Bagikan melalui


Mendaftarkan aplikasi

Portal pendaftaran aplikasi platform identitas Microsoft adalah titik masuk utama untuk aplikasi yang menggunakan platform untuk autentikasi dan kebutuhan terkait. Sebagai pengembang, saat mendaftarkan dan mengonfigurasi aplikasi Anda, pilihan yang Anda buat mendorong dan memengaruhi seberapa baik aplikasi Anda memenuhi prinsip Zero Trust. Pendaftaran aplikasi yang efektif terutama mempertimbangkan prinsip-prinsip penggunaan akses dengan hak istimewa paling sedikit dan mengasumsikan pelanggaran. Artikel ini membantu Anda mempelajari tentang proses pendaftaran aplikasi dan persyaratannya untuk memastikan bahwa aplikasi Anda mengikuti pendekatan Zero Trust untuk keamanan.

Manajemen aplikasi di MICROSOFT Entra ID (MICROSOFT Entra ID) adalah proses membuat, mengonfigurasi, mengelola, dan memantau aplikasi dengan aman di cloud. Saat mendaftarkan aplikasi di penyewa Microsoft Entra, Anda mengonfigurasi akses pengguna yang aman.

ID Microsoft Entra mewakili aplikasi berdasarkan objek aplikasi dan perwakilan layanan. Dengan beberapa pengecualian, aplikasi adalah objek aplikasi. Anggap perwakilan layanan sebagai instans aplikasi yang mereferensikan objek aplikasi. Beberapa perwakilan layanan di seluruh direktori dapat mereferensikan satu objek aplikasi.

Anda dapat mengonfigurasi aplikasi untuk menggunakan ID Microsoft Entra melalui tiga metode: di Visual Studio, dengan menggunakan Microsoft Graph API, atau dengan menggunakan PowerShell. Ada pengalaman pengembang di Azure dan di API Explorer di seluruh pusat pengembang. Referensikan keputusan dan tugas yang diperlukan untuk peran pengembang dan IT Pro untuk membangun dan menyebarkan aplikasi yang aman di platform identitas Microsoft.

Siapa yang dapat menambahkan dan mendaftarkan aplikasi

Admin dan, jika diizinkan oleh penyewa, pengguna dan pengembang dapat membuat objek aplikasi dengan mendaftarkan aplikasi di portal Azure. Secara default, semua pengguna dalam direktori dapat mendaftarkan objek aplikasi yang mereka kembangkan. Pengembang objek aplikasi memutuskan aplikasi mana yang berbagi dan memberikan akses ke data organisasi melalui persetujuan.

Ketika pengguna pertama dalam direktori masuk ke aplikasi dan memberikan persetujuan, sistem membuat perwakilan layanan di penyewa yang menyimpan semua informasi persetujuan pengguna. MICROSOFT Entra ID secara otomatis membuat perwakilan layanan untuk aplikasi yang baru terdaftar di penyewa sebelum pengguna mengautentikasi.

Mereka yang ditetapkan setidaknya peran Administrator Aplikasi atau Administrator Aplikasi Cloud dapat melakukan tugas aplikasi tertentu (seperti menambahkan aplikasi dari galeri aplikasi dan mengonfigurasi aplikasi untuk menggunakan proksi aplikasi).

Mendaftarkan objek aplikasi

Sebagai pengembang, Anda mendaftarkan aplikasi yang menggunakan platform identitas Microsoft. Daftarkan aplikasi Anda di portal Azure atau dengan memanggil API aplikasi Microsoft Graph. Setelah Anda mendaftarkan aplikasi, aplikasi berkomunikasi dengan platform identitas Microsoft dengan mengirim permintaan ke titik akhir.

Anda mungkin tidak memiliki izin untuk membuat atau mengubah pendaftaran aplikasi. Ketika administrator tidak memberi Anda izin untuk mendaftarkan aplikasi Anda, tanyakan kepada mereka bagaimana Anda dapat menyampaikan informasi pendaftaran aplikasi yang diperlukan kepada mereka.

Properti pendaftaran aplikasi mungkin menyertakan komponen berikut.

