Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Portal pendaftaran aplikasi platform identitas Microsoftadalah titik masuk utama untuk aplikasi yang menggunakan platform untuk autentikasi dan kebutuhan terkait. Sebagai pengembang, saat Anda mendaftarkan dan mengonfigurasi aplikasi, pilihan Anda mendorong dan memengaruhi seberapa baik aplikasi Anda memenuhi prinsip Zero Trust. Pendaftaran aplikasi yang efektif mempertimbangkan prinsip penggunaan akses dengan hak istimewa paling sedikit dan mengasumsikan pelanggaran. Artikel ini membantu Anda mempelajari tentang proses pendaftaran aplikasi dan persyaratannya untuk memastikan bahwa aplikasi Anda mengikuti pendekatan Zero Trust untuk keamanan.
Manajemen aplikasi di MICROSOFT Entra ID (MICROSOFT Entra ID) membantu Anda membuat, mengonfigurasi, mengelola, dan memantau aplikasi dengan aman di cloud. Saat mendaftarkan aplikasi di penyewa Microsoft Entra, Anda mengonfigurasi akses pengguna yang aman.
ID Microsoft Entra mewakili aplikasi berdasarkan objek aplikasi dan prinsipal layanan. Dengan beberapa pengecualian, aplikasi adalah objek aplikasi. Anggap service principal sebagai instans aplikasi yang mereferensikan objek aplikasi. Beberapa prinsipal layanan di seluruh direktori dapat mereferensikan satu objek aplikasi.
Anda dapat mengonfigurasi aplikasi untuk menggunakan ID Microsoft Entra melalui tiga metode: di Visual Studio, dengan Microsoft Graph API, atau dengan PowerShell. Ada pengalaman pengembang di Azure dan di API Explorer di seluruh pusat pengembang. Referensikan keputusan dan tugas yang diperlukan untuk peran pengembang dan IT Pro untuk membangun dan menyebarkan aplikasi yang aman di platform identitas Microsoft.
Siapa yang dapat menambahkan dan mendaftarkan aplikasi
Admin dan, ketika penyewa mengizinkan pengguna dan pengembang, mungkin membuat objek aplikasi saat mereka mendaftarkan aplikasi di portal Microsoft Azure. Secara default, semua pengguna dalam direktori dapat mendaftarkan objek aplikasi yang mereka kembangkan. Pengembang objek aplikasi memutuskan aplikasi mana yang berbagi dan memberikan akses ke data organisasi melalui persetujuan.
Ketika pengguna pertama dalam direktori masuk ke aplikasi dan memberikan persetujuan, sistem membuat perwakilan layanan di penyewa yang menyimpan semua informasi persetujuan pengguna. Microsoft Entra ID secara otomatis membuat perwakilan layanan untuk aplikasi yang baru terdaftar di penyewa sebelum pengguna melakukan autentikasi.
Pengguna dengan setidaknya peran Administrator Aplikasi atau Administrator Aplikasi Cloud dapat melakukan tugas aplikasi tertentu (seperti menambahkan aplikasi dari galeri aplikasi dan mengonfigurasi aplikasi untuk menggunakan proksi aplikasi).
Mendaftarkan objek aplikasi
Sebagai pengembang, Anda mendaftarkan aplikasi yang menggunakan platform identitas Microsoft. Daftarkan aplikasi Anda di portal Azure atau dengan memanggil API aplikasi Microsoft Graph. Setelah Anda mendaftarkan aplikasi, aplikasi berkomunikasi dengan platform identitas Microsoft dengan mengirim permintaan ke titik akhir.
Anda mungkin tidak memiliki izin untuk membuat atau mengubah pendaftaran aplikasi. Ketika administrator tidak memberi Anda izin untuk mendaftarkan aplikasi Anda, tanyakan kepada mereka bagaimana Anda dapat menyampaikan informasi pendaftaran aplikasi yang diperlukan kepada mereka.
Properti-properti pendaftaran aplikasi mungkin menyertakan komponen berikut.
- Nama, logo, dan penerbit
- Mengalihkan Pengidentifikasi Sumber Daya Seragam (URI)
- Rahasia (tombol simetris dan/atau asimetris yang digunakan untuk mengautentikasi aplikasi)
- Dependensi API (OAuth)
- API/sumber daya/cakupan yang dipublikasikan (OAuth)
- Peran aplikasi untuk kontrol akses berbasis peran
- Metadata dan konfigurasi untuk single sign-on (SSO), penyediaan pengguna, dan proksi
Bagian pendaftaran aplikasi yang diperlukan adalah pilihan jenis akun yang didukung untuk menentukan siapa yang dapat menggunakan aplikasi Anda berdasarkan jenis akun pengguna. Administrator Microsoft Entra mengikuti model aplikasi untuk mengelola objek aplikasi di portal Azure melalui pengalaman Pendaftaran aplikasi dan menentukan pengaturan aplikasi yang memberi tahu layanan cara mengeluarkan token ke aplikasi.
