Bagaimana dan mengapa aplikasi ditambahkan ke ID Microsoft Entra

  • Artikel

Ada dua representasi aplikasi di ID Microsoft Entra:

  • Objek aplikasi - Meskipun ada pengecualian, objek aplikasi dapat dianggap definisi aplikasi.
  • Layanan utama - Dapat dianggap sebagai contoh aplikasi. Layanan utama umumnya mereferensikan objek aplikasi, dan satu objek aplikasi dapat dirujuk oleh beberapa prinsipal layanan di seluruh direktori.

Apa itu objek aplikasi dan dari mana asalnya?

Anda dapat mengelola objek aplikasi di pusat admin Microsoft Entra melalui pengalaman Pendaftaran aplikasi. Objek aplikasi menjelaskan aplikasi ke ID Microsoft Entra dan dapat dianggap sebagai definisi aplikasi, memungkinkan layanan untuk mengetahui cara mengeluarkan token ke aplikasi berdasarkan pengaturannya. Objek aplikasi hanya akan ada di direktori rumahnya, bahkan jika itu adalah perangkat layanan utama pendukung aplikasi multi-penyewa di direktori lain. Objek aplikasi dapat mencakup (tetapi tidak terbatas pada) salah satu hal berikut:

  • Nama, logo, dan penerbit
  • URI Pengalihan
  • Rahasia (tombol simetris dan/atau asimetris yang digunakan untuk mengautentikasi aplikasi)
  • Dependensi API (OAuth)
  • API/sumber daya/cakupan yang dipublikasikan (OAuth)
  • Peran aplikasi
  • Metadata dan konfigurasi akses menyeluruh (SSO)
  • Metadata dan konfigurasi penyediaan pengguna
  • Metadata proksi dan konfigurasi

Objek aplikasi dapat dibuat melalui beberapa jalur, termasuk:

  • Pendaftaran aplikasi di pusat admin Microsoft Entra
  • Membuat aplikasi baru menggunakan Visual Studio dan mengonfigurasinya untuk menggunakan autentikasi Microsoft Entra
  • Saat admin menambahkan aplikasi dari galeri aplikasi (yang juga akan membuat layanan utama)
  • Menggunakan Microsoft Graph API atau PowerShell untuk membuat aplikasi baru
  • Banyak lainnya termasuk berbagai pengalaman pengembang di Azure dan pengalaman penjelajah API di seluruh pusat pengembang

Apa itu layanan utama dan dari mana mereka berasal?

Anda dapat mengelola perwakilan layanan di pusat admin Microsoft Entra melalui pengalaman Aplikasi Perusahaan. Perwakilan layanan adalah yang mengatur aplikasi yang terhubung ke ID Microsoft Entra dan dapat dianggap sebagai instans aplikasi di direktori Anda. Untuk aplikasi tertentu, aplikasi dapat memiliki paling banyak satu objek aplikasi (yang terdaftar di direktori "rumah"), dan satu atau beberapa objek perwakilan layanan yang mewakili instans aplikasi di setiap direktori tempatnya bertindak.

Layanan utama dapat mencakup:

  • Referensi kembali ke objek aplikasi melalui properti ID aplikasi
  • Catatan penetapan peran aplikasi pengguna dan grup lokal
  • Catatan izin pengguna dan admin lokal yang diberikan ke aplikasi
    • Misalnya: izin untuk aplikasi untuk mengakses email pengguna tertentu
  • Catatan kebijakan lokal termasuk kebijakan Akses Bersyarat
  • Rekaman pengaturan lokal alternatif untuk aplikasi
    • Aturan transformasi klaim
    • Pemetaan atribut (Provisi pengguna)
    • Peran aplikasi khusus direktori (jika aplikasi mendukung peran kustom)
    • Nama atau logo spesifik direktori

Seperti objek aplikasi, layanan utama juga dapat dibuat melalui beberapa jalur termasuk:

  • Saat pengguna masuk ke aplikasi pihak ketiga yang terintegrasi dengan ID Microsoft Entra
    • Selama masuk, pengguna diminta untuk memberikan izin kepada aplikasi untuk mengakses profil mereka dan izin lainnya. Orang pertama yang memberikan persetujuan menyebabkan layanan utama yang mewakili aplikasi ditambahkan ke direktori.
  • Saat pengguna masuk ke layanan online Microsoft seperti Microsoft 365.
    • Saat Anda berlangganan Microsoft 365 atau memulai uji coba, satu atau beberapa layanan utama dibuat di direktori yang mewakili berbagai layanan yang digunakan untuk memberikan semua fungsionalitas yang terkait dengan Microsoft 365.
    • Beberapa layanan Microsoft 365 seperti SharePoint membuat layanan utama secara berkelanjutan untuk memungkinkan komunikasi yang aman antar komponen termasuk alur kerja.
  • Saat admin menambahkan aplikasi dari galeri aplikasi (ini juga akan membuat objek aplikasi yang mendasarinya)
  • Menambahkan aplikasi untuk menggunakan proksi aplikasi Microsoft Entra
  • Koneksi aplikasi untuk SSO menggunakan SAML atau SSO kata sandi
  • Secara terprogram melalui Microsoft Graph API atau PowerShell

Aplikasi memiliki satu objek aplikasi dalam direktori rumahnya yang dirujuk oleh satu atau lebih layanan utama di setiap direktori tempatnya beroperasi (termasuk direktori utama aplikasi).

Tampilkan hubungan antara objek aplikasi dan layanan utama

Dalam diagram sebelumnya, Microsoft mempertahankan dua direktori secara internal (ditunjukkan di sebelah kiri) yang digunakannya untuk menerbitkan aplikasi:

  • Satu untuk Microsoft Apps (direktori layanan Microsoft)
  • Satu untuk aplikasi pihak ketiga yang telah diintegrasikan sebelumnya (Direktori galeri aplikasi)

Penerbit/vendor aplikasi yang berintegrasi dengan MICROSOFT Entra ID diharuskan memiliki direktori penerbitan (ditampilkan di sebelah kanan sebagai "Beberapa perangkat lunak sebagai layanan (SaaS) Direktori").

Aplikasi yang Anda tambahkan sendiri (dinyatakan sebagai Aplikasi (milikmu) dalam diagram) meliputi:

  • Aplikasi yang Anda kembangkan (terintegrasi dengan ID Microsoft Entra)
  • Aplikasi yang Anda sambungkan untuk SSO
  • Aplikasi yang Anda terbitkan menggunakan proksi aplikasi Microsoft Entra

Catatan dan pengecualian

  • Tidak semua layanan utama menunjuk kembali ke objek aplikasi. Ketika ID Microsoft Entra awalnya dibangun, layanan yang disediakan untuk aplikasi lebih terbatas, dan perwakilan layanan cukup untuk membuat identitas aplikasi. Layanan utama yang asli lebih dekat dalam bentuk ke akun layanan Active Directory lokal. Untuk alasan ini, masih mungkin untuk membuat perwakilan layanan melalui jalur yang berbeda, seperti menggunakan Microsoft Graph PowerShell, tanpa terlebih dahulu membuat objek aplikasi. Microsoft Graph API memerlukan objek aplikasi sebelum membuat layanan utama.
  • Tidak semua informasi yang dijelaskan di atas saat ini terekspos secara terprogram. Berikut ini hanya tersedia di UI:
    • Aturan transformasi klaim
    • Pemetaan atribut (Provisi pengguna)
  • Untuk informasi selengkapnya tentang perwakilan layanan dan objek aplikasi, lihat dokumentasi referensi Microsoft Graph API:

Mengapa aplikasi berintegrasi dengan MICROSOFT Entra ID?

Aplikasi ditambahkan ke ID Microsoft Entra untuk menggunakan satu atau beberapa layanan yang disediakannya termasuk:

  • Autentikasi dan Otorisasi aplikasi
  • Autentikasi dan Otorisasi pengguna
  • SSO menggunakan federasi atau kata sandi
  • Penyediaan dan sinkronisasi pengguna
  • Kontrol akses berbasis peran (RBAC) - Gunakan direktori untuk menentukan peran aplikasi untuk melakukan pemeriksaan otorisasi berbasis peran dalam aplikasi
  • Layanan otorisasi OAuth - Digunakan oleh Microsoft 365 dan aplikasi Microsoft lainnya untuk mengotorisasi akses ke API/sumber daya
  • Penerbitan dan proksi aplikasi - Publikasikan aplikasi dari jaringan pribadi ke internet
  • Atribut ekstensi skema direktori - Memperluas skema perwakilan layanan dan objek pengguna untuk menyimpan data tambahan di ID Microsoft Entra

Siapa memiliki izin untuk menambahkan aplikasi ke instans Microsoft Entra saya?

