Model aplikacji
Aplikacje mogą logować użytkowników samodzielnie lub delegować logowanie do dostawcy tożsamości. W tym artykule omówiono kroki wymagane do zarejestrowania aplikacji w Platforma tożsamości Microsoft.
Rejestrowanie aplikacji
Aby dostawca tożsamości wiedział, że użytkownik ma dostęp do określonej aplikacji, zarówno użytkownik, jak i aplikacja muszą być zarejestrowane u dostawcy tożsamości. Podczas rejestrowania aplikacji w usłudze Microsoft Entra ID udostępniasz konfigurację tożsamości dla aplikacji, która umożliwia jej integrację z Platforma tożsamości Microsoft. Zarejestrowanie aplikacji umożliwia również:
- Dostosuj znakowanie aplikacji w oknie dialogowym logowania. To znakowanie jest ważne, ponieważ logowanie jest pierwszym środowiskiem, które użytkownik będzie miał w aplikacji.
- Zdecyduj, czy chcesz zezwolić użytkownikom na logowanie się tylko wtedy, gdy należą do organizacji. Ta architektura jest nazywana aplikacją z jedną dzierżawą. Możesz też zezwolić użytkownikom na logowanie się przy użyciu dowolnego konta służbowego, które jest nazywane aplikacją wielodostępną. Możesz również zezwolić na osobiste konta Microsoft lub konto społecznościowe z serwisu LinkedIn, Google itd.
- Zażądaj uprawnień zakresu. Możesz na przykład zażądać zakresu "user.read", który udziela uprawnień do odczytu profilu zalogowanego użytkownika.
- Zdefiniuj zakresy definiujące dostęp do internetowego interfejsu API. Zazwyczaj gdy aplikacja chce uzyskać dostęp do interfejsu API, musi zażądać uprawnień do zdefiniowanych zakresów.
- Udostępnij wpis tajny Platforma tożsamości Microsoft, który potwierdza tożsamość aplikacji. Używanie wpisu tajnego jest istotne w przypadku, gdy aplikacja jest poufnej aplikacji klienckiej. Poufne aplikacje klienckie to aplikacja , która może bezpiecznie przechowywać poświadczenia, takie jak klient internetowy. Do przechowywania poświadczeń jest wymagany zaufany serwer zaplecza.
Po zarejestrowaniu aplikacji otrzymuje on unikatowy identyfikator, który udostępnia Platforma tożsamości Microsoft, gdy żąda tokenów. Jeśli aplikacja jest poufnym aplikacją kliencką, będzie również udostępniać klucz tajny lub klucz publiczny w zależności od tego, czy używane są certyfikaty czy wpisy tajne.
Platforma tożsamości Microsoft reprezentuje aplikacje przy użyciu modelu, który spełnia dwie główne funkcje:
- Zidentyfikuj aplikację przy użyciu protokołów uwierzytelniania, które obsługuje.
- Podaj wszystkie identyfikatory, adresy URL, wpisy tajne i powiązane informacje potrzebne do uwierzytelnienia.
Platforma tożsamości Microsoft:
- Przechowuje wszystkie dane wymagane do obsługi uwierzytelniania w czasie wykonywania.
- Przechowuje wszystkie dane do decydowania o zasobach, do których aplikacja może potrzebować dostępu, i w jakich okolicznościach należy spełnić określone żądanie.
- Zapewnia infrastrukturę do implementowania aprowizacji aplikacji w dzierżawie dewelopera aplikacji oraz do dowolnej innej dzierżawy firmy Microsoft Entra.
- Obsługuje zgodę użytkownika w czasie żądania tokenu i ułatwia dynamiczną aprowizację aplikacji w różnych dzierżawach.
Zgoda to proces udzielania autoryzacji przez właściciela zasobu dla aplikacji klienckiej w celu uzyskania dostępu do chronionych zasobów w ramach określonych uprawnień w imieniu właściciela zasobu. Platforma tożsamości Microsoft umożliwia:
- Użytkownicy i administratorzy mogą dynamicznie udzielać lub odmawiać zgody aplikacji na dostęp do zasobów w ich imieniu.
- Administracja istratorów, aby ostatecznie zdecydować, jakie aplikacje mogą wykonywać, i których użytkowników mogą używać określonych aplikacji oraz sposobu uzyskiwania dostępu do zasobów katalogu.
