定義 Microsoft Entra ID
Adatum 管理小組想要確保公司的客戶有可靠的方法,能夠安全地存取應用程式所提供的服務。 您想要依賴 Microsoft Entra ID 的驗證和授權功能實作這項功能。 為了達成此目標,您決定探索 Microsoft Entra ID 的核心功能和優點,同時將焦點放在適用於雲端原生應用程式的功能。
驗證會判斷安全性主體 (例如使用者或裝置) 的身分識別。 授權牽涉到授與已驗證安全性主體執行動作或存取資源的權限。
Microsoft Entra ID 的功能及優點
Microsoft Entra ID 是 Microsoft 的雲端式身分識別和存取管理服務。 其提供驗證功能,並透過與大多數 Microsoft 雲端服務及各種協力廠商軟體即服務 (SaaS) 供應項目的整合協助授權。 並支援新式、業界標準的驗證和授權通訊協定。
注意
透過與 Windows Server Active Directory 的整合,Microsoft Entra ID 也能協助保護內部資源,例如公司網路和內部網路上的應用程式,以及您組織所開發的任何雲端應用程式。
Microsoft Entra ID 是一種身分識別儲存,讓您能夠為組織的使用者、群組和裝置建立帳戶。 其也可讓您建立來賓帳戶以代表夥伴組織的身分識別,因此輕鬆就能在企業對企業 (B2B) 案例中以安全的方式共用資源。 您也可以在企業對消費者 (B2C) 案例中使用 Microsoft Entra ID,方法是允許外部使用者使用其現有的認證進行註冊以存取應用程式,而其可支援最常見的社交識別提供者。
針對上述每個案例,您可以實作其他控制措施來指定潛在威脅的保護層級。 這些控制措施包括多重要素驗證和條件式存取的內建支援。
Microsoft Entra ID 會將其物件 (例如使用者、群組和應用程式) 組織成名為租用戶的容器。 每個租用戶都代表一個管理和安全性界限。 您可以為組織建立一或多個租用戶。 每一個 Azure 訂閱都會與一個 Microsoft Entra 租用戶建立關聯。
Microsoft Entra ID 在雲端原生應用程式中扮演什麼角色?
身為應用程式開發人員,您可以使用 Microsoft Entra ID 驗證和授權您應用程式及其資料的存取權。 Microsoft Entra ID 提供可協助建置自訂應用程式的程式設計方法。 其也可作為儲存數位身分識別相關資訊的單一位置,包括對應用程式註冊及其各自安全性主體的支援。 這項功能可讓每個使用者、來賓或群組對您內部開發的應用程式進行精密存取。 其也可讓應用程式在存取其他受 Microsoft Entra ID 保護的資源、服務和應用程式時,獨立運作或代表其使用者運作。
雲端原生應用程式依賴開放式 HTTP 通訊協定驗證安全性主體,因為用戶端和應用程式可能會在任何位置的任何平台或裝置上執行。 作為雲端原生身分識別解決方案,Microsoft Entra ID 可提供這項功能,包括其 REST 型介面,以及對 Graph API 和 OData 型查詢的支援。
Microsoft Entra ID 可協助實作在建置雲端原生應用程式時經常會遇到的各種案例,例如:
- 在網頁瀏覽器上存取 Web 應用程式的使用者。
- 從瀏覽器型應用程式存取後端 Web API 的使用者。
- 從行動應用程式存取後端 Web API 的使用者。
- 在沒有作用中使用者或使用者介面的情況下,使用自己的身分識別存取後端 Web API 的應用程式。
- 透過使用者的委派認證代表使用者與其他 Web API 互動的應用程式。
在上述每個案例中,都必須保護應用程式以免於未經授權的使用。 此步驟至少需要驗證要求存取資源的安全性主體。 此驗證可能會使用數個常見通訊協定的其中一個,例如安全性聲明標記語言 (SAML) V2.0、WS-同盟或 OpenID Connect。 與 Web API 通訊通常依賴 OAuth2 通訊協定及其對存取權杖的支援。