将应用程序与 Microsoft Entra ID 和 Microsoft 标识平台集成

作为开发人员，你可以生成和集成 IT 专业人员可在企业中保护的应用。 本文将帮助你了解如何使用零信任原则，将应用程序与 Microsoft Entra ID 和 Microsoft 标识平台安全地集成。

Microsoft 基于云的身份和访问管理 Microsoft Entra ID 为开发人员提供以下应用程序集成优势：

• 应用程序身份验证和授权
• 用户身份验证和授权
• 使用联合身份验证或密码的单一登录 (SSO)
• 用户预配和同步
• 基于角色的访问控制
• OAuth 授权服务
• 应用程序发布和代理
• 目录架构扩展属性

关系图标题：适用于开发人员的 Microsoft 标识平台。 图表关系图副标题：生成应用程序并将标识与一个统一工具包集成。 列出的技术和示例包括 OpenID 连接、Microsoft 身份验证库（例如 MSAL、Web API 等 Microsoft Graph）的终结点、使用 Microsoft 合作伙伴网络进行发布者验证、跨域身份管理系统的用户设置 - SCIM，以及通过 MSAL 提供的身份验证代理。 支持的标识包括 Microsoft Entra ID、MSA 和 Microsoft Entra 外部 ID，包括 Azure AD B2C。 支持的行业标准包括 OAuth 2.0、OpenID Connect、SAML、SCIM。

上图说明了支持多个标识和行业标准、适用于开发人员的 Microsoft 标识平台的统一工具包。 可以生成应用程序并将标识与终结点、库、Web API、发布者验证、用户设置和身份验证代理集成。

应用集成入门

Microsoft 标识平台文档网站是你了解如何将应用程序与 Microsoft 标识平台集成的最佳起点。 你可以在 https://aka.ms/UpcomingIDLOBDev 上找到开发人员研讨会、研讨会材料、研讨会录音链接以及有关即将举行的事件的信息。

在设计应用时，你将需要：

• 确定你的应用需要访问的资源。
• 请考虑应用是否具有交互用户和工作负载组件。
• 通过构建通过权限和访问权限来保护身份的应用，访问 Microsoft Entra ID 保护的资源。

可以集成的应用类型

Microsoft 标识平台仅对已注册和支持的应用程序执行标识和访问管理 (IAM)。 若要与 Microsoft 标识平台集成，应用必须能够提供一个基于 Web 浏览器的组件，该组件可以连接到 https://login.microsoftonline.com 地址下 Microsoft 标识平台的授权终结点。 应用将调用同一地址下的令牌终结点。

集成的应用可以从任何位置运行，包括以下示例：

• Microsoft Azure
• 其他云提供商
• 你自己的数据中心和服务器
• 台式电脑
• 移动设备
• 物联网设备。

应用或设备（例如访问授权终结点的 Web 浏览器应用）可以在本机提供要求。 断开连接的浏览器与应用程序之间的协作将满足要求。 例如，在电视上运行的应用可以让用户通过台式机或移动设备上的浏览器进行初始验证。

你将注册客户端应用程序（Web 或本机应用）或 Web API，以在应用程序和 Microsoft 标识平台之间建立信任关系。 Microsoft Entra 应用程序注册至关重要，因为应用程序的任何配置错误或清理失误都可能导致故障时间或泄露。 遵循 Microsoft Entra ID 中应用程序属性的安全最佳做法。

发布到 Microsoft Entra 应用程序库

Microsoft Entra 应用程序库是服务型软件 (SaaS) 应用程序和 Microsoft Entra ID 中服务主体对象的集合，开发人员已将其与 Microsoft Entra ID 预集成。 它包含数千个应用程序，在应用程序中可轻松部署和配置 SSO 并自动化用户预配。

自动用户设置是指在用户需要访问的云应用程序中创建用户标识和角色。 自动设置包括维护和删除用户标识作为状态或角色更改。 Microsoft Entra 配置服务通过连接到由应用程序供应商提供的用于跨域身份管理系统 (SCIM) 2.0 用户管理 API 终结点，将用户预配到 SaaS 应用程序和其他系统。 此 SCIM 终结点允许 Microsoft Entra ID 以编程方式创建、更新和删除用户。

为 Microsoft Entra ID 开发应用时，开发人员可以使用 SCIM 2.0 用户管理 API 来生成集成了 Microsoft Entra ID 的 SCIM 终结点以便预配。 如需详细信息，请参阅在 Microsoft Entra ID 中开发 SCIM 终结点并计划其预配教程。

通过完成这些任务，将你的应用程序发布到 Microsoft Entra 应用程序库，并公开供用户添加到租户中：

• 完成先决条件。
• 创建并发布文档。
• 提交你的应用程序。
• 加入 Microsoft 合作伙伴网络。

成为经过验证的发布者

发布者验证为应用用户和组织管理员提供有关发布与 Microsoft 标识平台集成应用的开发者的真实性的信息。 当你是已验证的发布者时，用户可以更轻松地决定是否希望允许应用程序登录并访问其配置文件信息。 他们可以根据应用在令牌中请求的信息和访问权限来做出决定。

应用发布者通过将应用注册与其已经过验证的 Microsoft 合作伙伴网络 (MPN) 帐户相关联，以验证其身份。 在验证期间，Microsoft 会请求验证文档。 成为已验证的发布者后，应用的 Microsoft Entra 同意提示和网页中会显示一个蓝色的已验证锁屏提醒。

后续步骤

• 使用标识零信任方法生成应用概述了权限和访问的最佳做法。
• 授权最佳做法可帮助你为应用程序实现最佳授权、权限和同意模型。
• 配置应用的发布者域有助于了解多租户应用和默认发布者域值。
• 用于 Microsoft Entra ID 的 SaaS 应用程序集成教程可帮助你将已启用云的 SaaS 应用程序程序与 Microsoft Entra ID 集成。
• 如果在发布期间收到错误消息或看到意外行为，请参阅有关“排查发布者验证”的参考提示。