Aplikacje wielodostępne
W Platforma tożsamości Microsoft obiekt aplikacji opisuje aplikację. W czasie wdrażania Platforma tożsamości Microsoft używa obiektu aplikacji jako strategii do utworzenia jednostki usługi, która reprezentuje konkretne wystąpienie aplikacji w katalogu lub dzierżawie. Jednostka usługi definiuje, co aplikacja może faktycznie zrobić w określonym katalogu docelowym, kto może go używać, do jakich zasobów ma dostęp itd. Platforma tożsamości Microsoft tworzy jednostkę usługi na podstawie obiektu aplikacji za pośrednictwem zgody.
Na poniższym diagramie przedstawiono uproszczony Platforma tożsamości Microsoft przepływ aprowizacji sterowany zgodą. Przedstawia dwie dzierżawy: A i B.
- Dzierżawa A jest właścicielem aplikacji.
- Dzierżawa B tworzy wystąpienie aplikacji za pośrednictwem jednostki usługi.
Ten przepływ aprowizowania składa się z następujących etapów:
- Użytkownik z dzierżawy B próbuje zalogować się za pomocą aplikacji. Punkt końcowy autoryzacji żąda tokenu dla aplikacji.
- Poświadczenia użytkownika są uzyskiwane i weryfikowane pod kątem uwierzytelniania.
- Użytkownik zostanie poproszony o wyrażenie zgody dla aplikacji w celu uzyskania dostępu do dzierżawy B.
- Platforma tożsamości Microsoft używa obiektu aplikacji w dzierżawie A jako strategii do tworzenia jednostki usługi w dzierżawie B.
- Użytkownik otrzymuje żądany token.
Ten proces można powtórzyć dla większej liczby dzierżaw. Dzierżawa A zachowuje strategię dla aplikacji (obiektu aplikacji). Użytkownicy i administratorzy wszystkich innych dzierżaw, w których aplikacja otrzymuje zgodę, zachowują kontrolę nad tym, co aplikacja może robić za pośrednictwem odpowiedniego obiektu jednostki usługi w każdej dzierżawie. Aby uzyskać więcej informacji, zobacz Application and service principal objects in the Platforma tożsamości Microsoft (Obiekty aplikacji i jednostki usługi w Platforma tożsamości Microsoft).
Następne kroki
Aby uzyskać więcej informacji na temat uwierzytelniania i autoryzacji w Platforma tożsamości Microsoft, zobacz następujące artykuły:
- Aby dowiedzieć się więcej na temat podstawowych pojęć związanych z uwierzytelnianiem i autoryzacją, zobacz Uwierzytelnianie a autoryzacja.
- Aby dowiedzieć się, jak tokeny dostępu, tokeny odświeżania i tokeny identyfikatorów są używane w uwierzytelnianiu i autoryzacji, zobacz Tokeny zabezpieczające.
- Aby dowiedzieć się więcej o przepływie logowania aplikacji internetowych, klasycznych i mobilnych, zobacz Przepływ logowania do aplikacji.
- Aby dowiedzieć się więcej na temat prawidłowej autoryzacji przy użyciu oświadczeń tokenów, zobacz Zabezpieczanie aplikacji i interfejsów API przez weryfikowanie oświadczeń
Aby uzyskać więcej informacji na temat modelu aplikacji, zobacz następujące artykuły:
- Aby uzyskać więcej informacji na temat obiektów aplikacji i jednostek usługi w Platforma tożsamości Microsoft, zobacz How and why applications are added to Microsoft Entra ID (Jak i dlaczego aplikacje są dodawane do identyfikatora Entra firmy Microsoft).
- Aby uzyskać więcej informacji na temat aplikacji z jedną dzierżawą i wielodostępnych aplikacji, zobacz Dzierżawa w usłudze Microsoft Entra ID.
- Aby uzyskać więcej informacji na temat sposobu, w jaki identyfikator Entra firmy Microsoft udostępnia również usługę Azure Active Directory B2C, dzięki czemu organizacje mogą logować użytkowników, zazwyczaj klientów przy użyciu tożsamości społecznościowych, takich jak konto Google, zobacz dokumentację usługi Azure Active Directory B2C.