应用程序 API 概述

Microsoft Entra ID是标识和访问管理 (IAM) 系统。 其功能的核心部分是Microsoft 标识平台，它为已注册的应用程序提供身份验证和授权服务。 Microsoft Graph API 允许以编程方式注册和管理应用程序，使你能够使用 Microsoft 的 IAM 功能。

Microsoft Entra ID 中应用程序的构建基块

Microsoft Entra应用程序由应用程序对象和服务主体对象定义。 跨Microsoft Entra只有一个应用程序对象，但应用程序可以有多个服务主体对象。

应用程序注册

Microsoft 标识平台信任应用程序的第一步是在租户中创建应用注册。 创建应用注册时，请告知Microsoft Entra ID有关应用程序的以下信息：

• 正在构建的应用类型 - Web 应用、本机应用、Web API 或守护程序应用
• 应用是多租户还是单租户
• 应用所在的位置
• 身份验证后发送答复的位置
• 应用的基本标识信息等

在 Microsoft Graph 中使用 应用程序资源类型 及其关联方法以编程方式管理应用程序注册对象。

服务主体

Microsoft Entra ID中的每个已注册应用程序在需要访问租户资源的每个租户中都有相应的服务主体对象。 服务主体从应用程序对象派生其公共属性和默认属性。 服务主体允许定义以下参数：

• 用户可用于访问应用的标识提供者
• 谁可以使用应用，等等

在 Microsoft Graph 中使用 servicePrincipal 资源类型 及其关联方法以编程方式管理服务主体。

如何使用 Microsoft Graph API 管理应用？

可以使用 Microsoft Graph API 进行应用程序管理，以执行以下任务等：

• 对于 应用程序对象：
  • 以编程方式创建和管理应用程序。
  • 配置基本应用程序属性，例如应用程序名称、徽标和所有者。
  • 配置应用程序凭据，例如客户端密码、证书和联合凭据。
  • 允许或限制用户和组访问应用程序。
• 获取在 Microsoft Entra 应用程序库中注册的应用的应用程序模板，并将库中的应用添加到租户。
• 对于 服务主体：
  • 以编程方式创建和管理服务主体。
  • 为服务主体配置自定义值，例如名称、徽标和所有者。
  • 配置应用程序凭据，例如客户端密码、证书和联合凭据。
  • 允许或限制用户和组访问应用程序。
  • 配置用户在登录时可以使用其进行身份验证的标识提供者。
  • 配置单一登录 (SSO) 选项。
  • 配置要添加到访问令牌的声明。
  • 管理已授予服务主体的权限。
• 将本地应用程序连接到Microsoft Entra ID，保护对本地应用程序的远程访问，并将本地应用程序发布到远程用户。
• 从本地目录或 SaaS 应用程序预配标识并将其同步到Microsoft Entra ID。

若要发现用于管理应用程序和服务主体的所有 API 操作，请参阅使用 Microsoft Graph 管理Microsoft Entra应用程序和服务主体。

其他资源

• 在 Microsoft Entra ID 中详细了解应用程序和服务主体之间的关系。
• 什么是应用程序管理？

后续步骤

发现用于管理应用程序的 API 操作