Membuat aplikasi perusahaan dari aplikasi multipenyewa di MICROSOFT Entra ID

Dalam artikel ini, Anda akan mempelajari cara membuat aplikasi perusahaan di penyewa Anda menggunakan ID klien untuk aplikasi multipenyewa. Aplikasi perusahaan mengacu pada perwakilan layanan dalam penyewa. Perwakilan layanan yang dibahas dalam artikel ini adalah representasi lokal, atau instans aplikasi, dari objek aplikasi global dalam satu penyewa atau direktori.

Sebelum Anda melanjutkan untuk menambahkan aplikasi menggunakan salah satu opsi ini, periksa apakah aplikasi perusahaan sudah ada di penyewa Anda dengan mencoba masuk ke aplikasi. Jika proses masuk berhasil, aplikasi perusahaan sudah ada di penyewa Anda.

Jika Anda telah memverifikasi bahwa aplikasi tidak ada di penyewa Anda, lanjutkan dengan salah satu cara berikut untuk menambahkan aplikasi perusahaan ke penyewa Anda.

Prasyarat

Untuk menambahkan aplikasi perusahaan ke penyewa Microsoft Entra, Anda memerlukan:

• Akun pengguna Microsoft Entra. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut: Administrator Aplikasi Cloud, atau Administrator Aplikasi.
• ID klien (juga disebut appId di Microsoft Graph) dari aplikasi multipenyewa.

Membuat aplikasi perusahaan

Jika Anda telah diberikan URL persetujuan admin, navigasikan ke URL melalui browser web untuk memberikan persetujuan admin seluruh penyewa ke aplikasi. Memberikan persetujuan admin seluruh penyewa ke aplikasi akan menambahkannya ke penyewa Anda. URL persetujuan admin seluruh penyewa mengikuti format berikut:

https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com

Mana:

• {client-id} adalah ID klien aplikasi (juga dikenal sebagai appId).

Catatan

Jika Anda mencoba menggunakan aplikasi perusahaan, dan perwakilan layanan belum dibuat di penyewa Anda, Entra akan merespons dengan (401) Kesalahan tidak sah yang menyatakan: "Aplikasi klien {appId} kehilangan perwakilan layanan di penyewa {tenantId}." Untuk mengatasi hal ini, melakukan persetujuan dengan URL persetujuan admin seperti yang disebutkan di atas akan membuat instans perwakilan layanan di penyewa Anda dan menyelesaikan masalah.

1. Jalankan connect-MgGraph -Scopes "Application.ReadWrite.All" dan masuk dengan setidaknya peran Administrator Aplikasi Cloud.

2. Kemudian, jalankan perintah berikut untuk membuat aplikasi perusahaan:

   New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444
   

3. Untuk menghapus aplikasi perusahaan yang Anda buat, jalankan perintah :

   Remove-MgServicePrincipal
      -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc
   
   

Anda dapat menggunakan klien API seperti Graph Explorer untuk bekerja dengan Microsoft Graph.

1. Berikan izin kepada Application.ReadWrite.All aplikasi klien.

2. Untuk membuat aplikasi perusahaan, jalankan kueri berikut. appId adalah ID klien aplikasi.

   POST https://graph.microsoft.com/v1.0/servicePrincipals
   Content-type: application/json
   
   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444"
   }
   
   

3. Untuk menghapus aplikasi perusahaan yang Anda buat, jalankan kueri.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')
   

1. Untuk membuat aplikasi perusahaan, jalankan perintah berikut:

   az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444
   

2. Untuk menghapus aplikasi perusahaan yang Anda buat, jalankan perintah :

   az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc
   
   

Langkah berikutnya

• Menambahkan peran RBAC ke aplikasi perusahaan
• Menetapkan pengguna ke aplikasi Anda