Objek perwakilan aplikasi dan layanan di ID Microsoft Entra
Artikel ini menjelaskan pendaftaran aplikasi, objek aplikasi, dan perwakilan layanan di ID Microsoft Entra, apa itu, bagaimana mereka digunakan, dan bagaimana mereka terkait satu sama lain. Skenario contoh multipenyewa juga disajikan untuk mengilustrasikan hubungan antara objek aplikasi aplikasi dan objek perwakilan layanan yang sesuai.
Pendaftaran aplikasi
Untuk mendelegasikan fungsi manajemen identitas dan akses ke ID Microsoft Entra, aplikasi harus terdaftar di penyewa Microsoft Entra. Saat mendaftarkan aplikasi dengan ID Microsoft Entra, Anda membuat konfigurasi identitas untuk aplikasi yang memungkinkannya berintegrasi dengan ID Microsoft Entra. Saat mendaftarkan aplikasi, Anda memilih apakah itu penyewa tunggal, atau multipenyewa, dan dapat secara opsional mengatur URI pengalihan. Untuk instruksi langkah demi langkah tentang mendaftarkan aplikasi, lihat mulai cepat pendaftaran aplikasi.
Setelah menyelesaikan pendaftaran aplikasi, Anda memiliki instans aplikasi yang unik secara global (objek aplikasi) yang berada dalam penyewa atau direktori rumah Anda. Anda juga memiliki ID unik global untuk aplikasi Anda (ID aplikasi/klien). Anda dapat menambahkan rahasia atau sertifikat dan cakupan untuk membuat aplikasi berfungsi, menyesuaikan branding aplikasi Anda dalam dialog masuk, dan banyak lagi.
Jika Anda mendaftarkan aplikasi, objek aplikasi dan objek perwakilan layanan secara otomatis dibuat di penyewa rumah Anda. Jika Anda mendaftarkan/membuat aplikasi menggunakan API Microsoft Graph, membuat objek perwakilan layanan adalah langkah terpisah.
Objek aplikasi
Aplikasi Microsoft Entra didefinisikan oleh satu-satunya objek aplikasi, yang berada di penyewa Microsoft Entra tempat aplikasi terdaftar (dikenal sebagai penyewa "rumah" aplikasi). Objek aplikasi digunakan sebagai templat atau cetak biru untuk membuat satu atau beberapa objek perwakilan layanan. Perwakilan layanan dibuat di setiap penyewa tempat aplikasi digunakan. Mirip dengan kelas dalam pemrograman berorientasi objek, objek aplikasi memiliki beberapa properti statis yang diterapkan ke semua perwakilan layanan yang dibuat (atau instans aplikasi).
Objek aplikasi menjelaskan tiga aspek aplikasi:
- Bagaimana layanan dapat mengeluarkan token untuk mengakses aplikasi
- Sumber daya yang mungkin perlu diakses aplikasi
- Tindakan yang dapat dilakukan aplikasi
Anda dapat menggunakan halaman Pendaftaran aplikasi di pusat admin Microsoft Entra untuk mencantumkan dan mengelola objek aplikasi di penyewa rumah Anda.
Entitas Aplikasi Microsoft Graph menentukan skema untuk properti objek aplikasi.
Objek perwakilan layanan
Untuk mengakses sumber daya yang diamankan oleh penyewa Microsoft Entra, entitas yang memerlukan akses harus diwakili oleh prinsip keamanan. Persyaratan ini berlaku untuk pengguna (prinsipal pengguna) dan aplikasi (perwakilan layanan). Prinsip keamanan menentukan kebijakan akses dan izin untuk pengguna/aplikasi di penyewa Microsoft Entra. Ini memungkinkan fitur inti seperti autentikasi pengguna/aplikasi selama masuk, dan otorisasi selama akses sumber daya.
Ada tiga jenis perwakilan layanan:
Aplikasi - Jenis perwakilan layanan ini adalah representasi lokal, atau instans aplikasi, dari objek aplikasi global dalam satu penyewa atau direktori. Dalam hal ini, perwakilan layanan adalah instans konkret yang dibuat dari objek aplikasi dan mewarisi properti tertentu dari objek aplikasi tersebut. Perwakilan layanan dibuat di setiap penyewa tempat aplikasi digunakan dan mereferensikan objek aplikasi yang unik secara global. Objek perwakilan layanan menentukan apa yang sebenarnya dapat dilakukan aplikasi di penyewa tertentu, yang dapat mengakses aplikasi, dan sumber daya apa yang dapat diakses aplikasi.
Ketika aplikasi diberikan izin untuk mengakses sumber daya di penyewa (setelah pendaftaran atau persetujuan), objek perwakilan layanan dibuat. Saat Anda mendaftarkan aplikasi, perwakilan layanan dibuat secara otomatis. Anda juga dapat membuat objek perwakilan layanan di penyewa menggunakan Azure PowerShell, Azure CLI, Microsoft Graph, dan alat lainnya.
Identitas terkelola - Jenis perwakilan layanan ini digunakan untuk mewakili identitas terkelola. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola kredensial. Identitas terkelola menyediakan identitas untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Microsoft Entra. Saat identitas terkelola diaktifkan, perwakilan layanan yang mewakili identitas terkelola dibuat di penyewa Anda. Perwakilan layanan yang mewakili identitas terkelola dapat diberikan akses dan izin, tetapi tidak dapat diperbarui atau dimodifikasi secara langsung.
