Objek aplikasi dan layanan utama di Azure Active Directory

Artikel ini menjelaskan pendaftaran aplikasi, objek aplikasi, dan perwakilan layanan di Azure Active Directory (AAD): apa itu, bagaimana mereka digunakan, dan bagaimana mereka terkait satu sama lain. Skenario contoh multi-penyewa juga disajikan untuk menggambarkan hubungan antara objek aplikasi dari suatu aplikasi dan objek layanan utama yang sesuai.

Pendaftaran aplikasi

Untuk mendelegasikan fungsi Manajemen Identitas dan Akses ke Azure Active Directory, aplikasi harus terdaftar dengan penyewa Azure Active Directory. Saat mendaftarkan aplikasi Anda dengan Azure Active Directory, Anda membuat konfigurasi identitas untuk aplikasi yang memungkinkannya berintegrasi dengan Azure Active Directory. Saat Anda mendaftarkan aplikasi di portal Microsoft Azure, Anda memilih apakah ini satu penyewa, atau multi penyewa, dan secara opsional dapat mengatur URI pengalihan. Untuk petunjuk langkah demi langkah tentang mendaftarkan aplikasi, lihat mulai cepat pendaftaran aplikasi.

Saat Anda telah menyelesaikan pendaftaran aplikasi, Anda memiliki instans aplikasi yang unik secara global (objek aplikasi) yang berada di dalam penyewa rumah atau direktori. Anda juga memiliki ID unik global untuk aplikasi Anda (ID aplikasi/klien). Di portal, Anda dapat menambahkan rahasia atau sertifikat dan cakupan untuk membuat aplikasi berfungsi, menyesuaikan merek aplikasi dalam dialog rincian masuk, dan banyak lagi.

Jika mendaftarkan aplikasi di portal, objek aplikasi serta objek perwakilan layanan dibuat secara otomatis di penyewa rumah Anda. Jika Anda mendaftarkan/membuat aplikasi menggunakan API Microsoft Graph, membuat objek layanan utama adalah langkah terpisah.

Objek aplikasi

Aplikasi Microsoft Azure AD ditentukan oleh satu-satunya objek aplikasinya, yang berada di penyewa Microsoft Azure AD tempat aplikasi terdaftar (dikenal sebagai penyewa "rumah" aplikasi). Objek aplikasi digunakan sebagai templat atau cetak biru untuk membuat satu atau beberapa objek layanan utama. Layanan utama dibuat di setiap penyewa tempat aplikasi digunakan. Mirip dengan kelas dalam pemrograman berorientasi objek, objek aplikasi memiliki beberapa properti statis yang diterapkan ke semua layanan utama yang dibuat (atau instans aplikasi).

Objek aplikasi menjelaskan tiga aspek aplikasi:

  • Bagaimana layanan dapat mengeluarkan token untuk mengakses aplikasi
  • Sumber daya yang mungkin perlu diakses aplikasi
  • Tindakan yang dapat dilakukan aplikasi

Anda dapat menggunakan halaman Pendaftaran aplikasi di portal Microsoft Azure untuk mencantumkan dan mengelola objek aplikasi di penyewa rumah Anda.

Bilah pendaftaran aplikasi

Entitas Aplikasi Microsoft Graph mendefinisikan skema untuk properti objek aplikasi.

Objek layanan utama

Untuk mengakses sumber daya yang diamankan oleh penyewa Microsoft Azure AD, entitas yang memerlukan akses harus diwakili oleh prinsip keamanan. Persyaratan ini berlaku untuk pengguna (pengguna utama) dan aplikasi (layanan utama). Prinsip keamanan menentukan kebijakan akses dan izin untuk pengguna/aplikasi di penyewa Microsoft Azure AD. Ini memungkinkan fitur inti seperti autentikasi pengguna / aplikasi selama masuk, dan otorisasi selama akses sumber daya.

Ada tiga jenis perwakilan layanan:

  • Aplikasi - Jenis perwakilan layanan adalah representasi lokal, atau instans aplikasi, dari objek aplikasi global dalam satu penyewa atau direktori. Dalam hal ini, layanan utama adalah instans konkret yang dibuat dari objek aplikasi dan mewarisi properti tertentu dari objek aplikasi itu. Layanan utama dibuat di setiap penyewa di mana aplikasi digunakan dan mereferensikan objek aplikasi yang unik secara global. Objek utama layanan menentukan apa yang sebenarnya dapat dilakukan aplikasi di penyewa tertentu, yang dapat mengakses aplikasi, dan sumber daya apa yang dapat diakses aplikasi.

    Ketika aplikasi diberi izin untuk mengakses sumber daya dalam penyewa (setelah pendaftaran atau persetujuan), objek layanan utama dibuat. Saat Anda mendaftarkan aplikasi menggunakan portal Microsoft Azure, perwakilan layanan dibuat secara otomatis. Anda juga dapat membuat objek perwakilan layanan di penyewa menggunakan Azure PowerShell, Azure CLI, Microsoft Graph, dan alat lainnya.

