Как и почему приложения добавляются в идентификатор Microsoft Entra

  • Статья

Существует два представления приложений в идентификаторе Microsoft Entra:

  • Объекты приложений. Объекты приложений можно считать определением приложения, хотя есть исключения.
  • Субъекты-службы — их можно считать экземпляром приложения. Субъекты-службы обычно ссылаются на объект приложения, а на один объект приложения могут ссылаться несколько субъектов-служб в каталогах.

Что такое объекты приложений и откуда они берутся?

Объекты приложений можно управлять в Центре администрирования Microsoft Entra с помощью интерфейса Регистрация приложений. Объекты приложений описывают приложение с идентификатором Microsoft Entra и могут считаться определением приложения, позволяя службе знать, как выдавать маркеры приложению на основе его параметров. Объект приложения будет существовать только в своем домашнем каталоге, даже если это мультитенантное приложение, поддерживающее субъекты-службы в других каталогах. Объект приложения может включать (но не ограничивается) одним из следующих элементов:

  • имя, логотип и издатель;
  • URI перенаправления
  • секретные ключи (симметричные и/или асимметричные ключи, применяемые для проверки подлинности приложения);
  • зависимости API (OAuth);
  • опубликованные API-интерфейсы, ресурсы, области (OAuth);
  • Роли приложения
  • Метаданные и конфигурации единого входа
  • Метаданные и конфигурация для подготовки пользователя
  • Метаданные и конфигурация прокси-сервера

Объекты приложений можно создать несколькими способами, включая следующие:

  • Регистрация приложений в Центре администрирования Microsoft Entra
  • Создание приложения с помощью Visual Studio и его настройка для использования проверки подлинности Microsoft Entra
  • когда администратор добавляет приложение из коллекции приложений (при этом также создается субъект-служба);
  • Использование API Microsoft Graph или PowerShell для создания нового приложения
  • множество остальных методов, включая различные возможности разработки в Azure и обозревателе API-интерфейсов в центрах разработчиков.

Что такое субъекты-службы и откуда они берутся?

Субъекты-службы можно управлять в Центре администрирования Microsoft Entra с помощью интерфейса корпоративных приложений. Субъекты-службы — это то, что управляет приложением, подключающимся к идентификатору Microsoft Entra, и его можно рассматривать как экземпляр приложения в каталоге. Для любого конкретного приложения он может иметь не более одного объекта приложения (который зарегистрирован в каталоге home) и один или несколько объектов субъекта-службы, представляющих экземпляры приложения в каждом каталоге, в котором он действует.

Субъект-служба может содержать:

  • обратную ссылку на объект приложения через свойство идентификатора приложения;
  • записи назначений для локальных пользователей и ролей приложения в группе;
  • Записи разрешений локального пользователя и администратора, предоставленных приложению
    • (например, разрешение для приложения на доступ к электронной почте конкретного пользователя);
  • записи локальных политик, включая политику условного доступа;
  • Записи альтернативных локальных параметров для приложения
    • утверждает правила преобразования.
    • Сопоставление атрибутов (подготовка пользователей)
    • специфические для каталога роли приложения (если приложение поддерживает настраиваемые роли);
    • специфическое для каталога имя или логотип.

Как и объекты приложений, субъекты-службы тоже можно создать несколькими способами, включая следующие:

  • При входе пользователей в стороннее приложение, интегрированное с идентификатором Microsoft Entra
    • Во время входа пользователям предлагается предоставлять приложению разрешение на право доступа к своему профилю и прочие разрешения. Когда первый пользователь дает свое согласие, субъект-служба, которая представляет приложение, добавляется в каталог.
  • Когда пользователи входят в веб-службы Microsoft, например Microsoft 365.
    • Когда вы подписываетесь на Microsoft 365 или начинаете работать с пробной версией, в каталоге создается один или несколько субъектов-служб, которые представляют различные службы, используемые для предоставления всех возможностей, связанных с Microsoft 365.
    • Некоторые службы Microsoft 365, например SharePoint, создают субъекты-службы на постоянной основе, чтобы обеспечивать безопасное взаимодействие между компонентами, включая рабочие процессы.
  • Когда администратор добавляет приложение из коллекции приложений (при этом также создается объект базового приложения).
  • Добавление приложения для использования прокси приложения Microsoft Entra
  • Подключение приложение для единого входа с помощью SAML или единого входа с паролем
  • Программным путем через API Microsoft Graph или PowerShell

В приложении один объект приложения находится в домашнем каталоге, на который ссылается один или несколько субъектов-служб в каждом из каталогов, в которых оно работает (включая домашний каталог приложения).

Показывает отношение между объектами приложения и субъектами-службами.

На предыдущей схеме показано, что корпорация Майкрософт поддерживает два внутренних каталога (слева), которые она использует для публикации приложений:

  • Один служит для приложений Microsoft (каталог служб Microsoft)
  • другой — для предварительно интегрированных сторонних приложений (каталог коллекции приложений).

Издатели и поставщики приложений, которые интегрируются с идентификатором Microsoft Entra, должны иметь каталог публикации (показан справа как каталог "Некоторые программное обеспечение как услуга").