Meskipun ada beberapa tugas yang hanya dapat dilakukan Administrator Global (seperti menambahkan aplikasi dari galeri aplikasi, dan mengonfigurasi aplikasi untuk menggunakan Proksi Aplikasi) secara default semua pengguna di direktori Anda memiliki hak untuk mendaftarkan objek aplikasi yang mereka kembangkan dan kebijaksanaan atas aplikasi mana yang mereka bagikan/berikan akses ke data organisasi mereka melalui persetujuan. Jika seseorang adalah pengguna pertama di direktori Anda yang masuk ke aplikasi dan memberikan persetujuan, itu akan membuat perwakilan layanan di penyewa Anda. Jika tidak, informasi pemberian persetujuan akan disimpan pada perwakilan layanan yang ada.

Memungkinkan pengguna untuk mendaftar dan menyetujui aplikasi mungkin awalnya terdengar menyangkut, tetapi ingatlah alasan berikut:

  • Aplikasi telah dapat menggunakan Windows Server Active Directory untuk autentikasi pengguna selama bertahun-tahun tanpa mengharuskan aplikasi didaftarkan atau direkam di direktori. Sekarang organisasi akan meningkatkan visibilitas untuk persis berapa banyak aplikasi yang menggunakan direktori dan untuk tujuan apa.
  • Mendelegasikan tanggung jawab ini kepada pengguna meniadakan perlunya proses pendaftaran dan penerbitan aplikasi berbasis admin. Dengan Layanan Federasi Direktori Aktif (ADFS) kemungkinan admin harus menambahkan aplikasi sebagai pihak yang mengandalkan atas nama pengembang mereka. Sekarang pengembang dapat melakukan layanan mandiri.
  • Pengguna yang masuk ke aplikasi menggunakan akun organisasi mereka untuk tujuan bisnis adalah hal yang baik. Jika mereka kemudian meninggalkan organisasi, mereka akan secara otomatis kehilangan akses ke akun mereka dalam aplikasi yang mereka gunakan.
  • Memiliki catatan data yang dibagikan dengan aplikasi yang merupakan hal yang baik. Data lebih dapat diangkut dari sebelumnya dan berguna untuk memiliki catatan yang jelas tentang siapa yang berbagi data apa dengan aplikasi mana.
  • Pemilik API yang menggunakan ID Microsoft Entra untuk OAuth memutuskan dengan tepat izin apa yang dapat diberikan pengguna ke aplikasi dan izin mana yang mengharuskan admin untuk menyetujuinya. Hanya admin yang dapat menyetujui cakupan yang lebih besar dan izin yang lebih signifikan, sementara persetujuan pengguna tercakup dalam data dan kapabilitas pengguna sendiri.
  • Saat pengguna menambahkan atau mengizinkan aplikasi mengakses data mereka, peristiwa tersebut dapat diaudit sehingga Anda dapat melihat Laporan Audit dalam pusat admin Microsoft Entra untuk menentukan bagaimana aplikasi ditambahkan ke direktori.

Jika Anda masih ingin mencegah pengguna di direktori Anda mendaftarkan aplikasi dan masuk ke aplikasi tanpa persetujuan administrator, ada dua pengaturan yang dapat Anda ubah untuk menonaktifkan kemampuan tersebut:

  • Untuk mengubah pengaturan persetujuan pengguna di organisasi Anda, lihat Mengonfigurasi cara pengguna menyetujui aplikasi.

  • Untuk mencegah pengguna mendaftarkan aplikasi mereka sendiri:

    1. Di pusat admin Microsoft Entra, telusuri pengaturan Pengguna Identitas>Pengguna>.
    2. Ubah Pengguna dapat mendaftarkan aplikasi ke No.