Definiowanie identyfikatora entra firmy Microsoft
Zespół zarządzający Adatum chce mieć pewność, że klienci firmy mają niezawodny sposób bezpiecznego uzyskiwania dostępu do usług oferowanych przez aplikacje. Zamierzasz zaimplementować tę funkcję, korzystając z możliwości uwierzytelniania i autoryzacji identyfikatora Entra firmy Microsoft. Aby osiągnąć ten cel, postanawiasz zapoznać się z podstawowymi funkcjami i korzyściami z identyfikatora Entra firmy Microsoft, koncentrując się na funkcjach, które mają zastosowanie do aplikacji natywnych dla chmury.
Uwierzytelnianie określa tożsamość podmiotu zabezpieczeń, takiego jak użytkownik lub urządzenie. Autoryzacja obejmuje przyznanie uwierzytelnionemu podmiotowi zabezpieczeń uprawnień do wykonywania akcji lub uzyskiwania dostępu do zasobu.
Co to jest identyfikator Entra firmy Microsoft i jakie są jej zalety?
Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem dla firmy Microsoft. Zapewnia ona możliwości uwierzytelniania i ułatwia autoryzację dzięki integracji z większością usług w chmurze firmy Microsoft oraz szeroką gamą ofert oprogramowania jako usługi (SaaS) innych firm. Obsługuje nowoczesne, standardowe protokoły uwierzytelniania i autoryzacji w branży.
Uwaga
Dzięki integracji z usługą Active Directory systemu Windows Server identyfikator Entra firmy Microsoft pomaga również chronić zasoby wewnętrzne, takie jak aplikacje w sieci firmowej i intranecie, wraz z aplikacjami w chmurze, które opracowuje Organizacja.
Microsoft Entra ID służy jako magazyn tożsamości, zapewniając możliwość tworzenia kont dla użytkowników, grup i urządzeń organizacji. Umożliwia również tworzenie kont gości, które mogą reprezentować tożsamości organizacji partnerskich, co ułatwia udostępnianie zasobów w bezpieczny sposób w scenariuszach biznesowych (B2B). Możesz również użyć identyfikatora Entra firmy Microsoft w scenariuszach biznesowych-konsument (B2C), umożliwiając użytkownikom zewnętrznym rejestrowanie się w celu uzyskania dostępu do aplikacji przy użyciu istniejących poświadczeń, a także obsługuje najpopularniejszych dostawców tożsamości społecznościowych.
Dla każdego z tych scenariuszy można zaimplementować inne mechanizmy kontroli, które określają poziom ochrony przed potencjalnymi zagrożeniami. Te kontrolki obejmują wbudowaną obsługę uwierzytelniania wieloskładnikowego i dostępu warunkowego.
Identyfikator Entra firmy Microsoft organizuje swoje obiekty, takie jak użytkownicy, grupy i aplikacje w kontenerach nazywanych dzierżawami. Każda dzierżawa reprezentuje granicę administracyjną i zabezpieczeń. Możesz utworzyć co najmniej jedną dzierżawę dla swojej organizacji. Każda subskrypcja platformy Azure jest skojarzona z dzierżawą firmy Microsoft Entra.
Jaka jest rola identyfikatora Entra firmy Microsoft w aplikacjach natywnych dla chmury?
Jako deweloper aplikacji możesz użyć identyfikatora Entra firmy Microsoft do uwierzytelniania i autoryzowania dostępu dla aplikacji i ich danych. Microsoft Entra ID oferuje metody programowe, które ułatwiają tworzenie niestandardowych aplikacji. Służy również jako jedna lokalizacja do przechowywania informacji związanych z tożsamością cyfrową, w tym obsługi rejestracji aplikacji i odpowiednich podmiotów zabezpieczeń. Ta funkcja umożliwia zapewnienie szczegółowego dostępu do aplikacji wewnętrznie opracowanych dla każdego użytkownika, gościa lub grupy. Umożliwia również aplikacjom działanie niezależnie lub w imieniu użytkowników podczas uzyskiwania dostępu do innych zasobów, usług i aplikacji chronionych przez identyfikator firmy Microsoft.
Aplikacje natywne dla chmury korzystają z otwartych protokołów opartych na protokole HTTP w celu uwierzytelniania podmiotów zabezpieczeń, ponieważ zarówno klienci, jak i aplikacje mogą działać w dowolnym miejscu i na dowolnej platformie lub urządzeniu. Microsoft Entra ID, jako rozwiązanie tożsamości natywnej dla chmury, udostępnia tę funkcję, w tym interfejs oparty na protokole REST, oraz obsługę interfejsu API programu Graph i zapytań opartych na protokole OData.
Identyfikator Entra firmy Microsoft ułatwia implementowanie szeregu scenariuszy często spotykanych podczas tworzenia aplikacji natywnych dla chmury, takich jak:
- Użytkownicy uzyskują dostęp do aplikacji internetowych w przeglądarce internetowej.
- Użytkownicy uzyskują dostęp do internetowych interfejsów API zaplecza z aplikacji opartych na przeglądarce.
- Użytkownicy uzyskują dostęp do internetowych interfejsów API zaplecza z aplikacji mobilnych.
- Aplikacje, które uzyskują dostęp do internetowych interfejsów API zaplecza bez aktywnego użytkownika lub interfejsu użytkownika, korzystają z własnej tożsamości.
- Aplikacje współdziałające z innymi internetowymi interfejsami API działające w imieniu użytkownika przy użyciu poświadczeń delegowanych tego użytkownika.
W każdym z tych scenariuszy aplikacje muszą być zabezpieczone przed nieautoryzowanym użyciem. Ten krok wymaga co najmniej uwierzytelnienia podmiotu zabezpieczeń żądającego dostępu do zasobu. To uwierzytelnianie może używać jednego z kilku typowych protokołów, takich jak Security Assertion Markup Language (SAML) v2.0, WS-Fed lub OpenID Połączenie. Komunikacja z internetowymi interfejsami API zwykle opiera się na protokole OAuth2 i jego obsłudze tokenów dostępu.