管理及監視 Microsoft Entra 應用程式
現在已實作第一個 Microsoft Entra 整合應用程式,您想要更深入地探索著重於管理和維護工作的功能層面。 您也想要確保指出多租用戶應用程式的任何其他相關注意事項。
與 Microsoft Entra 整合應用程式相關的一般管理和維護工作有哪些?
實作 Microsoft Entra 整合應用程式包含下列特殊考量,其中一些考量可能需要額外的管理和維護工作:
追蹤與應用程式建立關聯的所有重新導向統一資源識別項 (URI),包括對應的網域名稱服務 (DNS) 記錄。
確保重新導向 URI 對應至加密端點,以保護 Web 應用程式。
維護 Web 應用程式、Web API 和精靈應用程式的認證。
使用祕密時,請考慮將其管理自動化,包括其輪替。
設定應用程式的權限範圍時,套用最低權限原則。 應用程式應該只在必要時才要求其他權限。
盡可能使用委派的權限,而不是應用程式權限。
在開發期間,使用 Microsoft 驗證程式庫,而不是直接針對 OAuth 2.0 和 Open ID 等通訊協定進行程式設計。
注意
Microsoft 驗證程式庫提供便於使用的方法,以實作各種驗證案例,包括條件式存取、全裝置的單一登入 (SSO) 和權杖快取。
注意
本課程模組的目的不在提供整合雲端原生應用程式與 Microsoft Entra 的完整指引和最佳做法,而在介紹 Microsoft Entra 驗證和多組織用戶管理的概念。
多租用戶 Microsoft Entra 整合應用程式有哪些其他相關考量?
實作 Microsoft Entra 多租用戶案例時,您必須將應用程式設定為接受來自任何 Microsoft Entra 租用戶的登入。 這些租使用者中的使用者將能夠在授與應用程式所要求的相關同意之後,存取該應用程式。
以下是實作多租用戶應用程式時所需的四個主要元素:
- 將應用程式註冊為多租用戶
- 設定應用程式以將要求傳送至 /common 端點
- 新增程式碼以管理多個簽發者值
- 包含佈建以回應使用者和管理員同意
將應用程式註冊為多租用戶
若要將您的應用程式註冊為多租用戶:
使用 [搜尋資源、服務和文件] 文字輸入框,搜尋 [應用程式註冊],然後在結果清單中,在 [Azure 服務] 區段中選取 [應用程式註冊]。
選取 [所有註冊],然後選取 [cna-app]。
選取 [支援的帳戶類型] 選項,然後在 [支援的帳戶類型] 底下 [任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租用戶)],選取 [儲存]。
Microsoft Entra 要求應用程式的應用程式識別碼 URI 必須為全域唯一。 若是單一租用戶應用程式,應用程式識別碼 URI 必須在該租用戶中是唯一的。 若是多租用戶應用程式,則必須為全域唯一。 為了滿足這項需求,應用程式識別碼 URI 其主機名稱必須符合 Microsoft Entra 租用戶的已驗證網域。
設定應用程式以將要求傳送至 /common 端點
在單一租用戶應用程式中,登入要求會傳送至租用戶的登入端點。 例如,針對 contoso.com,對應的端點為 https://login.microsoftonline.com/contoso.com。 實際上,以該端點為目標的要求允許使用者或來賓登入對應的 Microsoft Entra 租用戶。 使用多租用戶應用程式時,您無法事先判斷要使用的租用戶,因此您將會使用為所有 Microsoft Entra 租用戶提供服務的 https://login.microsoftonline.com/common 端點。
新增程式碼以管理多個簽發者值
Web 應用程式和 Web API 必須能夠驗證來自 Microsoft 身分識別平台的權杖。 這需要實作邏輯,以根據簽發者值的租用戶識別碼部分,決定哪些簽發者值有效,哪些無效。 如需詳細資料,請參閱本課程<總結>單元中所參考的文件。
包含佈建以回應使用者和管理員同意
若是多租用戶應用程式,則應用程式的初始註冊會在應用程式開發人員所使用的 Microsoft Entra 租用戶中進行。 當來自不同 Microsoft Entra 租用戶的個別使用者首次登入應用程式時,系統會提示每個使用者同意應用程式所要求的權限。 這會進而導致在其各自的租用戶中建立服務主體。 如需佈建以解決這項需求的詳細資料,請參閱本課程<總結>單元中所參考的文件。