  • Identitas terkelola - Jenis perwakilan layanan ini digunakan untuk mewakili identitas terkelola. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola kredensial. Identitas terkelola menyediakan identitas untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Microsoft Azure AD. Saat identitas terkelola diaktifkan, layanan utama yang mewakili identitas terkelola dibuat di penyewa Anda. Layanan utama yang mewakili identitas terkelola dapat diberikan akses dan izin, tetapi tidak dapat diperbarui atau dimodifikasi secara langsung.

  • Warisan - Jenis perwakilan layanan ini mewakili aplikasi warisan, yaitu aplikasi yang dibuat sebelum pendaftaran aplikasi diperkenalkan atau aplikasi yang dibuat melalui pengalaman warisan. Perwakilan layanan warisan dapat memiliki info masuk, nama prinsipal layanan, URL balasan, dan properti lain yang dapat diedit oleh pengguna yang berwenang, tetapi tidak memiliki pendaftaran aplikasi terkait. Prinsipal layanan hanya dapat digunakan di penyewa tempat ia dibuat.

Entitas ServicePrincipal Microsoft Graph mendefinisikan skema untuk properti objek utama layanan.

Anda dapat menggunakan halaman aplikasi Enterprise di portal Microsoft Azure untuk mencantumkan dan mengelola perwakilan layanan di penyewa. Anda dapat melihat izin prinsipal layanan, izin yang disetujui pengguna, yang telah dilakukan pengguna persetujuan tersebut, informasi masuk, dan lainnya.

Bilah aplikasi perusahaan

Hubungan antara objek aplikasi dan layanan utama

Objek aplikasi adalah representasi global aplikasi Anda untuk digunakan di semua penyewa, dan prinsipal layanan adalah representasi lokal untuk digunakan dalam penyewa tertentu. Objek aplikasi berfungsi sebagai template dari mana properti umum dan default diturunkan untuk digunakan dalam membuat objek layanan utama yang sesuai.

Objek aplikasi memiliki:

  • Hubungan satu-lawan-satu dengan aplikasi perangkat lunak, dan
  • Hubungan satu-lawan-banyak dengan objek perwakilan layanan yang sesuai

Layanan utama harus dibuat di setiap penyewa tempat aplikasi digunakan, memungkinkannya untuk menetapkan identitas untuk masuk dan/atau akses ke sumber daya yang diamankan oleh penyewa. Aplikasi satu penyewa hanya memiliki satu layanan utama (dalam penyewa rumahnya), dibuat dan disetujui untuk digunakan selama pendaftaran aplikasi. Aplikasi multi-penyewa juga memiliki layanan utama yang dibuat di setiap penyewa di mana pengguna dari penyewa tersebut telah menyetujui penggunaannya.

Konsekuensi dari memodifikasi dan menghapus aplikasi

Setiap perubahan yang Anda buat pada objek aplikasi Anda juga tercermin dalam objek layanan utamanya hanya di penyewa rumah aplikasi (penyewa tempat objek terdaftar). Ini berarti bahwa menghapus objek aplikasi juga akan menghapus objek layanan utama penyewa rumahnya. Namun, memulihkan objek aplikasi tersebut melalui UI pendaftaran aplikasi tidak akan memulihkan perwakilan layanan yang sesuai. Untuk informasi selengkapnya tentang penghapusan dan pemulihan aplikasi dan objek perwakilan layanannya, lihat menghapus dan memulihkan aplikasi dan objek perwakilan layanan.

Contoh

Diagram berikut mengilustrasikan hubungan antara objek aplikasi aplikasi dan objek perwakilan layanan terkait dalam konteks aplikasi multi-penyewa sampel yang disebut aplikasi HR. Ada tiga penyewa Microsoft Azure AD dalam skenario contoh ini:

  • Adatum - Penyewa yang digunakan oleh perusahaan yang mengembangkan aplikasi SDM
  • Contoso - Penyewa yang digunakan oleh organisasi Contoso, yang merupakan konsumen aplikasi SDM
  • Fabrikam - Penyewa yang digunakan oleh organisasi Contoso, yang merupakan konsumen aplikasi SDM

Hubungan antara objek aplikasi dan objek layanan utama

Dalam contoh skenario ini:

Langkah Deskripsi
1 Proses pembuatan objek perwakilan layanan dan aplikasi di penyewa rumah aplikasi.
2 Ketika administrator Contoso dan Fabrikam menyelesaikan persetujuan, objek utama layanan dibuat di penyewa Microsoft Azure AD perusahaan mereka dan menetapkan izin yang diberikan administrator. Perhatikan juga bahwa aplikasi HR dapat dikonfigurasi/ dirancang untuk memungkinkan persetujuan oleh pengguna untuk penggunaan individual.
3 Para penyewa konsumen aplikasi SDM (Contoso dan Fabrikam) masing-masing memiliki objek layanan utama sendiri. Masing-masing mewakili penggunaan instans aplikasi pada waktu proses, yang diatur oleh izin yang disetujui oleh administrator masing-masing.

Langkah berikutnya

Pelajari cara membuat perwakilan layanan: