Bagikan melalui


Menetapkan aplikasi dalam ekosistem ID Microsoft Entra

Saat membangun aplikasi di ID Microsoft Entra, Anda terlebih dahulu membuat identitas untuk aplikasi. Aplikasi memerlukan identitas di ID Microsoft Entra untuk meminta token. Antarmuka Pemrograman Aplikasi (API) memerlukan identitas di ID Microsoft Entra agar token dikeluarkan agar aplikasi dapat mengakses sumber daya.

Dalam artikel ini, pelajari cara mendaftarkan aplikasi di penyewa MICROSOFT Entra ID di pusat admin Microsoft Entra, atau dengan Microsoft Graph API. Ini adalah yang kedua dalam serangkaian artikel tentang bagaimana pengembang perangkat lunak independen (ISV) dapat membangun dan mengoptimalkan aplikasi mereka untuk ID Microsoft Entra. Dalam seri ini, Anda dapat mempelajari lebih lanjut tentang topik-topik ini:

  • ID Microsoft Entra untuk Pengembang Perangkat Lunak Independen menjelaskan cara menggunakan layanan manajemen identitas dan akses berbasis cloud ini untuk memungkinkan karyawan mengakses sumber daya dengan aplikasi Anda.
  • Mengautentikasi aplikasi dan pengguna menjelaskan cara aplikasi menggunakan ID Microsoft Entra untuk mengautentikasi pengguna dan aplikasi.
  • Mengotorisasi aplikasi, sumber daya, dan beban kerja menggambarkan ketika manusia individu berinteraksi dengan dan mengarahkan aplikasi, ketika API bertindak untuk pengguna, dan ketika aplikasi atau layanan bekerja secara independen.
  • Menyesuaikan token membantu Anda membangun keamanan ke dalam aplikasi dengan token ID dan token akses dari ID Microsoft Entra. Ini menjelaskan informasi yang dapat Anda terima di token ID Microsoft Entra dan bagaimana Anda dapat menyesuaikannya.

Mendaftarkan aplikasi

Pengembang dapat mendaftarkan aplikasi sebagai aplikasi multipenyewa dan aplikasi penyewa tunggal. Untuk ISV, kami merekomendasikan aplikasi multipenyewa. Aplikasi multipenyewa memiliki satu pendaftaran aplikasi yang sepenuhnya dikontrol dan didaftarkan ISV di penyewa mereka. Pelajari cara membuat penyewa MICROSOFT Entra ID untuk mendaftarkan aplikasi Anda.

Untuk memberikan solusi kepada pelanggan yang menjalankan ID Microsoft Entra dan memiliki pengalaman yang mulus untuk onboarding ke penyewa ID Microsoft Entra pelanggan, buka pusat admin Microsoft Entra, Pendaftaran aplikasi, Daftarkan aplikasi. Pada pendaftaran aplikasi baru ini, pilih Jenis akun yang didukung, Akun di direktori organisasi apa pun (Penyewa MICROSOFT Entra ID apa pun--Multipenyewa) atau Akun di direktori organisasi apa pun (Penyewa MICROSOFT Entra ID apa pun--Multipenyewa) dan akun Microsoft pribadi (misalnya, Skype, Xbox).

Cuplikan layar opsi konfigurasi aplikasi di pusat admin Microsoft Entra.

Onboarding aplikasi multipenyewa ke penyewa eksternal bisa sesering menjalankan aplikasi dan meminta pengguna masuk ke aplikasi. Saat penyewa mengizinkan persetujuan pengguna (pengguna dapat masuk ke aplikasi tanpa admin yang sebelumnya menyetujui aplikasi), onboarding aplikasi hanya mengharuskan pengguna masuk ke aplikasi. Lokakarya Identitas untuk Pengembang ini (kode waktu 1:05:20 hingga 1:08:00) menunjukkan aplikasi yang di-onboard ke penyewa saat pengguna masuk ke aplikasi.

Saat Anda mendaftarkan aplikasi di penyewa MICROSOFT Entra ID, aplikasi menerima ID Aplikasi (ID Aplikasi) yang juga dikenal sebagai ID klien untuk aplikasi. Ini seperti userid untuk pengguna karena secara unik mengidentifikasi aplikasi. ID Aplikasi unik secara global di seluruh cloud ID Microsoft Entra dan tidak dapat diubah. Semua interaksi antara aplikasi dan ID Microsoft Entra menyertakan ID Aplikasi.

