Eksplorowanie jednostek usługi
Aby delegować funkcje zarządzania tożsamościami i dostępem do usługi Azure Active Directory, aplikacja musi zostać zarejestrowana w dzierżawie usługi Azure Active Directory. Podczas rejestrowania aplikacji w usłudze Azure Active Directory tworzysz konfigurację tożsamości dla aplikacji, która umożliwia jej integrację z usługą Azure Active Directory. Podczas rejestrowania aplikacji w Azure Portal należy wybrać, czy jest to:
- Pojedyncza dzierżawa: dostępna tylko w dzierżawie
- Wiele dzierżaw: dostępne w innych dzierżawach
Jeśli zarejestrujesz aplikację w portalu, obiekt aplikacji (globalnie unikatowe wystąpienie aplikacji) i obiekt jednostki usługi zostaną automatycznie utworzone w dzierżawie głównej. Masz również globalnie unikatowy identyfikator aplikacji (identyfikator aplikacji lub klienta). W portalu możesz następnie dodać wpisy tajne lub certyfikaty i zakresy, aby aplikacja działała, dostosować znakowanie aplikacji w oknie dialogowym logowania i nie tylko.
Uwaga
Obiekty jednostki usługi można również tworzyć w dzierżawie przy użyciu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, programu Microsoft Graph i innych narzędzi.
Obiekt aplikacji
Aplikacja usługi Azure Active Directory jest definiowana przez jeden i tylko obiekt aplikacji. Obiekt aplikacji znajduje się w dzierżawie usługi Azure Active Directory, w której zarejestrowano aplikację (znaną jako "domowa" dzierżawa aplikacji). Obiekt aplikacji jest używany jako szablon lub strategia do tworzenia co najmniej jednego obiektu jednostki usługi. Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja. Podobnie jak klasa w programowaniu obiektowym, obiekt aplikacji ma pewne właściwości statyczne, które są stosowane do wszystkich utworzonych jednostek usługi (lub wystąpień aplikacji).
Obiekt aplikacji opisuje trzy aspekty aplikacji: sposób, w jaki usługa może wystawiać tokeny w celu uzyskania dostępu do aplikacji, zasobów, do których aplikacja może potrzebować dostępu, oraz akcji, które może wykonać aplikacja.
Jednostka Aplikacji programu Microsoft Graph definiuje schemat właściwości obiektu aplikacji.
Obiekt jednostki usługi
Aby uzyskać dostęp do zasobów zabezpieczonych przez dzierżawę usługi Azure Active Directory, jednostka, która wymaga dostępu, musi być reprezentowana przez podmiot zabezpieczeń. Dotyczy to zarówno użytkowników (jednostki użytkownika) jak i aplikacji (jednostki usługi).
Podmiot zabezpieczeń definiuje zasady dostępu i uprawnienia użytkownika/aplikacji w dzierżawie usługi Azure Active Directory. Umożliwia to korzystanie z podstawowych funkcji, takich jak uwierzytelnianie użytkownika/aplikacji podczas logowania i autoryzacja podczas uzyskiwania dostępu do zasobów.
Istnieją trzy typy jednostek usługi:
Aplikacja — ten typ jednostki usługi jest lokalną reprezentacją lub wystąpieniem aplikacji globalnego obiektu aplikacji w jednej dzierżawie lub katalogu. Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja i odwołuje się do globalnie unikatowego obiektu aplikacji. Obiekt jednostki usługi definiuje, co aplikacja może zrobić w określonej dzierżawie, kto może uzyskać dostęp do aplikacji i do jakich zasobów może uzyskiwać dostęp do aplikacji.
Tożsamość zarządzana — ten typ jednostki usługi jest używany do reprezentowania tożsamości zarządzanej. Tożsamości zarządzane zapewniają tożsamość aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie usługi Azure Active Directory. Po włączeniu tożsamości zarządzanej jednostka usługi reprezentująca tę tożsamość zarządzaną jest tworzona w dzierżawie. Jednostki usługi reprezentujące tożsamości zarządzane mogą mieć dostęp i uprawnienia, ale nie można ich aktualizować ani modyfikować bezpośrednio.
Starsza wersja — ten typ jednostki usługi reprezentuje starszą aplikację, która jest aplikacją utworzoną przed wprowadzeniem rejestracji aplikacji lub aplikacją utworzoną za pomocą starszych środowisk. Starsza jednostka usługi może mieć poświadczenia, nazwy główne usługi, adresy URL odpowiedzi i inne właściwości, które autoryzowany użytkownik może edytować, ale nie ma skojarzonej rejestracji aplikacji. Jednostka usługi może być używana tylko w dzierżawie, w której została utworzona.
Relacja między obiektami aplikacji a jednostkami usługi
Obiekt aplikacji jest globalną reprezentacją aplikacji do użycia we wszystkich dzierżawach, a jednostka usługi jest lokalną reprezentacją do użycia w określonej dzierżawie. Obiekt aplikacji służy jako szablon, z którego pochodzą typowe i domyślne właściwości do stosowania podczas tworzenia odpowiednich obiektów jednostki usługi.
Obiekt aplikacji ma:
- Jedna do jednej relacji z aplikacją oprogramowania i
- Jedna do wielu relacji z odpowiadającymi jej obiektami jednostki usługi.
Jednostka usługi musi zostać utworzona w każdej dzierżawie, w której aplikacja jest używana, aby umożliwić jej ustanowienie tożsamości na potrzeby logowania i/lub dostępu do zasobów zabezpieczonych przez dzierżawę. Aplikacja jednej dzierżawy ma tylko jedną jednostkę usługi (w swojej głównej dzierżawie) utworzoną do użycia podczas rejestracji aplikacji i mającą na to zgodę. Aplikacja z wieloma dzierżawami ma również jednostkę usługi utworzoną w każdej dzierżawie, w której użytkownik z tej dzierżawy wyraził zgodę na jego użycie.