在 Microsoft 身分識別平台中,應用程式物件描述應用程式。 在部署期間,Microsoft 身分識別平台會使用應用程式物件作為藍圖來建立服務主體,其代表目錄或租用戶內應用程式的實體執行個體。 服務主體能定義哪些應用程式在特定目標目錄中可執行哪些作業、誰可以使用該應用程式,以及該應用程式可存取哪些資源等。 Microsoft 身分識別平台會透過同意,從應用程式物件建立服務主體。
下圖顯示由同意驅動的簡化 Microsoft 身分平台佈建流程。 它會顯示兩個租用戶:A 和 B。
租用戶 A擁有應用程式。
租用戶 B會透過服務主體來具現化應用程式。
在此佈建流程中:
來自租用戶 B 的使用者嘗試使用應用程式登入。 授權端點會要求應用程式的權杖。
系統會取得並驗證使用者認證以進行驗證。
系統會提示使用者同意讓應用程式存取租用戶 B。
Microsoft 身分識別平台會使用租用戶 A 中的應用程式物件作為藍圖,在租用戶 B 中建立服務主體。
使用者會收到所要求的權杖。
您可以針對更多租用戶重複此程序。 租用戶 A 會保留應用程式 (應用程式物件) 的藍圖。 在所有其他租用戶中,只要該應用程式獲得同意,使用者和系統管理員可以透過每個租用戶中的相應服務主體物件來控制應用程式被允許執行的作業。 如需詳細資訊,請參閱 Microsoft 身分識別平台中的應用程式和服務主體物件。