Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den Microsofts identitetsplattformappregistreringsportalen är den primära startpunkten för program som använder plattformen för autentisering och tillhörande behov. När du som utvecklare registrerar och konfigurerar dina appar kan dina val påverka hur väl programmet uppfyller Noll förtroende-principer. Effektiv appregistrering tar hänsyn till principerna för användning av minst privilegierad åtkomst och förutsätter intrång. Den här artikeln hjälper dig att lära dig mer om programregistreringsprocessen och dess krav för att säkerställa att dina appar följer en Nolltillit metod för säkerhet.
Programhantering i Microsoft Entra ID (Microsoft Entra ID) hjälper dig att på ett säkert sätt skapa, konfigurera, hantera och övervaka program i molnet. När du registrerar ditt program i en Microsoft Entra-klientorganisation konfigurerar du säker användaråtkomst.
Microsoft Entra ID representerar program efter programobjekt och tjänstens huvudnamn. Med vissa undantag är program programobjekt. Tänk på tjänstens huvudnamn som en instans av ett program som refererar till ett programobjekt. Flera tjänsthuvudnamn mellan kataloger kan referera till ett enda programobjekt.
Du kan konfigurera ditt program så att det använder Microsoft Entra-ID via tre metoder: i Visual Studio, med Microsoft Graph API eller med PowerShell. Det finns utvecklarupplevelser i Azure och i API Explorer i utvecklarcenter. Referera till de beslut och uppgifter som krävs för utvecklar- och IT Pro-rollerna för att skapa och distribuera säkra program i Microsofts identitetsplattform.
Vem kan lägga till och registrera applikationer
Administratörer och, när klientorganisationen tillåter användare och utvecklare, kan skapa programobjekt när de registrerar program i Azure-portalen. Som standard kan alla användare i en katalog registrera programobjekt som de utvecklar. Programobjektutvecklare bestämmer vilka program som delar och ger åtkomst till organisationsdata genom medgivande.
När den första användaren i en katalog loggar in på ett program och beviljar medgivande skapar systemet ett huvudnamn för tjänsten i klientorganisationen som lagrar all information om användarmedgivande. Microsoft Entra-ID skapar automatiskt ett huvudnamn för tjänsten för en nyligen registrerad app i klientorganisationen innan en användare autentiseras.
Användare med rollen Programadministratör eller Molnprogramadministratör kan utföra specifika programuppgifter (till exempel att lägga till program från appgalleriet och konfigurera program för att använda programproxy).
Registrera programobjekt
Som utvecklare registrerar du dina appar som använder Microsofts identitetsplattform. Registrera dina appar i Azure Portal eller genom att anropa API:er för Microsoft Graph-program. När du har registrerat din app kommunicerar den med Microsofts identitetsplattform genom att skicka begäranden till slutpunkten.
Du kanske inte har behörighet att skapa eller ändra en programregistrering. När administratörer inte ger dig behörighet att registrera dina program frågar du dem hur du kan förmedla nödvändig appregistreringsinformation till dem.
Egenskaperna för programregistrering kan innehålla följande komponenter.
- Namn, logotyp och utgivare
- Omdirigera URI (Uniform Resource Identifier)
- Hemligheter (symmetriska och/eller asymmetriska nycklar som används för att autentisera programmet)
- API-beroenden (OAuth)
- Publicerade API:er/resurser/omfång (OAuth)
- Applikationsroller för rollbaserad åtkomstkontroll
- Metadata och konfiguration för enkel inloggning (SSO), användaretablering och proxy
En nödvändig del av appregistreringen är ditt val av kontotyper som stöds för att definiera vem som kan använda din app baserat på användarens kontotyp. Microsoft Entra-administratörer följer programmodellen för att hantera programobjekt i Azure Portal via Appregistreringar och definiera programinställningar som talar om för tjänsten hur token ska utfärdas till programmet.
Under registreringen får du identiteten för ditt program: programmets (klient)-ID. Din app använder sitt klient-ID varje gång den utför en transaktion via Microsofts identitetsplattform.
Metodtips för appregistrering
Följ rekommenderade säkerhetsmetoder för programegenskaper när du registrerar ditt program i Microsoft Entra-ID som en viktig del av dess affärsanvändning. Syftet är att förhindra driftstopp eller kompromisser som kan påverka hela organisationen. Följande rekommendationer hjälper dig att utveckla ditt säkra program kring Nolltillit principer.
- Använd checklistan för Microsofts identitetsplattform integrering för att säkerställa hög kvalitet och säker integrering. Upprätthålla appens kvalitet och säkerhet.
- Definiera omdirigerings-URL:er korrekt. Se begränsningar och restriktioner för omdirigerings-URI (svars-URL) för att undvika kompatibilitets- och säkerhetsproblem.
- Kontrollera omdirigerings-URI:er i din appregistrering för ägarskap för att undvika domänövertaganden. Omdirigerings-URL:er bör finnas på domäner som du känner till och äger. Granska och ta bort onödiga och oanvända URI:er regelbundet. Använd inte icke-https-URI:er i produktionsappar.
- Definiera och underhåll alltid app- och tjänstehuvudägare för dina registrerade appar i din tenant. Undvik överblivna appar (appar och tjänstens huvudnamn utan tilldelade ägare). Se till att IT-administratörer enkelt och snabbt kan identifiera appägare under en nödsituation. Håll antalet appägare litet. Gör det svårt för ett komprometterat användarkonto att påverka flera program.
-
Undvik att använda samma appregistreringför flera appar. Genom att separera appregistreringar kan du aktivera åtkomst med minst privilegier och minska påverkan under ett intrång.
- Använd separata appregistreringar för appar som loggar in användare och appar som exponerar data och åtgärder via API (om de inte är nära kopplade). Den här metoden tillåter behörigheter för ett högre privilegierat API, till exempel Microsoft Graph och autentiseringsuppgifter (till exempel hemligheter och certifikat), på avstånd från appar som loggar in och interagerar med användare.
- Använd separata appregistreringar för webbappar och API:er. Den här metoden hjälper till att säkerställa att klientappen inte ärver dem om webb-API:et har en högre uppsättning behörigheter.
- Definiera ditt program som en app för flera klientorganisationer endast när det behövs. Multitenant-appar tillåter tillhandahållande i andra klientorganisationer än dina egna. De kräver mer hanteringskostnader för att filtrera oönskad åtkomst. Om du inte tänker utveckla din app som en app med flera klientorganisationer börjar du med ett SignInAudience-värde för AzureADMyOrg.
Nästa steg
- Referera till Microsofts identitetsplattform dokumentationen för att lära dig hur du registrerar programtyper. Exempel på apptyper är ensidesappar (SPA), webbappar, webb-API:er, skrivbordsappar, mobilappar och bakgrundstjänster, daemoner och skript.
- Integrera program med Microsoft Entra-ID och Microsofts identitetsplattform hjälper utvecklare att skapa och integrera appar som IT-proffs kan skydda i företaget.
- Att inhämta auktorisering för åtkomst till resurser hjälper dig att förstå hur du bäst kan säkerställa Zero Trust vid förvärv av resursåtkomstbehörigheter för din applikation.
- Metodtips för auktorisering hjälper dig att implementera de bästa auktoriserings-, behörighets- och medgivandemodellerna för dina program.