Microsoft Entra-apps beheren en bewaken
Nu u uw eerste geïntegreerde Microsoft Entra-toepassing hebt geïmplementeerd, bent u van plan om uitgebreidere aspecten van de functionaliteit te verkennen die zich richten op beheer- en onderhoudstaken. U wilt er ook voor zorgen dat u aanvullende opmerkingen over multitenant-toepassingen identificeert.
Wat zijn algemene beheer- en onderhoudstaken met betrekking tot geïntegreerde Microsoft Entra-apps?
Het implementeren van geïntegreerde Microsoft Entra-apps omvat de volgende speciale overwegingen, waarvan sommige mogelijk extra beheer- en onderhoudstaken vereisen:
Houd alle omleidings-URI's (Uniform Resource Identifiers) bij die zijn gekoppeld aan uw toepassingen, inclusief de bijbehorende DNS-records (Domain Name Service).
Beveilig web-apps door ervoor te zorgen dat omleidings-URI's overeenkomen met versleutelde eindpunten.
Referenties onderhouden voor web-apps, web-API's en daemon-apps.
Wanneer u geheimen gebruikt, kunt u overwegen om het beheer te automatiseren, inclusief de rotatie.
Pas het principe van minimale bevoegdheden toe bij het configureren van het machtigingsbereik van uw toepassingen. Toepassingen moeten alleen aanvullende machtigingen aanvragen wanneer dat nodig is.
Gebruik waar mogelijk gedelegeerde machtigingen in plaats van toepassingsmachtigingen.
Gebruik tijdens de ontwikkeling de Microsoft Authentication Library in plaats van rechtstreeks te programmeren op protocollen zoals OAuth 2.0 en Open ID.
Notitie
De Microsoft Authentication Library biedt een gebruiksvriendelijke benadering voor het implementeren van een breed scala aan verificatiescenario's, waaronder voorwaardelijke toegang, apparaatbrede eenmalige aanmelding (SSO) en tokencaching.
Notitie
Deze module is niet bedoeld om volledige richtlijnen en best practices te bieden met betrekking tot het integreren van cloudtoepassingen met Microsoft Entra ID, maar is bedoeld om concepten van Microsoft Entra-verificatie en multitenancy te introduceren.
Wat zijn aanvullende overwegingen met betrekking tot geïntegreerde Microsoft Entra-apps met meerdere tenants?
Wanneer u Microsoft Entra-scenario's met meerdere tenants implementeert, moet u uw toepassing configureren om aanmeldingen van een Microsoft Entra-tenant te accepteren. Gebruikers in deze tenants hebben toegang tot de app nadat ze relevante toestemming hebben verleend die door uw app is aangevraagd.
Er zijn vier primaire elementen vereist als onderdeel van het implementeren van een multitenant-app:
- De app registreren als multitenant
- De app configureren voor het verzenden van aanvragen naar het /common-eindpunt
- Code toevoegen om meerdere verlenerwaarden te beheren
- Bepalingen opnemen om te reageren op toestemming van de gebruiker en de beheerder
De app registreren als multitenant
Uw app registreren als multitenant:
Gebruik het tekstvak Zoekbronnen, services en documenten om te zoeken naar app-registratie en selecteer in de lijst met resultaten in de sectie Azure-services de optie App-registratie.
Selecteer Alle registraties en selecteer de can-app.
Selecteer de optie Ondersteunde accounttypen , selecteer vervolgens onder Ondersteunde accounttypenAccounts in een organisatiemap (Elke Microsoft Entra-map - Multitenant) en selecteer Opslaan.
Microsoft Entra ID vereist dat de app-id-URI van de app wereldwijd uniek is. Voor een app met één tenant moet de app-id-URI uniek zijn binnen die tenant. Voor een multitenant-app moet deze wereldwijd uniek zijn. Om aan deze vereiste te voldoen, moet de hostnaam van de app-id-URI overeenkomen met een geverifieerd domein van de Microsoft Entra-tenant.
De app configureren voor het verzenden van aanvragen naar het /common-eindpunt
In een app met één tenant worden aanmeldingsaanvragen verzonden naar het aanmeldingseindpunt van de tenant. Voor contoso.com is https://login.microsoftonline.com/contoso.comhet bijbehorende eindpunt bijvoorbeeld . Aanvragen die gericht zijn op dat eindpunt, staan aanmelding van gebruikers of gasten toe aan de bijbehorende Microsoft Entra-tenant. Met een multitenant-app kunt u niet vooraf bepalen welke tenant wordt gebruikt, dus u gebruikt het https://login.microsoftonline.com/common eindpunt, dat alle Microsoft Entra-tenants dient.
Code toevoegen om meerdere verlenerwaarden te beheren
Webtoepassingen en web-API's moeten tokens kunnen valideren vanuit het Microsoft Identity Platform. Hiervoor is het implementeren van logica vereist waarmee wordt bepaald welke verlenerwaarden geldig zijn en welke niet, op basis van het tenant-id-gedeelte van de waarde van de verlener. Raadpleeg de documentatie waarnaar wordt verwezen in de samenvattingseenheid van deze cursus voor meer informatie.
Bepalingen opnemen om te reageren op toestemming van de gebruiker en de beheerder
Voor een multitenant-toepassing vindt de eerste registratie van een app plaats in de Microsoft Entra-tenant die wordt gebruikt door de app-ontwikkelaar. Wanneer afzonderlijke gebruikers van verschillende Microsoft Entra-tenants zich voor het eerst aanmelden bij de app, wordt elk van hen gevraagd toestemming te geven voor de machtigingen die door de toepassing zijn aangevraagd. Dit zou op zijn beurt leiden tot het maken van een service-principal in hun respectieve tenants. Raadpleeg de documentatie waarnaar wordt verwezen in de samenvattingseenheid van deze cursus voor meer informatie over bepalingen om aan deze vereiste te voldoen.