Zabezpieczanie dostępu hybrydowego za pomocą integracji z firmą Microsoft Entra
Identyfikator Entra firmy Microsoft obsługuje nowoczesne protokoły uwierzytelniania, które pomagają zapewnić bezpieczeństwo aplikacji. Jednak wiele aplikacji biznesowych działa w chronionej sieci firmowej, a niektóre używają starszych metod uwierzytelniania. Ponieważ firmy tworzą strategie zero trustu i obsługują środowiska hybrydowe i w chmurze, istnieją rozwiązania łączące aplikacje z identyfikatorem Entra firmy Microsoft i zapewniające uwierzytelnianie dla starszych aplikacji.
Dowiedz się więcej: Zabezpieczenia zerowego zaufania
Identyfikator Entra firmy Microsoft natywnie obsługuje nowoczesne protokoły:
- Security Assertion Markup Language (SAML)
- Federacja usługi internetowej (WS-Fed)
- Połączenie OpenID (OIDC)
Serwer proxy aplikacji Microsoft Entra lub serwer proxy aplikacji Microsoft Entra obsługuje uwierzytelnianie Kerberos i oparte na nagłówku. Inne protokoły, takie jak Secure Shell (SSH), (Microsoft Windows NT LAN Manager) NTLM, Lightweight Directory Access Protocol (LDAP) i pliki cookie, nie są obsługiwane. Niezależni dostawcy oprogramowania mogą jednak tworzyć rozwiązania umożliwiające łączenie tych aplikacji z identyfikatorem Entra firmy Microsoft.
Dostawcy oprogramowania mogą ułatwić klientom odnajdywanie i migrowanie aplikacji oprogramowania jako usługi (SaaS) do identyfikatora Entra firmy Microsoft. Mogą łączyć aplikacje korzystające ze starszych metod uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft. Klienci mogą konsolidować się na platformie Microsoft Entra ID, aby uprościć zarządzanie aplikacjami i zaimplementować zasady Zero Trust.
Omówienie rozwiązania
Utworzone rozwiązanie może zawierać następujące części:
- Odnajdywanie aplikacji — często klienci nie wiedzą o każdej aplikacji w użyciu
- Odnajdywanie aplikacji znajduje aplikacje, ułatwiając integrację aplikacji z identyfikatorem Entra firmy Microsoft
- Migracja aplikacji — tworzenie przepływu pracy w celu zintegrowania aplikacji z identyfikatorem Entra firmy Microsoft bez korzystania z centrum administracyjnego firmy Microsoft Entra
- Integrowanie aplikacji używanych obecnie przez klientów
- Obsługa starszego uwierzytelniania — aplikacje Połączenie ze starszymi metodami uwierzytelniania i logowaniem jednokrotnym
- Dostęp warunkowy — umożliwia klientom stosowanie zasad firmy Microsoft Entra do aplikacji w rozwiązaniu bez korzystania z centrum administracyjnego firmy Microsoft Entra
Dowiedz się więcej: Co to jest dostęp warunkowy?
Zapoznaj się z poniższymi sekcjami, aby zapoznać się z zagadnieniami technicznymi i zaleceniami.
Publikowanie aplikacji w witrynie Azure Marketplace
Witryna Azure Marketplace to zaufane źródło aplikacji dla administratorów IT. Aplikacje są zgodne z identyfikatorem Entra firmy Microsoft i obsługują logowanie jednokrotne, automatyzują aprowizację użytkowników i integrują się z dzierżawami zewnętrznymi z automatyczną rejestracją aplikacji.
Możesz wstępnie zintegrować aplikację z identyfikatorem Entra firmy Microsoft, aby obsługiwać logowanie jednokrotne i automatyczną aprowizację. Zobacz Przesyłanie żądania opublikowania aplikacji w galerii aplikacji Firmy Microsoft Entra.
Zalecamy, aby zostać zweryfikowanym wydawcą, aby klienci wiedzieli, że jesteś zaufanym wydawcą. Zobacz Weryfikacja wydawcy.
Włączanie logowania jednokrotnego dla administratorów IT
Istnieje kilka sposobów włączania logowania jednokrotnego dla administratorów IT w rozwiązaniu. Zobacz Planowanie wdrożenia logowania jednokrotnego i opcji logowania jednokrotnego.
