Объекты приложения и субъекта-службы в идентификаторе Microsoft Entra
В этой статье описывается регистрация приложений, объекты приложений и субъекты-службы в идентификаторе Microsoft Entra ID, их использование, их использование и их отношение друг к другу. Также представлен многотенантный сценарий для иллюстрации связи между объектом приложения и соответствующими объектами субъекта-службы.
Регистрация приложения
Чтобы делегировать функции управления удостоверениями и доступом к идентификатору Microsoft Entra, приложение должно быть зарегистрировано в клиенте Microsoft Entra. При регистрации приложения с помощью идентификатора Microsoft Entra вы создаете конфигурацию удостоверения для приложения, которая позволяет интегрировать его с идентификатором Microsoft Entra. При регистрации приложения вы выбираете, является ли он одним клиентом или мультитенантным, а также может при необходимости задать универсальный код ресурса (URI перенаправления). Пошаговые инструкции по регистрации приложения см. в кратком руководстве по регистрации приложений.
После завершения регистрации приложения у вас есть глобальный уникальный экземпляр приложения (объект приложения), который находится в домашнем клиенте или каталоге. Кроме того, у вас есть глобальный уникальный идентификатор приложения (идентификатор приложения или клиента). Вы можете добавить секреты или сертификаты и области для работы приложения, настроить фирменную символику приложения в диалоговом окне входа и многое другое.
При регистрации приложения объект приложения и объект субъекта-службы автоматически создаются в домашнем клиенте. Если вы регистрируете или создаете приложение с помощью API Microsoft Graph, создание объекта субъекта-службы является отдельным шагом.
Объект приложения
Приложение Microsoft Entra определяется одним и единственным объектом приложения, который находится в клиенте Microsoft Entra, где приложение зарегистрировано (известное как "домашний" клиент приложения). Объект приложения используется в качестве шаблона или схемы для создания одного или нескольких объектов субъекта-службы. Субъект-служба создается в каждом клиенте, где используется приложение. Как и класс в объектно-ориентированном программировании, объект приложения имеет некоторые статические свойства, применяемые ко всем созданным субъектам-службам (или экземплярам приложения).
Объект приложения описывает три аспекта приложения:
- Как служба может выдавать маркеры для доступа к приложению
- Доступ к ресурсам, к которым может потребоваться приложение
- Действия, которые может предпринять приложение
Страницу Регистрация приложений в Центре администрирования Microsoft Entra можно использовать для перечисления объектов приложений в домашнем клиенте и управления ими.
Сущность приложения Microsoft Graph определяет схему свойств объекта приложения.
Объект субъекта-службы
Чтобы получить доступ к ресурсам, защищенным клиентом Microsoft Entra, сущность, требующая доступа, должна быть представлена субъектом безопасности. Это требование верно для пользователей (участника-пользователя) и приложений (субъект-служба). Субъект безопасности определяет политику доступа и разрешения для пользователя или приложения в клиенте Microsoft Entra. Это позволяет использовать основные функции, такие как проверка подлинности пользователя или приложения во время входа и авторизация во время доступа к ресурсам.
Существует три типа субъекта-службы:
Приложение . Этот тип субъекта-службы является локальным представлением или экземпляром приложения глобального объекта приложения в одном клиенте или каталоге. В этом случае субъект-служба представляет собой конкретный экземпляр, созданный из объекта приложения, и наследует определенные свойства от этого объекта приложения. Субъект-служба создается в каждом клиенте, где используется приложение, и ссылается на глобальный уникальный объект приложения. Объект субъекта-службы определяет, что приложение может на самом деле делать в определенном клиенте, который может получить доступ к приложению и какие ресурсы приложение может получить к ним доступ.
Когда приложению предоставлено разрешение на доступ к ресурсам в клиенте (при регистрации или согласии), создается объект субъекта-службы. При регистрации приложения субъект-служба создается автоматически. Вы также можете создавать объекты субъекта-службы в клиенте с помощью Azure PowerShell, Azure CLI, Microsoft Graph и других средств.
Управляемое удостоверение — этот тип субъекта-службы используется для представления управляемого удостоверения. Управляемые удостоверения устраняют необходимость управления учетными данными разработчиками. Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Если управляемое удостоверение включено, субъект-служба, представляющий это управляемое удостоверение, создается в клиенте. Субъекты-службы, представляющие управляемые удостоверения, могут быть предоставлены доступ и разрешения, но не могут быть обновлены или изменены напрямую.
