Aplikační model

  • Článek

Aplikace se můžou přihlásit sami uživatele nebo delegovat přihlášení ke zprostředkovateli identity. Tento článek popisuje kroky potřebné k registraci aplikace na platformě Microsoft Identity Platform.

Registrace aplikace

Aby zprostředkovatel identity věděl, že uživatel má přístup k určité aplikaci, musí být uživatel i aplikace zaregistrované u zprostředkovatele identity. Při registraci aplikace pomocí Microsoft Entra ID poskytujete konfiguraci identity pro vaši aplikaci, která umožňuje integraci s platformou Microsoft Identity Platform. Registrace aplikace vám také umožní:

  • Přizpůsobte branding aplikace v dialogovém okně pro přihlášení. Tato značka je důležitá, protože přihlášení je prvním prostředím, které bude mít uživatel s vaší aplikací.
  • Rozhodněte se, jestli chcete uživatelům povolit přihlášení jenom v případě, že patří do vaší organizace. Tato architektura se označuje jako aplikace s jedním tenantem. Nebo můžete uživatelům povolit přihlášení pomocí libovolného pracovního nebo školního účtu, který se označuje jako aplikace s více tenanty. Můžete také povolit osobní účty Microsoft nebo sociální účet z LinkedInu, Googlu atd.
  • Požádejte o oprávnění oboru. Můžete například požádat o obor user.read, který uděluje oprávnění ke čtení profilu přihlášeného uživatele.
  • Definujte obory, které definují přístup k vašemu webovému rozhraní API. Když chce aplikace získat přístup k rozhraní API, obvykle bude muset požádat o oprávnění k definovaným oborům.
  • Sdílejte tajný kód s platformou Microsoft Identity Platform, která potvrzuje identitu aplikace. Použití tajného kódu je relevantní v případě, že je aplikace důvěrnou klientskou aplikací. Důvěrná klientská aplikace je aplikace , která může bezpečně uchovávat přihlašovací údaje, jako je webový klient. K uložení přihlašovacích údajů se vyžaduje důvěryhodný back-endový server.

Po registraci aplikace dostane jedinečný identifikátor, který sdílí s platformou Microsoft Identity Platform, když požaduje tokeny. Pokud je aplikace důvěrnou klientskou aplikací, bude také sdílet tajný klíč nebo veřejný klíč v závislosti na tom, jestli byly použity certifikáty nebo tajné kódy.

Platforma Microsoft Identity Platform představuje aplikace pomocí modelu, který splňuje dvě hlavní funkce:

  • Identifikujte aplikaci ověřovacími protokoly, které podporuje.
  • Zadejte všechny identifikátory, adresy URL, tajné kódy a související informace potřebné k ověření.

Platforma Microsoft Identity Platform:

  • Uchovává všechna data potřebná k podpoře ověřování za běhu.
  • Uchovává všechna data pro rozhodování o prostředcích, ke kterým by mohla aplikace potřebovat přístup, a za jakých okolností by měla být daná žádost splněna.
  • Poskytuje infrastrukturu pro implementaci zřizování aplikací v rámci tenanta vývojáře aplikace a do jakéhokoli jiného tenanta Microsoft Entra.
  • Zpracovává souhlas uživatele během doby žádosti o token a usnadňuje dynamické zřizování aplikací napříč tenanty.

Souhlas je proces vlastníka prostředku, který uděluje autorizaci pro klientskou aplikaci pro přístup k chráněným prostředkům v rámci konkrétních oprávnění jménem vlastníka prostředku. Platforma Microsoft Identity Platform umožňuje:

  • Uživatelé a správci dynamicky udělují nebo zamítají souhlas aplikace pro přístup k prostředkům jejich jménem.
  • Správa istrátory, aby se nakonec rozhodli, jaké aplikace smí dělat a kteří uživatelé můžou používat konkrétní aplikace a jak se k prostředkům adresáře přistupuje.

Aplikace s více tenanty

Na platformě Microsoft Identity Platform objekt aplikace popisuje aplikaci. V době nasazení používá platforma Microsoft Identity Platform objekt aplikace jako podrobný plán k vytvoření instančního objektu, který představuje konkrétní instanci aplikace v rámci adresáře nebo tenanta. Instanční objekt definuje, co může aplikace ve skutečnosti dělat v konkrétním cílovém adresáři, kdo ho může používat, k jakým prostředkům má přístup atd. Platforma Microsoft Identity Platform vytvoří instanční objekt z objektu aplikace prostřednictvím souhlasu.

Následující diagram znázorňuje zjednodušený tok zřizování platformy Microsoft Identity Platform řízený souhlasem. Zobrazuje dva tenanty: A a B.

  • Tenant A vlastní aplikaci.
  • Tenant B vytvoří instanci aplikace prostřednictvím instančního objektu.

Diagram that shows a simplified provisioning flow driven by consent.

V tomto toku zřizování:

  1. Uživatel z tenanta B se pokusí přihlásit pomocí aplikace. Koncový bod autorizace požaduje token pro aplikaci.
  2. Přihlašovací údaje uživatele jsou získány a ověřeny pro ověření.
  3. Uživateli se zobrazí výzva k udělení souhlasu pro aplikaci, aby získal přístup k tenantovi B.
  4. Platforma Microsoft Identity Platform používá objekt aplikace v tenantovi A jako podrobný plán pro vytvoření instančního objektu v tenantovi B.
  5. Uživatel obdrží požadovaný token.

Tento proces můžete opakovat pro více tenantů. Tenant A uchovává podrobný plán aplikace (objekt aplikace). Uživatelé a správci všech ostatních tenantů, u kterých má aplikace udělený souhlas, udržují kontrolu nad tím, co může aplikace dělat prostřednictvím odpovídajícího instančního objektu v každém tenantovi. Další informace najdete v tématu Aplikační a instanční objekty na platformě Microsoft Identity Platform.

Další kroky

Další informace o ověřování a autorizaci na platformě Microsoft Identity Platform najdete v následujících článcích:

  • Informace o základních konceptech ověřování a autorizace najdete v tématu Ověřování a autorizace.
  • Informace o tom, jak se při ověřování a autorizaci používají přístupové tokeny, obnovovací tokeny a tokeny ID, najdete v tématu Tokeny zabezpečení.
  • Další informace o toku přihlašování webových, desktopových a mobilních aplikací najdete v tématu Tok přihlašování k aplikacím.
  • Informace o správné autorizaci pomocí deklarací identity tokenů najdete v tématu Zabezpečené aplikace a rozhraní API ověřováním deklarací identity.

Další informace o aplikačním modelu najdete v následujících článcích:

  • Další informace o objektech aplikací a instančních objektech na platformě Microsoft Identity Platform naleznete v tématu How a why applications are added to Microsoft Entra ID.
  • Další informace o aplikacích s jedním tenantem a víceklientské aplikaci najdete v tématu Tenantancy v Microsoft Entra ID.
  • Další informace o tom, jak Microsoft Entra ID také poskytuje Azure Active Directory B2C, aby organizace mohly přihlásit uživatele, obvykle zákazníky, pomocí sociálních identit, jako je účet Google, najdete v dokumentaci k Azure Active Directory B2C.