Selain ID Aplikasi, pendaftaran aplikasi berisi informasi tentang aplikasi yang diketahui atau perlu diketahui oleh pengembang aplikasi. Misalnya, pengembang aplikasi perlu mengetahui ID Aplikasi untuk berinteraksi dengan ID Microsoft Entra. Pengembang mengetahui jenis aplikasi yang mereka bangun (aplikasi web, aplikasi asli, aplikasi halaman tunggal, aplikasi seluler, atau aplikasi desktop). Jenis aplikasi memiliki atribut yang diperlukan.

Misalnya, atribut aplikasi yang diperlukan adalah Pengidentifikasi Sumber Daya Seragam Pengalihan (URI). Atribut memberi tahu Microsoft Entra ID alamat web, atau alamat aplikasi asli, untuk dikirim ke pengguna setelah autentikasi atau otorisasi. Pengembang mengetahui URI Pengalihan untuk aplikasi, berdasarkan jenis aplikasi dan tempat aplikasi berjalan.

Manifes aplikasi (yang Anda akses dari pusat admin Microsoft Entra atau dengan Microsoft Graph API) menyimpan banyak atribut aplikasi. Referensi Memahami manifes aplikasi Microsoft Entra untuk mempelajari tentang atribut aplikasi dan nilai yang diizinkan.

Sampel Kode Referensi untuk autentikasi dan otorisasi platform identitas Microsoft untuk menemukan pengaturan yang direkomendasikan untuk aplikasi yang Anda kembangkan. Temukan sampel aplikasi yang seperti aplikasi yang Anda buat dan baca dokumentasinya. Detail sampel pengaturan pendaftaran aplikasi yang diperlukan berdasarkan jenis aplikasi. Misalnya, jika Anda membangun API di Node.js, Anda dapat menemukan sampel yang mengarahkan Anda ke instruksi pendaftaran ini.

Pendaftaran aplikasi mengkomunikasikan apa yang diketahui pengembang. Di setiap penyewa tempat pengguna dapat mengautentikasi ke aplikasi multipenyewa Anda, admin penyewa mengonfigurasi cara aplikasi berjalan di penyewa mereka. Misalnya, admin penyewa dapat mengatur kebijakan Akses Bersyar yang membatasi aplikasi ke lokasi jaringan tertentu. Selain itu, mungkin ada kebijakan Akses Bersyarat untuk mewajibkan autentikasi multifaktor (MFA) bagi pengguna untuk mengakses aplikasi, atau pengaturan aplikasi yang memungkinkan pengguna, atau grup tertentu, untuk menggunakan aplikasi.

Untuk mengaktifkan batasan tersebut, admin penyewa memerlukan titik kontrol untuk aplikasi di penyewa mereka. MICROSOFT Entra ID secara otomatis membuat Aplikasi Perusahaan di setiap penyewa tempat pengguna mengautentikasi aplikasi. Di pusat admin Microsoft Entra, mereka disebut Aplikasi Perusahaan, tetapi objeknya adalah perwakilan layanan. Pelajari selengkapnya tentang Aplikasi dan perwakilan layanan di ID Microsoft Entra.

Setelah pengguna mengautentikasi aplikasi, ID Microsoft Entra membuat perwakilan layanan di penyewa tempat pengguna diautentikasi. Admin penyewa dapat menggunakan objek perwakilan layanan di Microsoft Graph (atau di pusat admin Microsoft Entra, Aplikasi Perusahaan) untuk mengonfigurasi cara kerja aplikasi di penyewa.

Perwakilan layanan bukan salinan pendaftaran aplikasi meskipun mereka memiliki banyak atribut yang sama. Sebagai gantinya, perwakilan layanan menautkan ke pendaftaran aplikasinya. Anda dapat melihat pembaruan untuk pendaftaran aplikasi di Aplikasi Perusahaan yang ditautkan. Untuk aplikasi multipenyewa, pelanggan tidak memiliki akses ke pendaftaran aplikasi yang tetap berada di penyewa ISV. Namun, aplikasi dapat mengakses perwakilan layanannya menggunakan Microsoft Graph bahkan ketika perwakilan layanan tersebut berada di penyewa yang berbeda. Dengan demikian, aplikasi dapat mengakses atribut tentang Aplikasi Perusahaan (misalnya, apakah memerlukan penugasan pengguna ke aplikasi, atau pengguna yang ditetapkan ke peran di aplikasi).