Устаревшая версия. Этот тип субъекта-службы представляет устаревшее приложение, которое создается до появления регистрации приложений или приложения, созданного с помощью устаревших интерфейсов. Устаревший субъект-служба может иметь учетные данные, имена субъектов-служб, URL-адреса ответа и другие свойства, которые авторизованный пользователь может изменять, но не имеет связанной регистрации приложения. Субъект-служба может использоваться только в клиенте, где он был создан.
Сущность Microsoft Graph ServicePrincipal определяет схему свойств объекта субъекта-службы.
Страницу корпоративных приложений в Центре администрирования Microsoft Entra можно использовать для перечисления субъектов-служб в клиенте и управления ими. Вы можете просмотреть разрешения субъекта-службы, разрешения на согласие пользователя, которые пользователи сделали это согласие, войдите в систему и многое другое.
Связь между объектами приложения и субъектами-службами
Объект приложения — это глобальное представление приложения для использования во всех клиентах, а субъект-служба — локальное представление для использования в определенном клиенте. Объект приложения служит шаблоном, из которого производные общие свойства и свойства по умолчанию используются для создания соответствующих объектов субъекта-службы.
Объект приложения имеет:
- Связь "один к одному" с программным приложением и
- Связь "один ко многим" с соответствующими объектами субъекта-службы
Субъект-служба должен быть создан в каждом клиенте, где используется приложение, что позволяет установить удостоверение для входа и /или доступа к ресурсам, защищенным клиентом. Однотенантное приложение имеет только один субъект-службу (в своем домашнем клиенте), созданный и согласившийся на использование во время регистрации приложения. Мультитенантное приложение также имеет субъект-службу, созданный в каждом клиенте, где пользователь из этого клиента согласился на его использование.
Вывод списка субъектов-служб, связанных с приложением
Субъекты-службы, связанные с объектом приложения, можно найти.
В Центре администрирования Microsoft Entra перейдите к обзору регистрации приложения. Выберите управляемое приложение в локальном каталоге.
Последствия изменения и удаления приложений
Все изменения, внесенные в объект приложения, также отражаются в его объекте субъекта-службы только в домашнем клиенте приложения (клиент, где он был зарегистрирован). Это означает, что удаление объекта приложения также приведет к удалению объекта домашнего субъекта-службы клиента. Однако восстановление этого объекта приложения с помощью пользовательского интерфейса регистрации приложений не восстановит соответствующий субъект-службу. Дополнительные сведения об удалении и восстановлении приложений и их объектах субъекта-службы см. в статье об удалении и восстановлении приложений и объектов субъекта-службы.
Пример
На следующей схеме показана связь между объектом приложения и соответствующими объектами субъекта-службы в контексте примера мультитенантного приложения, называемого приложением HR. В этом примере существует три клиента Microsoft Entra:
- Adatum — клиент, используемый компанией, которая разработала приложение hr
- Contoso — клиент, используемый организацией Contoso , которая является потребителем приложения отдела кадров
- Fabrikam — клиент, используемый организацией Fabrikam , которая также использует приложение отдела кадров.
В этом примере сценария:
Шаг | Описание |
---|---|
1 | Процесс создания объектов приложения и субъекта-службы в домашнем клиенте приложения. |
2 | Когда администраторы Contoso и Fabrikam завершают согласие, в клиенте Microsoft Entra компании создается объект субъекта-службы и назначает разрешения, предоставленные администратором. Кроме того, обратите внимание, что приложение отдела кадров может быть настроено или разработано для предоставления согласия пользователям для индивидуального использования. |
3 | Клиенты-потребители приложения HR (Contoso и Fabrikam) имеют собственный объект субъекта-службы. Каждый представляет свое использование экземпляра приложения во время выполнения, управляемого разрешениями, предоставленными соответствующим администратором. |
Дальнейшие действия
Узнайте, как создать субъект-службу:
- Использование Центра администрирования Microsoft Entra
- Использование Azure PowerShell
- Использование Azure CLI
- Используя Microsoft Graph, а затем используйте Microsoft Graph Explorer для запроса объектов приложения и субъекта-службы.