Rejestrowanie aplikacji

  • Artykuł

Portal rejestracji aplikacji Platforma tożsamości Microsoft jest podstawowym punktem wejścia dla aplikacji korzystających z platformy do uwierzytelniania i powiązanych potrzeb. Jako deweloper, podczas rejestrowania i konfigurowania aplikacji, wybrane opcje mają wpływ na to, jak dobrze aplikacja spełnia zasady Zero Trust. Efektywna rejestracja aplikacji uwzględnia zwłaszcza zasady korzystania z najmniej uprzywilejowanego dostępu i zakładają naruszenie. Ten artykuł ułatwia zapoznanie się z procesem rejestracji aplikacji i jej wymaganiami w celu zapewnienia, że aplikacje są zgodne z podejściem Zero Trust do zabezpieczeń.

Zarządzanie aplikacjami w usłudze Microsoft Entra ID (Microsoft Entra ID) to proces bezpiecznego tworzenia, konfigurowania i monitorowania aplikacji oraz zarządzania nimi w chmurze. Podczas rejestrowania aplikacji w dzierżawie firmy Microsoft Entra należy skonfigurować bezpieczny dostęp użytkownika.

Identyfikator Entra firmy Microsoft reprezentuje aplikacje według obiektów aplikacji i jednostek usługi. Z pewnymi wyjątkami aplikacje są obiektami aplikacji. Jednostkę usługi można traktować jako wystąpienie aplikacji, która odwołuje się do obiektu aplikacji. Wiele jednostek usługi w różnych katalogach może odwoływać się do pojedynczego obiektu aplikacji.

Aplikację można skonfigurować tak, aby korzystała z identyfikatora Entra firmy Microsoft za pomocą trzech metod: w programie Visual Studio, przy użyciu interfejsu API programu Microsoft Graph lub przy użyciu programu PowerShell. Istnieją środowiska deweloperskie na platformie Azure i w Eksploratorze interfejsów API w centrach deweloperów. Odwołuj się do wymaganych decyzji i zadań dla deweloperów i informatyków w celu tworzenia i wdrażania bezpiecznych aplikacji w Platforma tożsamości Microsoft.

KtoTo może dodawać i rejestrować aplikacje

Administracja i, jeśli jest to dozwolone przez dzierżawę, użytkownicy i deweloperzy mogą tworzyć obiekty aplikacji, rejestrując aplikacje w witrynie Azure Portal. Domyślnie wszyscy użytkownicy w katalogu mogą rejestrować obiekty aplikacji, które tworzą. Deweloperzy obiektów aplikacji decydują, które aplikacje udostępniają i zapewniają dostęp do danych organizacji za pośrednictwem zgody.

Gdy pierwszy użytkownik w katalogu loguje się do aplikacji i udziela zgody, system tworzy jednostkę usługi w dzierżawie, która przechowuje wszystkie informacje o zgody użytkownika. Identyfikator entra firmy Microsoft automatycznie tworzy jednostkę usługi dla nowo zarejestrowanej aplikacji w dzierżawie przed uwierzytelnienie użytkownika.

Tylko administratorzy globalni firmy Microsoft Entra mogą wykonywać określone zadania aplikacji (takie jak dodawanie aplikacji z galerii aplikacji i konfigurowanie aplikacji do korzystania z serwera proxy aplikacji).

Rejestrowanie obiektów aplikacji

Jako deweloper rejestrujesz aplikacje korzystające z Platforma tożsamości Microsoft. Zarejestruj aplikacje w witrynie Azure Portal lub wywołując interfejsy API aplikacji microsoft Graph. Po zarejestrowaniu aplikacji komunikuje się z Platforma tożsamości Microsoft, wysyłając żądania do punktu końcowego.

Być może nie masz uprawnień do tworzenia lub modyfikowania rejestracji aplikacji. Gdy administratorzy nie dają ci uprawnień do rejestrowania aplikacji, zapytaj ich, w jaki sposób można przekazać do nich niezbędne informacje o rejestracji aplikacji.

Właściwości rejestracji aplikacji mogą zawierać następujące składniki.

  • Nazwa, logo i wydawca
  • Identyfikatory URI przekierowania
  • Wpisy tajne (symetryczne i/lub klucze asymetryczne używane do uwierzytelniania aplikacji)
  • Zależności interfejsu API (OAuth)
  • Opublikowane interfejsy API/zasoby/zakresy (OAuth)
  • Role aplikacji dla kontroli dostępu opartej na rolach
  • Metadane i konfiguracja logowania jednokrotnego ,aprowizowanie użytkowników i serwer proxy

Wymagana część rejestracji aplikacji to wybór obsługiwanych typów kont w celu zdefiniowania, kto może używać aplikacji na podstawie typu konta użytkownika. Administratorzy firmy Microsoft Entra postępują zgodnie z modelem aplikacji, aby zarządzać obiektami aplikacji w witrynie Azure Portal za pośrednictwem środowiska Rejestracje aplikacji i definiować ustawienia aplikacji, które informują usługę, jak wystawiać tokeny do aplikacji.

Podczas rejestracji otrzymasz tożsamość aplikacji: identyfikator aplikacji (klienta). Aplikacja używa identyfikatora klienta za każdym razem, gdy wykonuje transakcję za pośrednictwem Platforma tożsamości Microsoft.

Najlepsze rozwiązania dotyczące rejestracji aplikacji

Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń dotyczącymi właściwości aplikacji podczas rejestrowania aplikacji w usłudze Microsoft Entra ID jako krytycznej części jej użycia biznesowego. Należy zapobiec przestojom lub naruszeniu zabezpieczeń, które mogą mieć wpływ na całą organizację. Poniższe zalecenia ułatwiają opracowywanie bezpiecznej aplikacji wokół zasad zero trust.

  • Skorzystaj z listy kontrolnej integracji Platforma tożsamości Microsoft, aby zapewnić wysoką jakość i bezpieczną integrację. Zachowaj jakość i bezpieczeństwo aplikacji.
  • Poprawnie zdefiniuj adresy URL przekierowania. Odwołaj się do ograniczeń i ograniczeń identyfikatora URI przekierowania (adresu URL odpowiedzi), aby uniknąć problemów ze zgodnością i zabezpieczeniami.
  • Sprawdź identyfikatory URI przekierowania w rejestracji aplikacji pod kątem własności, aby uniknąć przejęcia domeny. Adresy URL przekierowania powinny znajdować się w domenach, które znasz i jesteś właścicielem. Regularnie przeglądaj i usuwaj niepotrzebne i nieużywane identyfikatory URI. Nie używaj identyfikatorów URI innych niż https w aplikacjach produkcyjnych.
  • Zawsze należy definiować i obsługiwać właścicieli aplikacji i jednostek usługi dla zarejestrowanych aplikacji w dzierżawie. Unikaj oddzielonych aplikacji (aplikacji i jednostek usługi, które nie mają przypisanych właścicieli). Upewnij się, że administratorzy IT mogą łatwo i szybko identyfikować właścicieli aplikacji w nagłych wypadkach. Zachowaj małą liczbę właścicieli aplikacji. Utrudnić naruszenie zabezpieczeń konta użytkownika, aby wpływało na wiele aplikacji.
  • Unikaj używania tej samej rejestracjiaplikacji dla wielu aplikacji. Oddzielenie rejestracji aplikacji pomaga włączyć najmniej uprzywilejowany dostęp i zmniejszyć wpływ podczas naruszenia.
    • Użyj oddzielnych rejestracji aplikacji dla aplikacji, które loguje użytkowników i aplikacje, które uwidaczniają dane i operacje za pośrednictwem interfejsu API (chyba że ściśle powiązane). Takie podejście umożliwia uprawnienia do wyższego uprzywilejowanego interfejsu API, takiego jak program Microsoft Graph i poświadczenia (takie jak wpisy tajne i certyfikaty), w odległości od aplikacji, które loguje się i wchodzą w interakcje z użytkownikami.
    • Użyj oddzielnych rejestracji aplikacji dla aplikacji internetowych i interfejsów API. Takie podejście pomaga zagwarantować, że jeśli internetowy interfejs API ma wyższy zestaw uprawnień, aplikacja kliencka nie dziedziczy ich.
  • Zdefiniuj aplikację jako aplikację wielodostępną tylko wtedy, gdy jest to konieczne. Aplikacje wielodostępne umożliwiają aprowizowanie w dzierżawach innych niż Twoje. Wymagają one większego nakładu pracy związanego z zarządzaniem w celu filtrowania niechcianego dostępu. Jeśli nie zamierzasz opracowywać aplikacji jako aplikacji wielodostępnej, zacznij od wartości SignInAudience usługi AzureADMyOrg.

Następne kroki