Program Microsoft Graph używa protokołu OIDC/OAuth. Klienci używają funkcji OIDC do logowania się do rozwiązania. Aby korzystać z programu Microsoft Graph, użyj tokenu internetowego JSON (JWT) Microsoft Entra ID. Zobacz Połączenie OpenID w Platforma tożsamości Microsoft.
Jeśli twoje rozwiązanie używa protokołu SAML na potrzeby logowania jednokrotnego administratora IT, token SAML nie umożliwi korzystania z programu Microsoft Graph w rozwiązaniu. Możesz użyć protokołu SAML dla logowania jednokrotnego administratora IT, ale twoje rozwiązanie musi obsługiwać integrację OIDC z identyfikatorem Entra firmy Microsoft, aby uzyskać dostęp do usługi JWT z poziomu identyfikatora Entra firmy Microsoft w celu interakcji z programem Microsoft Graph. Zobacz Jak Platforma tożsamości Microsoft używa protokołu SAML.
Możesz użyć jednego z następujących podejść SAML:
- Zalecane podejście SAML: utwórz nową rejestrację w witrynie Azure Marketplace, która jest aplikacją OIDC. Klienci dodają aplikacje SAML i OIDC do swojej dzierżawy. Jeśli twoja aplikacja nie znajduje się w galerii Microsoft Entra, możesz zacząć od aplikacji wielodostępnej spoza galerii.
- Alternatywne podejście SAML: klienci mogą utworzyć rejestrację aplikacji OIDC w dzierżawie firmy Microsoft Entra i ustawić identyfikatory URI, punkty końcowe i uprawnienia
Użyj typu udzielania poświadczeń klienta, który wymaga rozwiązania, aby umożliwić klientom wprowadzanie identyfikatora klienta i wpisu tajnego. Rozwiązanie wymaga również przechowywania tych informacji. Pobierz JWT z identyfikatora Entra firmy Microsoft, a następnie użyj go do interakcji z programem Microsoft Graph. Zobacz Uzyskiwanie tokenu. Zalecamy ponowne zapoznanie się z dokumentacją klienta dotyczącą sposobu tworzenia rejestracji aplikacji w dzierżawie firmy Microsoft Entra. Uwzględnij punkty końcowe, identyfikatory URI i uprawnienia.
Uwaga
Zanim aplikacje będą używane do logowania jednokrotnego administratora IT lub użytkownika, administrator IT klienta musi wyrazić zgodę na aplikację w swojej dzierżawie. Zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.
Przepływy uwierzytelniania
Przepływy uwierzytelniania rozwiązania obsługują następujące scenariusze:
- Administrator IT klienta loguje się przy użyciu logowania jednokrotnego w celu administrowania rozwiązaniem
- Administrator IT klienta używa rozwiązania do integrowania aplikacji z identyfikatorem Entra firmy Microsoft z programem Microsoft Graph
- Użytkownicy logować się do starszych aplikacji zabezpieczonych przez rozwiązanie i identyfikator Entra firmy Microsoft
Administrator IT klienta wykonuje logowanie jednokrotne do rozwiązania
Rozwiązanie może używać protokołu SAML lub OIDC do logowania jednokrotnego, gdy zaloguje się administrator IT klienta. Zalecamy, aby administrator IT zalogował się do rozwiązania przy użyciu poświadczeń firmy Microsoft Entra, co umożliwia korzystanie z bieżących mechanizmów kontroli zabezpieczeń. Zintegruj swój z firmą Microsoft Entra ID na potrzeby logowania jednokrotnego za pośrednictwem protokołu SAML lub OIDC.
Na poniższym diagramie przedstawiono przepływ uwierzytelniania użytkownika:
- Administrator IT loguje się do rozwiązania przy użyciu poświadczeń firmy Microsoft Entra
- Rozwiązanie przekierowuje administratora IT do identyfikatora Entra firmy Microsoft przy użyciu protokołu SAML lub żądania logowania OIDC
- Firma Microsoft Entra uwierzytelnia administratora IT i przekierowuje je do rozwiązania przy użyciu tokenu SAML lub JWT do autoryzacji w rozwiązaniu
Administratorzy IT integrują aplikacje z identyfikatorem Entra firmy Microsoft
Administratorzy IT integrują aplikacje z identyfikatorem Entra firmy Microsoft przy użyciu rozwiązania, które wykorzystuje program Microsoft Graph do tworzenia rejestracji aplikacji i zasad dostępu warunkowego firmy Microsoft Entra.
