Интеграция приложений с идентификатором Microsoft Entra и платформа удостоверений Майкрософт
Разработчик может создавать и интегрировать приложения, которые ИТ-специалисты могут защитить в организации. В этой статье показано, как использовать принципы нулевого доверия для безопасной интеграции приложения с идентификатором Microsoft Entra и платформа удостоверений Майкрософт.
Облачная служба управления удостоверениями и доступом (Microsoft Entra ID) предоставляет разработчикам следующие преимущества интеграции приложений:
- проверка подлинности и авторизация приложения;
- проверка подлинности и авторизация пользователей;
- Единый вход (единый вход) с помощью федерации или пароля
- подготовка пользователей и синхронизация;
- Управление доступом на основе ролей
- Службы авторизации OAuth
- Публикация приложений и прокси-сервер
- Атрибуты расширения схемы каталога
На приведенной выше схеме показан единый набор средств платформа удостоверений Майкрософт для разработчиков, поддерживающий несколько удостоверений и отраслевых стандартов. Вы можете создавать приложения и интегрировать удостоверения с конечными точками, библиотеками, веб-API, проверкой издателя, подготовкой пользователей и брокерами проверки подлинности.
Начало работы с интеграцией приложений
Сайт документации платформа удостоверений Майкрософт является лучшим отправным пунктом, чтобы узнать, как интегрировать приложения с платформа удостоверений Майкрософт. Вы можете найти семинары разработчиков, материалы для семинаров, ссылки на записи семинаров и информацию о предстоящих трансляциях в https://aka.ms/UpcomingIDLOBDev.
При разработке приложения необходимо выполнить следующие действия.
- Определите ресурсы, к которым требуется доступ приложения.
- Рассмотрите, имеет ли ваше приложение интерактивные пользователи и компоненты рабочей нагрузки.
- Доступ к ресурсам, защищенным идентификатором Microsoft Entra, путем создания приложений, которые защищают удостоверение с помощью разрешений и доступа.
Типы приложений, которые можно интегрировать
Платформа удостоверений Майкрософт выполняет управление удостоверениями и доступом (IAM) только для зарегистрированных и поддерживаемых приложений. Чтобы интегрироваться с платформа удостоверений Майкрософт, приложение должно иметь возможность предоставить компонент на основе веб-браузера, который может подключаться к конечным точкам авторизации платформа удостоверений Майкрософт в адресеhttps://login.microsoftonline.com
. Приложение вызывает конечную точку токена в том же адресе.
Интегрированное приложение может выполняться из любого расположения, включая следующие примеры:
- Microsoft Azure
- Другие поставщики облачных служб
- Собственные центры обработки данных и серверы
- Настольные компьютеры
- Мобильные устройства
- Устройства Интернета вещей.
Приложение или устройство, например веб-браузерное приложение, обращаюющееся к конечной точке авторизации, может предоставлять требования в собственном коде. Сотрудничество между отключенным браузером и приложением удовлетворяет требованиям. Например, приложения, работающие на телевидении, могут иметь, чтобы пользователь выполнял начальную проверку подлинности с помощью браузера на рабочем столе или мобильном устройстве.
Вы регистрируете клиентское приложение (веб-приложение или собственное приложение) или веб-API для установления отношения доверия между приложением и платформа удостоверений Майкрософт. Регистрация приложений Microsoft Entra имеет решающее значение, так как неправильно настроенная или неправильная гигиена приложения может привести к простою или компрометации. Следуйте рекомендациям по обеспечению безопасности свойств приложения в идентификаторе Microsoft Entra.
Публикация в коллекции приложений Microsoft Entra
Коллекция приложений Microsoft Entra — это коллекция приложений программного обеспечения как услуга (SaaS) в предварительной оценке идентификатора Microsoft Entra с идентификатором Microsoft Entra. Он содержит тысячи приложений, которые упрощают развертывание и настройку единого входа и автоматической подготовки пользователей.
Автоматическая подготовка пользователей относится к созданию удостоверений пользователей и ролей в облачных приложениях, к которым пользователям требуется доступ. Автоматическая подготовка включает обслуживание и удаление удостоверений пользователей в качестве изменения состояния или ролей. Чтобы подготовить пользователей к приложениям SaaS и другим системам, служба подготовки Microsoft Entra подключается к конечной точке API управления междоменной идентификацией (SCIM) 2.0, которую предоставляет поставщик приложений. Эта конечная точка SCIM позволяет идентификатору Microsoft Entra программно создавать, обновлять и удалять пользователей.
При разработке приложений для идентификатора Microsoft Entra можно использовать API управления пользователями SCIM 2.0 для создания конечной точки SCIM, которая интегрирует идентификатор Microsoft Entra для подготовки. Дополнительные сведения см. в руководстве по разработке и планированию подготовки конечной точки SCIM в руководстве по идентификатору Microsoft Entra ID .
Опубликуйте приложение в коллекцию приложений Microsoft Entra и сделайте их общедоступными для пользователей, которые будут добавляться в свои клиенты, выполнив следующие задачи:
- Выполните необходимые условия.
- Разработайте и опубликуйте документацию.
- Отправьте приложение.
- Присоединитесь к программе Microsoft Partner Network.
Получение статуса проверенного издателя
Проверка издателя предоставляет сведения пользователям приложений и администраторам организации о подлинности разработчиков, публикующих приложения, которые интегрируются с платформа удостоверений Майкрософт. Когда вы являетесь проверенным издателем, пользователи могут легко решить, следует ли разрешить приложению войти в систему и получить доступ к своим сведениям профиля. Они могут основывать свое решение на сведениях и доступе, которые приложение запрашивает в токенах.
Издатели приложений проверяют удостоверение с корпорацией Майкрософт, связав регистрацию приложения с проверенной учетной записью Microsoft Partner Network (MPN). Во время проверки документация майкрософт запрашивает проверку. После того как вы станете проверенным издателем, на веб-страницах и веб-страницах приложения отображается синяя проверенная эмблема.
Следующие шаги
- Создание приложений с использованием подхода "Нулевое доверие" к удостоверениям предоставляет общие сведения о разрешениях и рекомендациях по доступу.
- Рекомендации по авторизации помогут реализовать лучшие модели авторизации, разрешения и согласия для приложений.
- Настройка домена издателя приложения помогает понять многотенантные приложения и значения домена издателя по умолчанию.
- Учебники по интеграции приложений SaaS для использования с идентификатором Microsoft Entra помогают интегрировать облачные приложения SaaS с идентификатором Microsoft Entra.
- Советы по устранению неполадок с проверкой издателя при получении ошибок или непредвиденном поведении во время публикации.