tergantung pada apakah sertifikat atau rahasia digunakan.

Platform identitas Microsoft merepresentasikan aplikasi menggunakan model yang memenuhi dua fungsi utama:

  • Mengidentifikasi aplikasi dengan protokol autentikasi yang didukungnya.
  • Memberi semua pengidentifikasi, URL, rahasia, dan informasi terkait yang diperlukan untuk mengautentikasi.

Platform identitas Microsoft:

  • Menyimpan semua data yang diperlukan untuk mendukung autentikasi saat runtime.
  • Menyimpan semua data untuk memutuskan sumber daya apa yang mungkin perlu diakses oleh aplikasi, dan dalam keadaan apa permintaan tertentu harus dipenuhi.
  • Menyediakan infrastruktur untuk menerapkan provisi aplikasi dalam penyewa pengembang aplikasi, dan ke penyewa Microsoft Entra lainnya.
  • Menangani persetujuan pengguna selama waktu permintaan token dan memfasilitasi penyediaan aplikasi yang dinamis di seluruh penyewa.

Persetujuan adalah proses pemilik sumber daya yang memberi otorisasi kepada aplikasi klien untuk mengakses sumber daya yang dilindungi, di bawah izin khusus, atas nama pemilik sumber daya. Platform identitas Microsoft memungkinkan:

  • Pengguna dan administrator untuk secara dinamis memberi atau menolak persetujuan bagi aplikasi untuk mengakses sumber daya atas namanya.
  • Administrator pada akhirnya memutuskan aplikasi apa yang diizinkan untuk dilakukan dan pengguna mana yang dapat menggunakan aplikasi tertentu, dan bagaimana sumber daya direktori diakses.

Aplikasi multipenyewa

Di platform identitas Microsoft, objek aplikasi menjelaskan aplikasi. Pada waktu penyebaran, platform identitas Microsoft menggunakan objek aplikasi sebagai cetak biru untuk membuat perwakilan layanan, yang merepresentasikan contoh konkret aplikasi dalam suatu direktori atau penyewa. Perwakilan layanan mendefinisikan apa yang sebenarnya dapat dilakukan aplikasi dalam suatu direktori target tertentu, siapa dapat menggunakannya, sumber daya apa yang dapat diaksesnya, dan sebagainya. Platform identitas Microsoft membuat perwakilan layanan dari objek aplikasi melalui persetujuan.

Diagram berikut menunjukkan alur penyediaan platform identitas Microsoft yang disederhanakan yang didorong oleh persetujuan. Ini menunjukkan dua penyewa: A dan B.

  • Penyewa A memiliki aplikasi.
  • Penyewa B sedang membuat instans aplikasi melalui perwakilan layanan.

Diagram yang memperlihatkan alur penyediaan yang disederhanakan yang didorong oleh persetujuan.

Dalam alur penyediaan ini:

  1. Pengguna dari penyewa B mencoba masuk dengan aplikasi. Titik akhir otorisasi meminta token untuk aplikasi.
  2. Informasi masuk pengguna diperoleh dan diverifikasi untuk autentikasi.
  3. Pengguna diminta untuk memberi persetujuan bagi aplikasi untuk mendapat akses ke penyewa B.
  4. Platform identitas Microsoft menggunakan objek aplikasi di penyewa A sebagai cetak biru untuk membuat perwakilan layanan di penyewa B.
  5. Pengguna menerima token yang diminta.

Anda dapat mengulangi proses ini untuk penyewa lainnya. Penyewa A mempertahankan cetak biru untuk aplikasi (objek aplikasi). Pengguna dan admin semua penyewa lain di mana aplikasi diberi persetujuan tetap mengontrol apa yang diizinkan untuk dilakukan aplikasi melalui objek utama layanan yang sesuai di setiap penyewa. Untuk informasi selengkapnya, lihat Aplikasi dan objek perwakilan layanan di platform identitas Microsoft.

Langkah berikutnya

Untuk informasi selengkapnya tentang autentikasi dan otorisasi di platform identitas Microsoft, lihat artikel berikut:

Untuk informasi selengkapnya tentang model aplikasi, lihat artikel berikut ini:

  • Untuk informasi selengkapnya tentang objek aplikasi dan perwakilan layanan di platform identitas Microsoft, lihat Bagaimana dan mengapa aplikasi ditambahkan ke ID Microsoft Entra.
  • Untuk informasi selengkapnya tentang aplikasi penyewa tunggal dan aplikasi multipenyewa, lihat Penyewaan di ID Microsoft Entra.
  • Untuk informasi selengkapnya tentang bagaimana MICROSOFT Entra ID juga menyediakan Azure Active Directory B2C sehingga organisasi dapat memasukkan pengguna, biasanya pelanggan, dengan menggunakan identitas sosial seperti akun Google, lihat dokumentasi Azure Active Directory B2C.