Na poniższym diagramie przedstawiono przepływ uwierzytelniania użytkownika:
- Administrator IT loguje się do rozwiązania przy użyciu poświadczeń firmy Microsoft Entra
- Rozwiązanie przekierowuje administratora IT do identyfikatora Entra firmy Microsoft przy użyciu protokołu SAML lub żądania logowania OIDC
- Firma Microsoft Entra uwierzytelnia administratora IT i przekierowuje je do rozwiązania przy użyciu tokenu SAML lub JWT na potrzeby autoryzacji
- Gdy administrator IT integruje aplikację z identyfikatorem Entra firmy Microsoft, rozwiązanie wywołuje program Microsoft Graph ze swoim zestawem JWT w celu zarejestrowania aplikacji lub zastosuj zasady dostępu warunkowego firmy Microsoft Entra
Użytkownicy logować się do aplikacji
Gdy użytkownicy logują się do aplikacji, używają protokołu OIDC lub SAML. Jeśli aplikacje muszą wchodzić w interakcje z programem Microsoft Graph lub chronionym interfejsem API firmy Microsoft Entra, zalecamy skonfigurowanie ich do korzystania z usługi OICD. Ta konfiguracja gwarantuje, że zestaw JWT jest stosowany do interakcji z programem Microsoft Graph. Jeśli nie ma potrzeby interakcji aplikacji z programem Microsoft Graph lub chronionych interfejsów API firmy Microsoft Entra, użyj języka SAML.
Na poniższym diagramie przedstawiono przepływ uwierzytelniania użytkownika:
- Użytkownik loguje się do aplikacji
- Rozwiązanie przekierowuje użytkownika do identyfikatora Entra firmy Microsoft przy użyciu protokołu SAML lub żądania logowania OIDC
- Firma Microsoft Entra uwierzytelnia użytkownika i przekierowuje je do rozwiązania przy użyciu tokenu SAML lub JWT na potrzeby autoryzacji
- Rozwiązanie umożliwia żądanie przy użyciu protokołu aplikacji
Interfejsu API programu Microsoft Graph
Zalecamy użycie następujących interfejsów API. Użyj identyfikatora Entra firmy Microsoft, aby skonfigurować delegowane uprawnienia lub uprawnienia aplikacji. W tym rozwiązaniu użyj uprawnień delegowanych.
- Interfejs API szablonów aplikacji — w witrynie Azure Marketplace użyj tego interfejsu API, aby znaleźć pasujący szablon aplikacji
- Wymagane uprawnienia: Application.Read.All
- Interfejs API rejestracji aplikacji — tworzenie rejestracji aplikacji OIDC lub SAML dla użytkowników w celu logowania się do aplikacji zabezpieczonych przy użyciu rozwiązania
- Wymagane uprawnienia: Application.Read.All, Application.ReadWrite.All
- Interfejs API jednostki usługi — po zarejestrowaniu aplikacji zaktualizuj obiekt jednostki usługi, aby ustawić właściwości logowania jednokrotnego
- Wymagane uprawnienia: Application.ReadWrite.All, Directory.AccessAsUser.All, AppRoleAssignment.ReadWrite.All (do przypisania)
- Interfejs API dostępu warunkowego — stosowanie zasad dostępu warunkowego firmy Microsoft do aplikacji użytkowników
- Wymagane uprawnienia: Policy.Read.All, Policy.ReadWrite.ConditionalAccess i Application.Read.All
Dowiedz się więcej na temat korzystania z interfejsu API programu Microsoft Graph
Scenariusze interfejsu API programu Microsoft Graph
Skorzystaj z poniższych informacji, aby zaimplementować rejestracje aplikacji, połączyć starsze aplikacje i włączyć zasady dostępu warunkowego. Dowiedz się, jak zautomatyzować zgodę administratora, uzyskać certyfikat podpisywania tokenu i przypisać użytkowników i grupy.
Używanie interfejsu API programu Microsoft Graph do rejestrowania aplikacji za pomocą identyfikatora Entra firmy Microsoft
Dodawanie aplikacji w witrynie Azure Marketplace
Niektóre aplikacje używane przez klientów znajdują się w witrynie Azure Marketplace. Możesz utworzyć rozwiązanie, które dodaje aplikacje do dzierżawy zewnętrznej. Skorzystaj z poniższego przykładu z interfejsem MICROSOFT Graph API, aby wyszukać szablon w witrynie Azure Marketplace.