Warisan - Jenis perwakilan layanan ini mewakili aplikasi warisan, yang merupakan aplikasi yang dibuat sebelum pendaftaran aplikasi diperkenalkan atau aplikasi yang dibuat melalui pengalaman warisan. Perwakilan layanan warisan dapat memiliki kredensial, nama perwakilan layanan, URL balasan, dan properti lain yang dapat diedit pengguna yang berwenang, tetapi tidak memiliki pendaftaran aplikasi terkait. Perwakilan layanan hanya dapat digunakan di penyewa tempat layanan dibuat.
Entitas Microsoft Graph ServicePrincipal menentukan skema untuk properti objek perwakilan layanan.
Anda dapat menggunakan halaman Aplikasi perusahaan di pusat admin Microsoft Entra untuk mencantumkan dan mengelola perwakilan layanan dalam penyewa. Anda dapat melihat izin perwakilan layanan, izin yang disetujui pengguna, yang telah dilakukan pengguna persetujuan tersebut, informasi masuk, dan lainnya.
Hubungan antara objek aplikasi dan perwakilan layanan
Objek aplikasi adalah representasi global aplikasi Anda untuk digunakan di semua penyewa, dan perwakilan layanan adalah representasi lokal untuk digunakan dalam penyewa tertentu. Objek aplikasi berfungsi sebagai templat tempat properti umum dan default diturunkan untuk digunakan dalam membuat objek perwakilan layanan yang sesuai.
Objek aplikasi memiliki:
- Hubungan satu-ke-satu dengan aplikasi perangkat lunak, dan
- Hubungan satu-ke-banyak dengan objek perwakilan layanan yang sesuai
Perwakilan layanan harus dibuat di setiap penyewa tempat aplikasi digunakan, memungkinkannya untuk membuat identitas untuk masuk dan/atau akses ke sumber daya yang diamankan oleh penyewa. Aplikasi penyewa tunggal hanya memiliki satu perwakilan layanan (di penyewa rumahnya), dibuat dan disetujui untuk digunakan selama pendaftaran aplikasi. Aplikasi multipenyewa juga memiliki perwakilan layanan yang dibuat di setiap penyewa di mana pengguna dari penyewa tersebut telah menyetujui penggunaannya.
Mencantumkan perwakilan layanan yang terkait dengan aplikasi
Anda dapat menemukan perwakilan layanan yang terkait dengan objek aplikasi.
Di pusat admin Microsoft Entra, navigasikan ke gambaran umum pendaftaran aplikasi. Pilih Aplikasi terkelola di direktori lokal.
Konsekuensi memodifikasi dan menghapus aplikasi
Setiap perubahan yang Anda buat pada objek aplikasi Anda juga tercermin dalam objek perwakilan layanannya hanya di penyewa rumah aplikasi (penyewa tempatnya terdaftar). Ini berarti bahwa menghapus objek aplikasi juga akan menghapus objek perwakilan layanan penyewa rumahnya. Namun, memulihkan objek aplikasi tersebut melalui UI pendaftaran aplikasi tidak akan memulihkan perwakilan layanan yang sesuai. Untuk informasi selengkapnya tentang penghapusan dan pemulihan aplikasi dan objek perwakilan layanannya, lihat menghapus dan memulihkan aplikasi dan objek perwakilan layanan.
Contoh
Diagram berikut mengilustrasikan hubungan antara objek aplikasi aplikasi dan objek perwakilan layanan terkait dalam konteks sampel aplikasi multipenyewa yang disebut aplikasi HR. Ada tiga penyewa Microsoft Entra dalam skenario contoh ini:
- Adatum - Penyewa yang digunakan oleh perusahaan yang mengembangkan aplikasi SDM
- Contoso - Penyewa yang digunakan oleh organisasi Contoso, yang merupakan konsumen aplikasi SDM
- Fabrikam - Penyewa yang digunakan oleh organisasi Fabrikam, yang juga menggunakan aplikasi SDM
Dalam contoh skenario ini:
Langkah | Deskripsi |
---|---|
1 | Proses pembuatan aplikasi dan objek perwakilan layanan di penyewa rumah aplikasi. |
2 | Ketika administrator Contoso dan Fabrikam menyelesaikan persetujuan, objek perwakilan layanan dibuat di penyewa Microsoft Entra perusahaan mereka dan menetapkan izin yang diberikan administrator. Perhatikan juga bahwa aplikasi HR dapat dikonfigurasi/dirancang untuk memungkinkan persetujuan oleh pengguna untuk penggunaan individual. |
3 | Penyewa konsumen aplikasi HR (Contoso dan Fabrikam) masing-masing memiliki objek perwakilan layanan mereka sendiri. Masing-masing mewakili penggunaan instans aplikasi pada runtime, yang diatur oleh izin yang disetujui oleh administrator masing-masing. |
Langkah berikutnya
Pelajari cara membuat perwakilan layanan:
- Menggunakan pusat admin Microsoft Entra
- Menggunakan Azure PowerShell
- Menggunakan Azure CLI
- Menggunakan Microsoft Graph lalu gunakan Microsoft Graph Explorer untuk mengkueri objek aplikasi dan perwakilan layanan.