  • Nama, logo, dan penerbit
  • Mengalihkan Pengidentifikasi Sumber Daya Seragam (URI)
  • Rahasia (tombol simetris dan/atau asimetris yang digunakan untuk mengautentikasi aplikasi)
  • Dependensi API (OAuth)
  • API/sumber daya/cakupan yang dipublikasikan (OAuth)
  • Peran aplikasi untuk kontrol akses berbasis peran
  • Metadata dan konfigurasi untuk akses menyeluruh (SSO), provisi pengguna, dan proksi

Bagian pendaftaran aplikasi yang diperlukan adalah pilihan jenis akun yang didukung untuk menentukan siapa yang dapat menggunakan aplikasi Anda berdasarkan jenis akun pengguna. Administrator Microsoft Entra mengikuti model aplikasi untuk mengelola objek aplikasi di portal Azure melalui pengalaman Pendaftaran aplikasi dan menentukan pengaturan aplikasi yang memberi tahu layanan cara mengeluarkan token ke aplikasi.

Selama pendaftaran, Anda menerima identitas aplikasi Anda: ID aplikasi (klien). Aplikasi Anda menggunakan ID kliennya setiap kali melakukan transaksi melalui platform identitas Microsoft.

Praktik terbaik pendaftaran aplikasi

Ikuti praktik terbaik keamanan untuk properti aplikasi saat mendaftarkan aplikasi Anda di ID Microsoft Entra sebagai bagian penting dari penggunaan bisnisnya. Bertujuan untuk mencegah waktu henti atau kompromi yang dapat memengaruhi seluruh organisasi. Rekomendasi berikut membantu Anda mengembangkan aplikasi aman Anda di sekitar prinsip Zero Trust.

  • Gunakan daftar periksa integrasi platform identitas Microsoft untuk memastikan integrasi berkualitas tinggi dan aman. Pertahankan kualitas dan keamanan aplikasi Anda.
  • Tentukan URL pengalihan Anda dengan benar. Referensikan batasan dan batasan URI Pengalihan (URL balasan) untuk menghindari masalah kompatibilitas dan keamanan.
  • Periksa URI pengalihan di pendaftaran aplikasi Anda untuk kepemilikan guna menghindari pengalihan domain. URL pengalihan harus berada di domain yang Anda kenal dan miliki. Tinjau dan hapus URI yang tidak perlu dan tidak digunakan secara teratur. Jangan gunakan URI non-https di aplikasi produksi.
  • Selalu tentukan dan pertahankan pemilik perwakilan aplikasi dan layanan untuk aplikasi terdaftar Anda di penyewa Anda. Hindari aplikasi tanpa sumber (aplikasi dan perwakilan layanan tanpa pemilik yang ditetapkan). Pastikan admin TI dapat dengan mudah dan cepat mengidentifikasi pemilik aplikasi selama keadaan darurat. Jaga agar jumlah pemilik aplikasi tetap kecil. Menyulitkan akun pengguna yang disusupi untuk memengaruhi beberapa aplikasi.
  • Hindari menggunakan pendaftaran aplikasi yang sama untuk beberapa aplikasi. Memisahkan pendaftaran aplikasi membantu Anda mengaktifkan akses dengan hak istimewa paling sedikit dan mengurangi dampak selama pelanggaran.
    • Gunakan pendaftaran aplikasi terpisah untuk aplikasi yang memasukkan pengguna dan aplikasi yang mengekspos data dan operasi melalui API (kecuali digabungkan dengan erat). Pendekatan ini memungkinkan izin untuk API dengan hak istimewa yang lebih tinggi, seperti Microsoft Graph dan kredensial (seperti rahasia dan sertifikat), pada jarak yang jauh dari aplikasi yang masuk dan berinteraksi dengan pengguna.
    • Gunakan pendaftaran aplikasi terpisah untuk aplikasi web dan API. Pendekatan ini membantu memastikan bahwa, jika API web memiliki serangkaian izin yang lebih tinggi, aplikasi klien tidak mewarisinya.
  • Tentukan aplikasi Anda sebagai aplikasi multi-penyewa hanya jika diperlukan. Aplikasi multipenyewa memungkinkan provisi di penyewa selain anda. Mereka memerlukan lebih banyak overhead manajemen untuk memfilter akses yang tidak diinginkan. Kecuali Anda ingin mengembangkan aplikasi sebagai aplikasi multipenyewa, mulailah dengan nilai SignInAudience AzureADMyOrg.

Langkah berikutnya