Uwaga
W interfejsie API szablonów aplikacji nazwa wyświetlana ma wielkość liter.
Authorization: Required with a valid Bearer token
Method: Get
https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayname eq "Salesforce.com"
Jeśli znajdziesz dopasowanie z wywołania interfejsu API, przechwyć identyfikator. Wykonaj następujące wywołanie interfejsu API i podaj nazwę wyświetlaną aplikacji w treści JSON:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/cd3ed3de-93ee-400b-8b19-b61ef44a0f29/instantiate
{
"displayname": "Salesforce.com"
}
Po wywołaniu interfejsu API wygenerujesz obiekt jednostki usługi. Przechwyć identyfikator aplikacji i identyfikator jednostki usługi do użycia w następnych wywołaniach interfejsu API.
Stosowanie poprawek obiektu jednostki usługi przy użyciu protokołu SAML i adresu URL logowania:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"preferredSingleSignOnMode":"saml",
"loginURL": "https://www.salesforce.com"
}
Stosowanie poprawek obiektu aplikacji za pomocą identyfikatorów URI przekierowania i identyfikatorów:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
"web": {
"redirectUris":["https://www.salesforce.com"]},
"identifierUris":["https://www.salesforce.com"]
}
Dodawanie aplikacji, które nie są w witrynie Azure Marketplace
Jeśli w witrynie Azure Marketplace nie ma dopasowania lub zintegrowania aplikacji niestandardowej, zarejestruj aplikację niestandardową w identyfikatorze Entra firmy Microsoft przy użyciu identyfikatora szablonu: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Następnie wykonaj następujące wywołanie interfejsu API i podaj nazwę wyświetlaną aplikacji w treści JSON:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
"displayname": "Custom SAML App"
}
Po wywołaniu interfejsu API wygenerujesz obiekt jednostki usługi. Przechwyć identyfikator aplikacji i identyfikator jednostki usługi do użycia w następnych wywołaniach interfejsu API.
Stosowanie poprawek obiektu jednostki usługi przy użyciu protokołu SAML i adresu URL logowania:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"preferredSingleSignOnMode":"saml",
"loginURL": "https://www.samlapp.com"
}
Stosowanie poprawek obiektu aplikacji za pomocą identyfikatorów URI przekierowania i identyfikatorów URI:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
"web": {
"redirectUris":["https://www.samlapp.com"]},
"identifierUris":["https://www.samlapp.com"]
}
Korzystanie z logowania jednokrotnego firmy Microsoft Entra
Po zarejestrowaniu aplikacji SaaS w usłudze Microsoft Entra ID aplikacje muszą zacząć używać identyfikatora Entra firmy Microsoft jako dostawcy tożsamości:
- Aplikacje obsługują jednokrotne logowanie jednokrotne — identyfikator Entra firmy Microsoft umożliwia aplikacjom. W centrum administracyjnym firmy Microsoft Entra klient wykonuje jednokrotne logowanie jednokrotne z poświadczeniami administracyjnymi obsługiwanych aplikacji SaaS.
- Dowiedz się więcej: Konfiguracja aplikacji jednym kliknięciem logowania jednokrotnego
- Aplikacje nie obsługują logowania jednokrotnego jednym kliknięciem — klient umożliwia aplikacjom korzystanie z identyfikatora Microsoft Entra ID.
Połączenie aplikacji do identyfikatora Entra firmy Microsoft ze starszym uwierzytelnianiem
Rozwiązanie może umożliwić klientowi korzystanie z funkcji logowania jednokrotnego i usługi Microsoft Entra, nawet nieobsługiwanych aplikacji. Aby zezwolić na dostęp ze starszymi protokołami, aplikacja wywołuje identyfikator Firmy Microsoft Entra w celu uwierzytelnienia użytkownika i zastosowania zasad dostępu warunkowego firmy Microsoft Entra. Włącz tę integrację z konsoli programu . Utwórz rejestrację aplikacji SAML lub OIDC między rozwiązaniem a identyfikatorem Entra firmy Microsoft.