Selama pendaftaran, Anda menerima identitas aplikasi Anda: ID aplikasi (klien). Aplikasi Anda menggunakan ID kliennya setiap kali melakukan transaksi melalui platform identitas Microsoft.
Praktik terbaik pendaftaran aplikasi
Ikuti praktik terbaik keamanan untuk properti aplikasi saat Anda mendaftarkan aplikasi Anda di ID Microsoft Entra sebagai bagian penting dari penggunaan bisnisnya. Bertujuan untuk mencegah pemadaman atau kompromi yang dapat memengaruhi seluruh organisasi. Rekomendasi berikut membantu Anda mengembangkan aplikasi aman Anda di sekitar prinsip Zero Trust.
- Gunakan daftar periksa integrasi platform identitas Microsoft untuk memastikan integrasi berkualitas tinggi dan aman. Pertahankan kualitas dan keamanan aplikasi Anda.
- Tentukan URL pengalihan Anda dengan benar. Rujuk pembatasan dan batasan URI Pengalihan (URL balasan) untuk menghindari masalah kompatibilitas dan keamanan.
- Periksa URI pengalihan di pendaftaran aplikasi Anda untuk memastikan kepemilikan guna menghindari pengambilalihan domain. URL pengalihan harus berada di domain yang Anda kenal dan miliki. Tinjau dan hapus URI yang tidak perlu dan tidak digunakan secara teratur. Jangan gunakan URI non-https di aplikasi produksi.
- Selalu tentukan dan pertahankan pemilik aplikasi dan layanan utama untuk aplikasi terdaftar di penyewa Anda. Hindari aplikasi yatim piatu (aplikasi dan service principals tanpa pemilik yang ditetapkan). Pastikan admin TI dapat dengan mudah dan cepat mengidentifikasi pemilik aplikasi selama keadaan darurat. Jaga agar jumlah pemilik aplikasi tetap kecil. Menyulitkan akun pengguna yang disusupi untuk memengaruhi beberapa aplikasi.
-
Hindari menggunakan pendaftaran yang sama untukbeberapa aplikasi. Memisahkan pendaftaran aplikasi membantu Anda mengaktifkan akses dengan hak istimewa paling sedikit dan mengurangi dampak selama pelanggaran.
- Gunakan pendaftaran aplikasi terpisah untuk aplikasi yang mendaftarkan pengguna masuk dan aplikasi yang mengekspos data serta operasi melalui API (kecuali jika digabungkan dengan erat). Pendekatan ini memungkinkan izin untuk API dengan hak istimewa yang lebih tinggi, seperti Microsoft Graph dan kredensial (seperti rahasia dan sertifikat), pada jarak yang jauh dari aplikasi yang masuk dan berinteraksi dengan pengguna.
- Gunakan pendaftaran aplikasi terpisah untuk aplikasi web dan API. Pendekatan ini membantu memastikan bahwa, jika API web memiliki serangkaian izin yang lebih tinggi, aplikasi klien tidak mewarisinya.
- Tentukan aplikasi Anda sebagai aplikasi multi-tenant hanya jika diperlukan. Aplikasi multipenyewa memungkinkan penyediaan di penyewa selain Anda. Mereka memerlukan lebih banyak overhead manajemen untuk memfilter akses yang tidak diinginkan. Kecuali Anda ingin mengembangkan aplikasi sebagai aplikasi multipenyewa, mulailah dengan nilai SignInAudience AzureADMyOrg.
Langkah berikutnya
- Rujuk dokumentasi platform identitas Microsoft untuk mempelajari cara mendaftarkan jenis aplikasi. Contoh jenis aplikasi termasuk aplikasi halaman tunggal (SPA), aplikasi web, API web, aplikasi desktop, aplikasi seluler, dan layanan latar belakang, daemon, dan skrip.
- Mengintegrasikan aplikasi dengan ID Microsoft Entra dan platform identitas Microsoft membantu pengembang untuk membangun dan mengintegrasikan aplikasi yang dapat diamankan oleh pro TI di perusahaan.
- Memperoleh otorisasi untuk mengakses sumber daya membantu Anda memahami cara terbaik memastikan Zero Trust saat memperoleh izin akses sumber daya untuk aplikasi Anda.
- Praktik terbaik otorisasi membantu Anda menerapkan model otorisasi, izin, dan persetujuan terbaik untuk aplikasi Anda.