Udostępnij za pośrednictwem


Jak i dlaczego aplikacje są dodawane do identyfikatora Entra firmy Microsoft

Istnieją dwie reprezentacje aplikacji w identyfikatorze Entra firmy Microsoft:

  • Obiekty aplikacji — chociaż istnieją wyjątki, obiekty aplikacji można uznać za definicję aplikacji.
  • Jednostki usługi — można uznać za wystąpienie aplikacji. Jednostki usługi zwykle odwołują się do obiektu aplikacji, a jeden obiekt aplikacji może odwoływać się do wielu jednostek usługi w różnych katalogach.

Z czego pochodzą obiekty aplikacji i skąd pochodzą?

Obiekty aplikacji można zarządzać w centrum administracyjnym firmy Microsoft Entra za pomocą środowiska Rejestracje aplikacji. Obiekty aplikacji opisują aplikację do identyfikatora Entra firmy Microsoft i można je uznać za definicję aplikacji, umożliwiając usłudze poznanie sposobu wystawiania tokenów aplikacji na podstawie jej ustawień. Obiekt aplikacji będzie istnieć tylko w katalogu głównym, nawet jeśli jest to aplikacja wielodostępna obsługująca jednostki usługi w innych katalogach. Obiekt aplikacji może zawierać (ale nie tylko) dowolne z następujących elementów:

  • Nazwa, logo i wydawca
  • Identyfikatory URI przekierowania
  • Wpisy tajne (symetryczne i/lub klucze asymetryczne używane do uwierzytelniania aplikacji)
  • Zależności interfejsu API (OAuth)
  • Opublikowane interfejsy API/zasoby/zakresy (OAuth)
  • Role aplikacji
  • Metadane i konfiguracja logowania jednokrotnego
  • Metadane i konfiguracja aprowizacji użytkowników
  • Metadane i konfiguracja serwera proxy

Obiekty aplikacji można tworzyć za pomocą wielu ścieżek, w tym:

  • Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra
  • Tworzenie nowej aplikacji przy użyciu programu Visual Studio i konfigurowanie jej do korzystania z uwierzytelniania firmy Microsoft Entra
  • Gdy administrator dodaje aplikację z galerii aplikacji (co spowoduje również utworzenie jednostki usługi)
  • Tworzenie nowej aplikacji przy użyciu interfejsu API programu Microsoft Graph lub programu PowerShell
  • Wiele innych, w tym różne środowiska deweloperskie na platformie Azure i środowiska eksploratora interfejsów API w centrach deweloperów

Z czego pochodzą jednostki usługi i skąd pochodzą?

Jednostki usługi można zarządzać w centrum administracyjnym firmy Microsoft Entra za pomocą środowiska aplikacje dla przedsiębiorstw. Jednostki usługi to jednostki usług, które zarządzają aplikacją łączącą się z identyfikatorem Entra firmy Microsoft i można je uznać za wystąpienie aplikacji w katalogu. W przypadku każdej aplikacji może mieć co najwyżej jeden obiekt aplikacji (który jest zarejestrowany w katalogu "home") i co najmniej jeden obiekt jednostki usługi reprezentujący wystąpienia aplikacji w każdym katalogu, w którym działa.

Jednostka usługi może obejmować:

  • Odwołanie z powrotem do obiektu aplikacji za pomocą właściwości identyfikatora aplikacji
  • Rekordy przypisań ról użytkowników lokalnych i grup
  • Rekordy uprawnień użytkownika lokalnego i administratora przyznane aplikacji
    • Na przykład: uprawnienie aplikacji do uzyskiwania dostępu do poczty e-mail określonego użytkownika
  • Rekordy zasad lokalnych, w tym zasady dostępu warunkowego
  • Rekordy alternatywnych ustawień lokalnych dla aplikacji
    • Reguły przekształcania oświadczeń
    • Mapowania atrybutów (aprowizowanie użytkowników)
    • Role aplikacji specyficzne dla katalogu (jeśli aplikacja obsługuje role niestandardowe)
    • Nazwa lub logo specyficzne dla katalogu

Podobnie jak obiekty aplikacji, jednostki usługi można również tworzyć za pomocą wielu ścieżek, w tym:

  • Gdy użytkownicy loguje się do aplikacji innej firmy zintegrowanej z identyfikatorem Entra firmy Microsoft
    • Podczas logowania użytkownicy są proszeni o udzielenie aplikacji uprawnień dostępu do swojego profilu i innych uprawnień. Pierwsza osoba, która wyrazi zgodę, powoduje dodanie jednostki usługi reprezentującej aplikację do katalogu.
  • Gdy użytkownicy korzystają z usługi Microsoft Usługi online lub loguje się do nich, takich jak Microsoft 365, Microsoft Entra ID lub Microsoft Azure.
    • Podczas pierwszego korzystania z usługi firmy Microsoft w katalogu może zostać utworzony co najmniej jedna jednostka usługi reprezentująca różne tożsamości usług firmy Microsoft używane do dostarczania usługi. Ta aprowizacja "just in time" może wystąpić w dowolnym momencie, często w ramach procesu w tle. W rzadkich przypadkach jednostka usługi firmy Microsoft, która zostanie utworzona, może również mieć przypisaną rolę katalogu, taką jak "Czytelnicy katalogów".
    • Niektóre usługi firmy Microsoft, takie jak SharePoint Online, tworzą jednostki usługi na bieżąco, aby umożliwić bezpieczną komunikację między składnikami, w tym przepływami pracy.
  • Gdy administrator dodaje aplikację z galerii aplikacji (spowoduje to również utworzenie bazowego obiektu aplikacji)
  • Dodawanie aplikacji do korzystania z serwera proxy aplikacji Microsoft Entra
  • Łączenie aplikacji do logowania jednokrotnego przy użyciu protokołu SAML lub logowania jednokrotnego przy użyciu hasła
  • Programowo za pomocą interfejsu API programu Microsoft Graph lub programu PowerShell

Aplikacja ma jeden obiekt aplikacji w katalogu głównym, do którego odwołuje się co najmniej jedna jednostka usługi w każdym z katalogów, w których działa (w tym katalog główny aplikacji).

Pokazuje relację między obiektami aplikacji i jednostkami usługi

Na powyższym diagramie firma Microsoft utrzymuje dwa katalogi wewnętrznie (pokazane po lewej stronie), których używa do publikowania aplikacji:

  • Jeden dla usługi Microsoft Apps (katalog usługi firmy Microsoft)
  • Jeden dla wstępnie zintegrowanych aplikacji innych firm (katalog galerii aplikacji)

Wydawcy aplikacji/dostawcy, którzy integrują się z identyfikatorem Entra firmy Microsoft, muszą mieć katalog publikowania (widoczny po prawej stronie jako katalog "Niektóre oprogramowanie jako usługa( SaaS).

Aplikacje dodawane samodzielnie (reprezentowane jako aplikacja (Twoja) na diagramie obejmują:

  • Aplikacje opracowane (zintegrowane z identyfikatorem Entra firmy Microsoft)
  • Aplikacje połączone na potrzeby logowania jednokrotnego
  • Aplikacje opublikowane przy użyciu serwera proxy aplikacji Microsoft Entra

Uwagi i wyjątki

  • Nie wszystkie jednostki usługi wskazują z powrotem na obiekt aplikacji. Kiedy firma Microsoft Entra ID została pierwotnie skompilowana, usługi udostępniane aplikacjom były bardziej ograniczone, a jednostka usługi była wystarczająca do ustanowienia tożsamości aplikacji. Oryginalna jednostka usługi była bliżej kształtu konta usługi Active Directory systemu Windows Server. Z tego powodu nadal można tworzyć jednostki usługi za pomocą różnych ścieżek, takich jak używanie programu Microsoft Graph PowerShell, bez uprzedniego tworzenia obiektu aplikacji. Interfejs API programu Microsoft Graph wymaga obiektu aplikacji przed utworzeniem jednostki usługi.
  • Nie wszystkie opisane powyżej informacje są obecnie udostępniane programowo. Następujące elementy są dostępne tylko w interfejsie użytkownika:
    • Reguły przekształcania oświadczeń
    • Mapowania atrybutów (aprowizowanie użytkowników)
  • Aby uzyskać bardziej szczegółowe informacje na temat jednostki usługi i obiektów aplikacji, zobacz dokumentację referencyjną interfejsu API programu Microsoft Graph:

Dlaczego aplikacje integrują się z identyfikatorem Microsoft Entra ID?