Tworzenie rejestracji aplikacji SAML
Użyj następującego identyfikatora szablonu aplikacji niestandardowej: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Następnie wykonaj następujące wywołanie interfejsu API i podaj nazwę wyświetlaną w treści JSON:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
"displayname": "Custom SAML App"
}
Po wywołaniu interfejsu API wygenerujesz obiekt jednostki usługi. Przechwyć identyfikator aplikacji i identyfikator jednostki usługi do użycia w następnych wywołaniach interfejsu API.
Stosowanie poprawek obiektu jednostki usługi przy użyciu protokołu SAML i adresu URL logowania:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"preferredSingleSignOnMode":"saml",
"loginURL": "https://www.samlapp.com"
}
Stosowanie poprawek obiektu aplikacji za pomocą identyfikatorów URI przekierowania i identyfikatorów URI:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
"web": {
"redirectUris":["https://www.samlapp.com"]},
"identifierUris":["https://www.samlapp.com"]
}
Tworzenie rejestracji aplikacji OIDC
Użyj następującego identyfikatora szablonu dla aplikacji niestandardowej: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Wykonaj następujące wywołanie interfejsu API i podaj nazwę wyświetlaną w treści JSON:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
"displayname": "Custom OIDC App"
}
Z wywołania interfejsu API przechwyć identyfikator aplikacji i identyfikator jednostki usługi do użycia w następnych wywołaniach interfejsu API.
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/{Application Object ID}
{
"web": {
"redirectUris":["https://www.samlapp.com"]},
"identifierUris":["[https://www.samlapp.com"],
"requiredResourceAccess": [
{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "7427e0e9-2fba-42fe-b0c0-848c9e6a8182",
"type": "Scope"
},
{
"id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
"type": "Scope"
},
{
"id": "37f7f235-527c-4136-accd-4a02d197296e",
"type": "Scope"
}]
}]
}
Uwaga
Uprawnienia interfejsu resourceAccess API w węźle przyznają aplikacji uprawnienia openid, User.Read i offline_access, które umożliwiają logowanie. Zobacz Omówienie uprawnień programu Microsoft Graph.
Stosowanie zasad dostępu warunkowego
Klienci i partnerzy mogą używać interfejsu API programu Microsoft Graph do tworzenia lub stosowania zasad dostępu warunkowego dla aplikacji. W przypadku partnerów klienci mogą stosować te zasady z rozwiązania bez korzystania z centrum administracyjnego firmy Microsoft Entra. Istnieją dwie opcje stosowania zasad dostępu warunkowego firmy Microsoft Entra:
- Przypisywanie aplikacji do zasad dostępu warunkowego
- Utwórz nowe zasady dostępu warunkowego i przypisz do niej aplikację
Korzystanie z zasad dostępu warunkowego
Aby uzyskać listę zasad dostępu warunkowego, uruchom następujące zapytanie. Pobierz identyfikator obiektu zasad do zmodyfikowania.
Authorization: Required with a valid Bearer token
Method:GET
https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies
Aby zastosować poprawkę zasad, dołącz identyfikator obiektu aplikacji, który ma być w zakresie includeApplications, w treści JSON:
Authorization: Required with a valid Bearer token
Method: PATCH
https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{policyid}
{
"displayName":"Existing Conditional Access Policy",
"state":"enabled",
"conditions":
{
"applications":
{
"includeApplications":[
"00000003-0000-0ff1-ce00-000000000000",
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls":
{
"operator":"OR",
"builtInControls":[
"mfa"
]
}
}
Tworzenie nowych zasad dostępu warunkowego
Dodaj identyfikator obiektu aplikacji, aby był w zakresie includeApplications, w treści JSON:
Authorization: Required with a valid Bearer token
Method: POST
https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/
{
"displayName":"New Conditional Access Policy",
"state":"enabled",
"conditions":
{
"applications": {
"includeApplications":[
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls": {
"operator":"OR",
"builtInControls":[
"mfa"
]
}
}
#Policy Template for Requiring Compliant Device
{
"displayName":"Enforce Compliant Device",
"state":"enabled",
"conditions": {
"applications": {
"includeApplications":[
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls": {
"operator":"OR",
"builtInControls":[
"compliantDevice",
"domainJoinedDevice"
]
}
}
#Policy Template for Block
{
"displayName":"Block",
"state":"enabled",
"conditions": {
"applications": {
"includeApplications":[
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls": {
"operator":"OR",
"builtInControls":[
"block"
]
}
}
Automatyzowanie zgody administratora
Jeśli klient dodaje aplikacje z rozwiązania do identyfikatora Entra firmy Microsoft, możesz zautomatyzować zgodę administratora za pomocą programu Microsoft Graph. Potrzebny jest identyfikator obiektu jednostki usługi aplikacji utworzony w wywołaniach interfejsu API oraz identyfikator obiektu jednostki usługi Microsoft Graph z dzierżawy zewnętrznej.