К приложениям, которые вы добавляете самостоятельно (представлены как App (yours) (Приложение (ваше)) на схеме), относятся:

  • Разработанные приложения (интегрированы с идентификатором Microsoft Entra)
  • Приложения, подключенные для единого входа
  • Приложения, опубликованные с помощью прокси приложения Microsoft Entra

Примечания и исключения

  • Не все субъекты-службы указывают на объект приложения. Когда идентификатор Microsoft Entra изначально был создан, службы, предоставляемые приложениям, были более ограниченными, и субъект-служба был достаточно для установления удостоверения приложения. По своей форме первоначальный субъект-служба был похож на учетную запись службы Windows Server Active Directory. По этой причине можно по-прежнему создавать субъекты-службы с помощью различных путей, таких как использование Microsoft Graph PowerShell, без первого создания объекта приложения. Перед созданием субъекта-службы интерфейсу API Microsoft Graph требуется объект приложения.
  • В настоящее время не все приведенные выше сведения предоставляются программно. Следующие возможности доступны только в пользовательском интерфейсе.
    • утверждает правила преобразования.
    • Сопоставление атрибутов (подготовка пользователей)
  • Дополнительные сведения о объектах субъекта-службы и приложения см. в справочной документации по API Microsoft Graph:

Почему приложения интегрируются с идентификатором Microsoft Entra?

Приложения добавляются в идентификатор Microsoft Entra для использования одной или нескольких служб, предоставляемых в том числе:

  • проверка подлинности и авторизация приложения;
  • проверка подлинности и авторизация пользователей;
  • SSO с помощью федерации или пароля;
  • подготовка пользователей и синхронизация;
  • Управление доступом на основе ролей (RBAC) — используйте каталог для определения ролей приложения для выполнения проверка авторизации на основе ролей в приложении.
  • службы авторизации OAuth: используются Microsoft 365 и другими приложениями Майкрософт для авторизации доступа к API-интерфейсам и ресурсам;
  • публикация приложений и прокси-сервер (публикация приложения из частной сети в Интернете).
  • Атрибуты расширения схемы каталогов— расширение схемы субъектов-служб и объектов пользователей для хранения дополнительных данных в идентификаторе Microsoft Entra

Кто имеет разрешение на добавление приложений в экземпляр Microsoft Entra?

Хотя существуют некоторые задачи, которые могут выполнять только глобальные Администратор istrators (например, добавление приложений из коллекции приложений и настройка приложения для использования прокси приложения) по умолчанию все пользователи в вашем каталоге имеют права на регистрацию объектов приложений, которые они разрабатывают и предоставляют доступ к своим корпоративным данным с помощью согласия. Если пользователь является первым пользователем в каталоге для входа в приложение и предоставления согласия, это создаст субъект-службу в клиенте. В противном случае сведения о предоставлении согласия будут храниться в существующем субъекте-службе.

Разрешение пользователям регистрировать и давать согласие на приложения могут первоначально звучать относительно, но помните следующие причины:

  • Приложения смогли использовать Windows Server Active Directory для проверки подлинности пользователей в течение многих лет, не требуя регистрации или записи приложения в каталоге. Теперь организациям будет четко видно, сколько приложений используют каталог и в каких целях.
  • Делегировав эти обязанности пользователям, администраторам больше не нужно будет выполнять процесс регистрации и публикации приложения самостоятельно. В случае со службами федерации Active Directory (ADFS) существовала определенная вероятность, что администратор должен был добавлять приложение в качестве проверяющей стороны от имени разработчиков. Теперь разработчики могут все делать сами.
  • Очень удобно, когда пользователи могут входить в приложения с помощью своих учетных записей организации для выполнения бизнес-задач. Если впоследствии они покидают организацию, они автоматически теряют доступ к своей учетной записи в приложении, которое они использовали.
  • Очень удобно записывать (фиксировать) данные, к которым был организован общий доступ, а также приложение, которое применялось для этого. Данные сегодня переносить значительно легче, и очень удобно записывать (фиксировать) данные, к которым был предоставлен общий доступ, а также приложение, которое применялось для этого.
  • Владельцы API, использующие идентификатор Microsoft Entra для OAuth, определяют, какие разрешения пользователи могут предоставлять приложениям, и какие разрешения требуют, чтобы администратор согласился. Только администраторы могут предоставлять разрешения в больших масштабах и более значимые разрешения, тогда как пользователь может предоставлять разрешения только относительно собственных данных и возможностей.
  • Когда пользователь добавляет или разрешает приложению доступ к своим данным, событие можно выполнить аудит, чтобы просмотреть отчеты аудита в Центре администрирования Microsoft Entra, чтобы определить, как приложение было добавлено в каталог.

Если вы все равно хотите запретить пользователям в вашем каталоге регистрировать приложения и входить в приложения без утверждения администратора, можно изменить два параметра, чтобы отключить эти возможности.

  • Сведения о том, как изменить параметры согласия пользователя в организации, см. в статье Настройка способа согласия пользователей на использование приложений.

  • Чтобы запретить пользователям регистрировать свои приложения:

    1. В Центре администрирования Microsoft Entra перейдите к параметрам пользователей>удостоверений>.
    2. Для параметра Users can register applications (Пользователи могут регистрировать приложения) задайте значение Нет.