Meskipun kami merekomendasikan aplikasi multipenyewa untuk pendaftaran aplikasi untuk ISV, satu aplikasi penyewa adalah opsi lain untuk mendaftarkan aplikasi. Alih-alih satu pendaftaran aplikasi di penyewa ISV tempat ISV sepenuhnya mengontrol pendaftaran, Anda dapat meminta pelanggan Anda untuk mendaftarkan aplikasi Anda di penyewa mereka untuk aplikasi Anda. Setelah pelanggan menyelesaikan pendaftaran, mereka mengonfigurasi instans aplikasi Anda dengan detail pendaftaran aplikasi mereka. Kami merekomendasikan pendekatan aplikasi penyewa tunggal ini terutama untuk aplikasi Lini Bisnis yang dikembangkan untuk perusahaan tertentu.

Karena overhead agar pelanggan mendaftar dan mengonfigurasi aplikasi Anda, kami tidak merekomendasikan aplikasi penyewa tunggal untuk ISV. Namun, ada skenario di mana aplikasi multipenyewa tidak dimungkinkan untuk aplikasi Anda.

Jika aplikasi Anda menggunakan Security Assertion Markup Language 2.0 (SAML), alih-alih OpenID Connect (OIDC) atau OAuth 2.0, aplikasi tersebut mengikuti satu model pendaftaran aplikasi penyewa. Untuk aplikasi SAML, urutan pembuatan perwakilan layanan dan pendaftaran aplikasi adalah kebalikan dari aplikasi OIDC atau OAuth 2.0, setidaknya untuk admin yang menambahkan aplikasi SAML ke penyewa. Alih-alih mendaftarkan aplikasi dan memiliki ID Microsoft Entra secara otomatis membuat perwakilan layanan, admin mulai dengan membuat aplikasi Enterprise. MICROSOFT Entra ID secara otomatis membuat pendaftaran aplikasi. Galeri aplikasi ID Microsoft Entra, yang dijelaskan di bagian Aplikasi penerbitan, memudahkan proses pembuatan aplikasi SAML untuk admin.

Batasan pada Pengidentifikasi Sumber Daya Seragam Pengalihan (URI) dapat mencegah ISV membuat aplikasi multipenyewa. Aplikasi dapat memiliki paling banyak 256 URI Pengalihan, tanpa kartubebas. Jika aplikasi Anda memerlukan URI Pengalihan unik untuk setiap pelanggan, dan ada lebih dari 256 pelanggan yang memerlukan instans unik, Anda mungkin tidak dapat membuat aplikasi multipenyewa. Anda tidak dapat menggunakan kartubebas (*) di URI Pengalihan ID Microsoft Entra karena alasan keamanan. Salah satu opsinya adalah memiliki satu URI Pengalihan untuk layanan pusat Anda (jika layanan pusat memungkinkan). URI Pengalihan pusat akan memvalidasi token dan kemudian mengalihkan pengguna ke titik akhir spesifik pelanggan mereka.

Menerbitkan aplikasi

Saat pengguna awalnya mengautentikasi aplikasi Anda, atau mengotorisasi aplikasi untuk mengakses sumber daya bagi pengguna, mereka memutuskan apakah mereka mempercayai aplikasi Anda. Admin dapat membuat keputusan serupa untuk semua pengguna di penyewa mereka. Admin dapat memutuskan apakah pengguna masuk ke aplikasi dan apakah aplikasi mengakses sumber daya tertentu.

Metode publikasi aplikasi berikut dapat membantu ISV menyajikan aplikasi mereka sebagai penghapus kepercayaan pengguna dan admin.

