使用伺服器對伺服器 (S2S) 驗證建立 Web 應用程式
發佈日期: 2017年1月
適用對象: Dynamics 365 (online)
此功能已在 Microsoft Dynamics 365 (Online) 的 2016 年 12 月更新 中提供。
使用伺服器對伺服器 (S2S) 驗證,可安全順暢地透過 Web 應用程式與服務與 Dynamics 365 (線上) 適用的 2016 年 12 月更新 通訊。 S2S 驗證是應用程式在 Microsoft AppSource 上註冊的常用方式,用來存取其訂閱者的 Dynamics 365 資料。
S2S 驗證表示您不需要使用付費 Dynamics 365 使用者授權,當您連線至 Dynamics 365 用戶時。 您用於 S2S 驗證的特殊應用程式使用者帳戶沒有授權費用。 使用 S2S 驗證時,會建立特殊的 Dynamics 365 未授權應用程式使用者帳戶,且包含已在 Azure Active Directory (Azure AD) 註冊的應用程式的相關資訊。 應用程式不使用使用者認證,而是根據儲存在 Dynamics 365 應用程式使用者記錄中的 Azure AD 物件識別碼所識別的服務主體進行驗證。Dynamics 365 應用程式使用者與自訂資訊安全角色相關聯,可控制應用程式可執行的資料和作業類型。
您的應用或服務使用 S2S 執行的所有作業,都會以您提供的應用程式使用者身分執行,而不會以存取您應用程式的使用者身分。 如果您要讓應用程式以特定使用者身分執行資料作業,例如與您的應用程式互動的使用者,在套用至應用程式服務主體的自訂資訊安全角色具有必要的權限時,可以套用模擬。其他資訊:模擬另一位使用者
使用 S2S 驗證的 Web 應用程式或服務負責控制其可存取的資料存取權。 這通常是使用 OpenID Connect 提供者完成。其他資訊:http://openid.net/connect/。
伺服器對伺服器驗證案例
有兩種案例可套用 S2S 驗證。
情況 |
描述 |
|---|---|
多組織用戶共享 |
這是最常見的案例,用於使用 Microsoft AppSource 發佈的應用程式。 每個 Dynamics 365 用戶都與 Azure AD 用戶相關聯。 您的 Web 應用程式或服務已使用您的 Azure AD 用戶註冊。 在此案例中,任何 Dynamics 365 用戶都可能使用您的多組織用戶共享應用程式,在他們授權應用程式存取其用戶中的資料後。 |
單一組織用戶 |
此案例通常適用於 Dynamics 365 (線上) 適用的 2016 年 12 月更新 組織,想要為自己的用戶開發應用程式,但不想將它們發佈置其他 Dynamics 365 組織。 企業可以為其用戶建立 Web 應用程式或服務,以連線至所有 Dynamics 365 組織。 在此案例中,您的 Web 應用程式或服務只能使用相同的 Azure AD 用戶連線至 Dynamics 365 組織。 |
這兩個案例有共同的元素,但也有一些差異。 由於多組織用戶共享是最常見的案例,因此使用多組織用戶共享伺服器對伺服器驗證內容會說明如何在此案例中使用 S2S,並包括附註,當中有單一組織用戶設定的不同選項。使用單一組織用戶伺服器對伺服器驗證會提供此案例的概觀,以及參考多組織用戶共享 S2S 驗證內容中所述的程序。
另請參閱
逐步解說:多組織用戶共享伺服器對伺服器驗證
使用單一組織用戶伺服器對伺服器驗證
Build web applications using Server-to-Server (S2S) authentication
連線至 Microsoft Dynamics 365
Microsoft Dynamics 365
© 2017 Microsoft. 著作權所有,並保留一切權利。 著作權