Pobierz identyfikator obiektu jednostki usługi programu Microsoft Graph, wykonując następujące wywołanie interfejsu API:
Authorization: Required with a valid Bearer token
Method:GET
https://graph.microsoft.com/v1.0/serviceprincipals/?$filter=appid eq '00000003-0000-0000-c000-000000000000'&$select=id,appDisplayName
Aby zautomatyzować zgodę administratora, wykonaj następujące wywołanie interfejsu API:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/oauth2PermissionGrants
{
"clientId":"{Service Principal Object ID of Application}",
"consentType":"AllPrincipals",
"principalId":null,
"resourceId":"{Service Principal Object ID Of Microsoft Graph}",
"scope":"openid user.read offline_access}"
}
Uzyskiwanie certyfikatu podpisywania tokenu
Aby uzyskać publiczną część certyfikatu podpisywania tokenu, użyj z GET punktu końcowego metadanych firmy Microsoft Entra dla aplikacji:
Method:GET
https://login.microsoftonline.com/{Tenant_ID}/federationmetadata/2007-06/federationmetadata.xml?appid={Application_ID}
Przypisywanie użytkowników i grup
Po opublikowaniu aplikacji w witrynie Microsoft Entra ID możesz przypisać aplikację do użytkowników i grup, aby upewnić się, że będzie ona wyświetlana w portalu Moje aplikacje. To przypisanie znajduje się w obiekcie jednostki usługi wygenerowany podczas tworzenia aplikacji. Zobacz omówienie portalu Moje aplikacje.
Pobieranie AppRole wystąpień, z które aplikacja mogła być skojarzona. Aplikacje SaaS często mają skojarzone z nimi różne AppRole wystąpienia. Zazwyczaj w przypadku aplikacji niestandardowych istnieje jedno wystąpienie domyślne AppRole . AppRole Pobierz identyfikator wystąpienia, który chcesz przypisać:
Authorization: Required with a valid Bearer token
Method:GET
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
Z witryny Microsoft Entra ID pobierz identyfikator obiektu użytkownika lub grupy, który chcesz przypisać do aplikacji. Weź identyfikator roli aplikacji z poprzedniego wywołania interfejsu API i prześlij go za pomocą treści poprawki w jednostce usługi:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"principalId":"{Principal Object ID of User -or- Group}",
"resourceId":"{Service Principal Object ID}",
"appRoleId":"{App Role ID}"
}
Partnerstwa
Aby ułatwić ochronę starszych aplikacji, korzystając z kontrolerów sieci i dostarczania, firma Microsoft ma partnerstwo z następującymi dostawcami kontrolera dostarczania aplikacji (ADC).
- Akamai Enterprise Application Access
- Citrix ADC
- F5 BIG-IP Access Policy Manager
- Kemp LoadMaster
- Pulse Secure Virtual Traffic Manager
Następujący dostawcy rozwiązań sieci VPN łączą się z identyfikatorem Entra firmy Microsoft, aby umożliwić nowoczesne metody uwierzytelniania i autoryzacji, takie jak logowanie jednokrotne i uwierzytelnianie wieloskładnikowe (MFA).
- Cisco Any Połączenie
- Fortinet FortiGate
- F5 BIG-IP Access Policy Manager
- Palo Alto Networks GlobalProtect
- Pulse Połączenie Secure
Następujący dostawcy rozwiązań obwodowych zdefiniowanych programowo (SDP) łączą się z identyfikatorem Entra firmy Microsoft na potrzeby metod uwierzytelniania i autoryzacji, takich jak logowanie jednokrotne i uwierzytelnianie wieloskładnikowe.
- Broker dostępu do usługi Datawiza
- Obwód 81
- Platforma uwierzytelniania Silverfort
- Strata Maverics Identity Orchestrator
- Zscaler — dostęp prywatny