Поделиться через

Регистрация приложений

  • Статья

Портал регистрации приложений платформа удостоверений Майкрософт является основной точкой входа для приложений, использующих платформу для проверки подлинности и связанных с ними потребностей. В качестве разработчика при регистрации и настройке приложений вы можете выбрать диск и повлиять на то, насколько хорошо ваше приложение удовлетворяет принципам нулевого доверия. Эффективная регистрация приложений особенно учитывает принципы использования наименее привилегированного доступа и предполагают нарушение. Эта статья поможет вам узнать о процессе регистрации приложений и его требованиях, чтобы гарантировать, что ваши приложения соответствуют подходу нулевого доверия к безопасности.

Управление приложениями в идентификаторе Microsoft Entra ( Идентификатор Microsoft Entra) — это процесс безопасного создания, настройки, управления и мониторинга приложений в облаке. При регистрации приложения в клиенте Microsoft Entra вы настраиваете безопасный доступ пользователей.

Идентификатор Microsoft Entra представляет приложения по объектам приложений и субъектам-службам. В некоторых исключениях приложения являются объектами приложений. Представьте субъект-службу как экземпляр приложения, ссылающегося на объект приложения. Несколько субъектов-служб в разных каталогах могут ссылаться на один объект приложения.

Вы можете настроить приложение для использования идентификатора Microsoft Entra с помощью трех методов: в Visual Studio, с помощью API Microsoft Graph или с помощью PowerShell. В Azure и обозревателе API в центрах разработчиков есть возможности разработчика. Ссылаться на необходимые решения и задачи для ролей разработчика и ИТ-специалистов для создания и развертывания безопасных приложений в платформа удостоверений Майкрософт.

Кто может добавлять и регистрировать приложения

Администраторы и, если это разрешено клиентом, пользователи и разработчики могут создавать объекты приложений, регистрируя приложения в портал Azure. По умолчанию все пользователи в каталоге могут регистрировать объекты приложения, которые они разрабатывают. Разработчики объектов приложений решают, какие приложения совместно используются и предоставляют доступ к данным организации с помощью согласия.

Когда первый пользователь в каталоге входит в приложение и предоставляет согласие, система создает субъект-службу в клиенте, где хранятся все сведения о согласии пользователя. Идентификатор Microsoft Entra автоматически создает субъект-службу для только что зарегистрированного приложения в клиенте до проверки подлинности пользователя.

Назначенные по крайней мере роль администратора приложений или администратора облачных приложений могут выполнять определенные задачи приложения (например, добавление приложений из коллекции приложений и настройка приложений для использования прокси приложения).

Регистрация объектов приложения

Разработчик регистрирует приложения, использующие платформа удостоверений Майкрософт. Зарегистрируйте приложения в портал Azure или вызове API приложений Microsoft Graph. После регистрации приложения он взаимодействует с платформа удостоверений Майкрософт, отправляя запросы в конечную точку.

Возможно, у вас нет разрешения на создание или изменение регистрации приложения. Если администраторы не предоставляют вам разрешения на регистрацию приложений, попросите их передать необходимые сведения о регистрации приложений.

Свойства регистрации приложения могут включать следующие компоненты.

  • имя, логотип и издатель;
  • Перенаправление универсальных идентификаторов ресурсов (URI)
  • секретные ключи (симметричные и/или асимметричные ключи, применяемые для проверки подлинности приложения);
  • зависимости API (OAuth);
  • опубликованные API-интерфейсы, ресурсы, области (OAuth);
  • Роли приложения для управления доступом на основе ролей
  • Метаданные и конфигурация единого входа (SSO), подготовка пользователей и прокси-сервер

Необходимой частью регистрации приложения является выбор поддерживаемых типов учетных записей для определения того, кто может использовать приложение на основе типа учетной записи пользователя. Администраторы Microsoft Entra следуют модели приложения для управления объектами приложений в портал Azure через интерфейс Регистрация приложений и определяют параметры приложения, которые сообщают службе о том, как выдавать маркеры приложению.

Во время регистрации вы получите удостоверение приложения: идентификатор приложения (клиента). Приложение использует свой идентификатор клиента при каждом выполнении транзакции через платформа удостоверений Майкрософт.

Рекомендации по регистрации приложений

Следуйте рекомендациям по обеспечению безопасности для свойств приложения при регистрации приложения в идентификаторе Microsoft Entra ID в качестве важной части его бизнес-использования. Цель предотвратить простой или компромисс, которые могут повлиять на всю организацию. Следующие рекомендации помогут вам разработать безопасное приложение вокруг принципов нулевого доверия.

  • Используйте контрольный список платформа удостоверений Майкрософт интеграции, чтобы обеспечить высокое качество и безопасную интеграцию. Обеспечение качества и безопасности приложения.
  • Правильно определите URL-адреса перенаправления. Ссылайтесь на ограничения и ограничения URI перенаправления (URL-адрес ответа), чтобы избежать проблем совместимости и безопасности.
  • Проверьте URI перенаправления в регистрации приложения, чтобы избежать переключений домена. URL-адреса перенаправления должны находиться в доменах, которые вы знаете и владеете. Регулярно просматривайте и удаляйте ненужные и неиспользуемые URI. Не используйте URI, отличные от https, в рабочих приложениях.
  • Всегда определять и поддерживать владельцев приложений и субъектов-служб для зарегистрированных приложений в клиенте. Избегайте потерянных приложений (приложения и субъекты-службы без назначенных владельцев). Убедитесь, что ИТ-администраторы могут легко и быстро идентифицировать владельцев приложений во время чрезвычайной ситуации. Сохраняйте небольшое количество владельцев приложений. Затруднить скомпрометированную учетную запись пользователя, чтобы повлиять на несколько приложений.
  • Избегайте использования одной регистрации приложений для нескольких приложений. Разделение регистраций приложений помогает включить наименее привилегированный доступ и уменьшить влияние во время нарушения.
    • Используйте отдельные регистрации приложений для приложений, которые входят в систему пользователей и приложений, предоставляющих данные и операции через API (если не тесно связаны). Этот подход позволяет разрешениям для более высокого привилегированного API, например Microsoft Graph и учетных данных (например, секретов и сертификатов), на расстоянии от приложений, которые входят и взаимодействуют с пользователями.
    • Используйте отдельные регистрации приложений для веб-приложений и API. Этот подход помогает гарантировать, что если веб-API имеет более высокий набор разрешений, клиентское приложение не наследует их.
  • Определите приложение как мультитенантное приложение только при необходимости. Мультитенантные приложения позволяют подготавливать клиентов, отличных от ваших. Им требуется больше затрат на управление для фильтрации нежелательного доступа. Если вы не планируете разрабатывать приложение в качестве мультитенантного приложения, начните со значения SignInAudience AzureADMyOrg.

Следующие шаги