  • Terbitkan aplikasi Anda dari domain terverifikasi. Domain penerbit memberi tahu pengguna dan admin lokasi mana yang menerima informasi mereka. Penerbitan dari domain penerbit terverifikasi menunjukkan bahwa penyewa terdaftar aplikasi memiliki kontrol atas domain yang tercantum sebagai penerbit aplikasi.
  • Terbitkan aplikasi Anda dengan verifikasi penerbit. Memiliki domain penerbit terverifikasi adalah prasyarat untuk verifikasi penerbit, yang melampaui hanya menunjukkan bahwa penerbit aplikasi memiliki kontrol atas domain. Verifikasi penerbit menunjukkan bahwa Microsoft memverifikasi entitas di belakang domain dan penyewa sebagai autentik. Pengguna yang bukan admin sering tidak mempercayai aplikasi multipenyewa dari penerbit yang belum diverifikasi. Admin dapat mengonfigurasi penyewa sehingga aplikasi yang bukan berasal dari penerbit terverifikasi selalu memerlukan persetujuan admin. Verifikasi penerbit terutama untuk ISV yang membangun aplikasi multipenyewa di OAuth 2.0 dan OIDC. Penerbit terverifikasi adalah anggota Program Mitra Cloud Microsoft. Verifikasi penerbit tidak memengaruhi aplikasi penyewa tunggal seperti yang menggunakan aplikasi SAML atau Lini Bisnis.
  • Terbitkan aplikasi Anda di galeri aplikasi ID Microsoft Entra. Anda dapat meminta Microsoft untuk mencantumkan aplikasi Anda menggunakan SAML 2.0 dan yang menggunakan OAuth 2.0 dan OIDC di galeri aplikasi ID Microsoft Entra. Admin menemukan aplikasi yang telah diintegrasi sebelumnya di galeri aplikasi ID Microsoft Entra dari pusat admin Microsoft Entra, Aplikasi Perusahaan, Aplikasi Baru. Menerbitkan aplikasi Anda di galeri aplikasi ID Microsoft Entra menyederhanakan dan meminimalkan konfigurasi untuk aplikasi Anda. Microsoft menguji aplikasi dan menyediakan verifikasi kompatibilitas, terutama berharga untuk aplikasi yang menggunakan SAML 2.0 yang memerlukan konfigurasi sebelum digunakan. Anda dapat menggunakan implementasi System for Cross-Domain Identity Management (SCIM) 2.0 aplikasi untuk mengonfigurasi aplikasi galeri aplikasi anda untuk provisi Lihat bagian Provisi otomatis. Untuk memulai, kirim permintaan untuk menerbitkan aplikasi Anda. Anda dapat mencapai akses menyeluruh dan provisi pengguna menggunakan SCIM dengan satu aplikasi di galeri aplikasi.
  • Berpartisipasi dalam Program Kepatuhan Aplikasi Microsoft 365. Menggunakan domain terverifikasi menunjukkan bahwa Anda memiliki kontrol atas domain Anda. Verifikasi penerbit menunjukkan bahwa Microsoft memverifikasi organisasi Anda sebagai autentik. Mencantumkan aplikasi Anda di galeri aplikasi ID Microsoft Entra menunjukkan bahwa aplikasi Anda berfungsi dengan ID Microsoft Entra untuk memudahkan onboarding. Program Kepatuhan Microsoft 365 memungkinkan Anda memberi tahu pelanggan tentang keamanan dan kepatuhan aplikasi Anda berdasarkan Pengesahan Penerbit, Sertifikasi Microsoft 365, atau dengan Alat Otomatisasi Kepatuhan Aplikasi (ACAT) di Azure. Ini menunjukkan bagaimana aplikasi Anda melindungi sumber daya yang diakses oleh pelanggan untuk mengakses aplikasi Anda.

Provisi otomatis

Provisi aplikasi di MICROSOFT Entra ID dapat secara otomatis memprovisikan identitas pengguna, objek grup, dan peran ke aplikasi cloud yang perlu diakses pengguna. Selain membuat objek pengguna dan grup, provisi otomatis mencakup pemeliharaan identitas pengguna dan penghapusan saat status atau peran berubah. Layanan provisi Microsoft Entra secara otomatis memprovisikan pengguna dan grup ke aplikasi dengan memanggil titik akhir API manajemen objek SCIM yang disediakan aplikasi.

Untuk ISV, keuntungan provisi aplikasi di MICROSOFT Entra ID mencakup hal berikut.