Aplikacje są dodawane do identyfikatora Entra firmy Microsoft w celu korzystania z co najmniej jednej z usług, które udostępnia, w tym:

  • Uwierzytelnianie i autoryzacja aplikacji
  • Uwierzytelnianie i autoryzacja użytkownika
  • Logowanie jednokrotne przy użyciu federacji lub hasła
  • Aprowizowanie i synchronizacja użytkowników
  • Kontrola dostępu oparta na rolach (RBAC) — użyj katalogu, aby zdefiniować role aplikacji do przeprowadzania kontroli autoryzacji opartej na rolach w aplikacji
  • Usługi autoryzacji OAuth — używane przez platformę Microsoft 365 i inne aplikacje firmy Microsoft do autoryzowania dostępu do interfejsów API/zasobów
  • Publikowanie aplikacji i serwer proxy — publikowanie aplikacji z sieci prywatnej do Internetu
  • Atrybuty rozszerzenia schematu katalogu — rozszerzanie schematu jednostki usługi i obiektów użytkownika w celu przechowywania dodatkowych danych w identyfikatorze Entra firmy Microsoft

Kto ma uprawnienia do dodawania aplikacji do mojego wystąpienia firmy Microsoft Entra?

Domyślnie wszyscy użytkownicy w katalogu mają prawa do rejestrowania obiektów aplikacji, które tworzą i dyskrecjonalne aplikacje, które udostępniają lub udzielają dostępu do danych organizacji za pośrednictwem zgody. Jeśli osoba jest pierwszym użytkownikiem w katalogu, aby zalogować się do aplikacji i udzielić zgody, spowoduje to utworzenie jednostki usługi w dzierżawie. W przeciwnym razie informacje o udzieleniu zgody będą przechowywane w istniejącej jednostce usługi.

Zezwolenie użytkownikom na rejestrowanie i wyrażanie zgody na aplikacje może początkowo brzmieć, ale należy pamiętać o następujących przyczynach:

  • Aplikacje od wielu lat mogą używać usługi Active Directory systemu Windows Server do uwierzytelniania użytkowników bez konieczności rejestrowania lub rejestrowania aplikacji w katalogu. Teraz organizacja będzie miała lepszą widoczność dokładnie do liczby aplikacji korzystających z katalogu i do jakiego celu.
  • Delegowanie tych obowiązków użytkownikom neguje potrzebę rejestracji i publikowania aplikacji opartej na administratorach. W usługach Active Directory Federation Services (ADFS) prawdopodobnie administrator musiał dodać aplikację jako jednostkę uzależnioną w imieniu swoich deweloperów. Teraz deweloperzy mogą korzystać z samoobsługi.
  • Użytkownicy logujący się do aplikacji przy użyciu kont organizacji w celach biznesowych są dobrym rozwiązaniem. Jeśli następnie opuści organizację, automatycznie utraci dostęp do swojego konta w używanej aplikacji.
  • Posiadanie rekordu danych, które zostały udostępnione aplikacji, jest dobrą rzeczą. Dane są bardziej transportowalne niż kiedykolwiek i warto mieć jasny rejestr osób, które udostępniły dane, z którymi aplikacjami.
  • Właściciele interfejsów API, którzy używają identyfikatora Entra firmy Microsoft dla protokołu OAuth, decydują dokładnie, jakie uprawnienia użytkownicy mogą przyznać aplikacjom i które uprawnienia wymagają zgody administratora. Tylko administratorzy mogą wyrazić zgodę na większe zakresy i bardziej znaczące uprawnienia, podczas gdy zgoda użytkownika jest ograniczona do własnych danych i możliwości użytkowników.
  • Gdy użytkownik dodaje lub zezwala aplikacji na dostęp do swoich danych, zdarzenie można przeprowadzić inspekcję, aby można było wyświetlić raporty inspekcji w centrum administracyjnym firmy Microsoft Entra, aby określić, jak aplikacja została dodana do katalogu.

Jeśli nadal chcesz uniemożliwić użytkownikom w katalogu rejestrowanie aplikacji i logowanie się do aplikacji bez zatwierdzenia przez administratora, istnieją dwa ustawienia, które można zmienić, aby wyłączyć te możliwości:

  • Aby zmienić ustawienia zgody użytkownika w organizacji, zobacz Konfigurowanie sposobu wyrażania zgody przez użytkowników na aplikacje.

  • Aby uniemożliwić użytkownikom rejestrowanie własnych aplikacji:

    1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Ustawienia użytkownika użytkowników>tożsamości>.
    2. Zmiana Użytkownicy mogą rejestrować aplikacje na Nie.