  • Provisi ke aplikasi Anda dengan Microsoft Graph dimungkinkan, membangun titik akhir SCIM memungkinkan provisi untuk bekerja dengan penyedia identitas (IdP) yang mendukung SCIM. Sebagian besar IDP mendukung protokol provisi SCIM.
  • Provisi adalah operasi sinkronisasi di mana data disinkronkan antara ID Microsoft Entra dan aplikasi. Untuk menerapkan solusi sinkronisasi berbasis Microsoft Graph, aplikasi memerlukan akses ke semua atribut semua pengguna dan grup di penyewa. Beberapa pelanggan ID Microsoft Entra enggan mengizinkan akses luas tersebut. Dengan SCIM, admin dapat memilih atribut mana yang disinkronkan microsoft Entra ID ke aplikasi. Banyak administrator lebih suka dapat memiliki kontrol halus ini yang hanya tersedia dengan implementasi SCIM.
  • Membangun layanan sinkronisasi Microsoft Graph Anda sendiri untuk provisi berarti Anda harus mengelola layanan tersebut, dan menerapkan model penarikan untuk memantau ID Microsoft Entra untuk perubahan. Saat Anda menerapkan titik akhir SCIM, MICROSOFT Entra ID mengelola manajemen layanan provisi dan mendorong perubahan ke aplikasi Anda.

Gunakan SCIM, Microsoft Graph, dan MICROSOFT Entra ID untuk memprovisikan pengguna dan memperkaya aplikasi dengan data memberikan panduan tentang kapan menggunakan SCIM dan kapan menggunakan Microsoft Graph. Dokumentasi Microsoft pengguna untuk merencanakan, membangun, dan memvalidasi titik akhir SCIM Anda dengan ID Microsoft Entra, dan mengatasi masalah umum terkait kepatuhan SCIM.

Selain menyinkronkan data ke aplikasi, MICROSOFT Entra ID menawarkan provisi dengan aplikasi sumber daya manusia (SDM) berbasis cloud. Provisi berbasis SDM adalah proses pembuatan identitas digital berdasarkan solusi sumber daya manusia. Sistem SDM menjadi awal otoritas untuk identitas digital yang baru dibuat ini dan sering menjadi titik awal untuk berbagai proses provisi. Solusi SDM lokal dapat menggunakan Microsoft Identity Manager untuk memprovisikan pengguna ke Active Directory lokal. Mereka kemudian dapat menyinkronkan ke ID Microsoft Entra dengan Microsoft Entra Connect atau langsung ke ID Microsoft Entra.

Dengan provisi masuk berbasis API, HR ISV berbasis cloud dapat mengirimkan pengalaman sinkronisasi asli sehingga perubahan sistem SDM secara otomatis mengalir ke ID Microsoft Entra dan domain Active Directory lokal yang terhubung. Misalnya, aplikasi SDM atau aplikasi sistem informasi siswa dapat mengirim data ke ID Microsoft Entra segera setelah transaksi selesai atau sebagai pembaruan massal akhir hari. Untuk mulai mempelajari konsep provisi masuk berbasis API, selidiki fungsionalitas bulkUpload di Microsoft Graph dan lebih terbiasa dengan konsep, skenario, dan batasan provisi berbasis API.

Langkah berikutnya

  • Mengonfirmasi bahwa aplikasi Anda berfungsi dengan ID Microsoft Entra, kirimkan permintaan untuk menerbitkan aplikasi Anda.
  • ID Microsoft Entra untuk Pengembang Perangkat Lunak Independen menjelaskan cara menggunakan layanan manajemen identitas dan akses berbasis cloud ini untuk memungkinkan karyawan mengakses sumber daya dengan aplikasi Anda.
  • Mengautentikasi aplikasi dan pengguna menjelaskan cara aplikasi menggunakan ID Microsoft Entra untuk mengautentikasi pengguna dan aplikasi.
  • Mengotorisasi aplikasi, sumber daya, dan beban kerja membahas otorisasi ketika seseorang berinteraksi dengan manusia dan mengarahkan aplikasi, ketika API bertindak atas nama pengguna, dan ketika aplikasi atau layanan bekerja secara independen.
  • Menyesuaikan token membantu Anda membangun keamanan ke dalam aplikasi dengan token ID dan token akses dari ID Microsoft Entra. Ini menjelaskan informasi yang dapat Anda terima di token ID Microsoft Entra dan bagaimana Anda dapat menyesuaikannya.