Jak a proč se aplikace přidávají do Microsoft Entra ID

  • Článek

Existují dvě reprezentace aplikací v Microsoft Entra ID:

  • Aplikační objekty – I když existují výjimky, lze objekty aplikace považovat za definici aplikace.
  • Instanční objekty – lze považovat za instanci aplikace. Instanční objekty obecně odkazují na objekt aplikace a jeden objekt aplikace může být odkazován více instančními objekty napříč adresáři.

Co jsou aplikační objekty a odkud pocházejí?

Objekty aplikací můžete spravovat v Centru pro správu Microsoft Entra prostřednictvím Registrace aplikací prostředí. Objekty aplikace popisují aplikaci microsoft Entra ID a lze ji považovat za definici aplikace, což službě umožňuje zjistit, jak v aplikaci vydávat tokeny na základě jeho nastavení. Objekt aplikace bude existovat pouze v jeho domovském adresáři, i když se jedná o aplikaci s více tenanty podporující instanční objekty v jiných adresářích. Objekt aplikace může obsahovat (mimo jiné) některou z následujících možností:

  • Název, logo a vydavatel
  • Identifikátory URI pro přesměrování
  • Tajné kódy (symetrické nebo asymetrické klíče používané k ověření aplikace)
  • Závislosti rozhraní API (OAuth)
  • Publikovaná rozhraní API, prostředky/ obory (OAuth)
  • Role aplikací
  • Metadata a konfigurace jednotného přihlašování
  • Metadata a konfigurace zřizování uživatelů
  • Metadata a konfigurace proxy serveru

Objekty aplikace je možné vytvořit prostřednictvím několika cest, včetně:

  • Registrace aplikací v Centru pro správu Microsoft Entra
  • Vytvoření nové aplikace pomocí sady Visual Studio a její konfigurace pro použití ověřování Microsoft Entra
  • Když správce přidá aplikaci z galerie aplikací (čímž se vytvoří také instanční objekt)
  • Vytvoření nové aplikace pomocí rozhraní Microsoft Graph API nebo PowerShellu
  • Mnoho dalších, včetně různých prostředí pro vývojáře v Azure a v prostředích průzkumníka rozhraní API napříč vývojářskými centry

Jaké jsou instanční objekty a odkud pocházejí?

Instanční objekty můžete spravovat v Centru pro správu Microsoft Entra prostřednictvím prostředí podnikových aplikací. Instanční objekty jsou to, co řídí aplikaci připojující se k Microsoft Entra ID a lze ji považovat za instanci aplikace ve vašem adresáři. U každé dané aplikace může mít maximálně jeden objekt aplikace (který je zaregistrovaný v "domovském" adresáři) a jeden nebo více instančních objektů představujících instance aplikace v každém adresáři, ve kterém funguje.

Instanční objekt může zahrnovat:

  • Odkaz zpět na objekt aplikace prostřednictvím vlastnosti ID aplikace
  • Záznamy přiřazení místních uživatelů a skupinových rolí aplikací
  • Záznamy oprávnění místního uživatele a správce udělené aplikaci
    • Například: oprávnění pro aplikaci pro přístup k e-mailu konkrétního uživatele
  • Záznamy místních zásad, včetně zásad podmíněného přístupu
  • Záznamy alternativních místních nastavení pro aplikaci
    • Pravidla transformace deklarací identity
    • Mapování atributů (zřizování uživatelů)
    • Role aplikací specifické pro adresář (pokud aplikace podporuje vlastní role)
    • Název nebo logo specifické pro adresář

Podobně jako u aplikačních objektů je možné instanční objekty vytvořit také prostřednictvím několika cest, mezi které patří:

  • Když se uživatelé přihlásí k aplikaci třetí strany, která je integrovaná s ID Microsoft Entra
    • Během přihlašování se uživatelům zobrazí výzva k udělení oprávnění aplikaci pro přístup ke svému profilu a dalším oprávněním. První osoba, která udělí souhlas, způsobí přidání instančního objektu, který představuje aplikaci do adresáře.
  • Když se uživatelé přihlásí k Microsoftu online služby jako Microsoft 365.
    • Když se přihlásíte k odběru Microsoftu 365 nebo zahájíte zkušební verzi, vytvoří se v adresáři jeden nebo více instančních objektů představujících různé služby, které se používají k poskytování všech funkcí přidružených k Microsoftu 365.
    • Některé služby Microsoftu 365, jako je SharePoint, průběžně vytvářejí instanční objekty, které umožňují zabezpečenou komunikaci mezi komponentami včetně pracovních postupů.
  • Když správce přidá aplikaci z galerie aplikací (vytvoří se také základní objekt aplikace).
  • Přidání aplikace pro použití proxy aplikace Microsoft Entra
  • Připojení aplikaci pro jednotné přihlašování pomocí SAML nebo jednotného přihlašování pomocí hesla
  • Programově prostřednictvím rozhraní Microsoft Graph API nebo PowerShellu

Aplikace má jeden objekt aplikace ve svém domovském adresáři, na který odkazuje jeden nebo více instančních objektů v každém adresáři, kde funguje (včetně domovského adresáře aplikace).

Zobrazuje vztah mezi objekty aplikace a instančními objekty.

V předchozím diagramu společnost Microsoft interně udržuje dva adresáře (zobrazené na levé straně), které používá k publikování aplikací:

  • One pro Microsoft Apps (adresář služby Microsoft)
  • Jedna pro předem integrované aplikace třetích stran (adresář galerie aplikací)

Vydavatelé aplikací nebo dodavatelé, kteří se integrují s MICROSOFT Entra ID, musí mít adresář publikování (zobrazený vpravo jako adresář "Nějaký software jako služba (SaaS).

Aplikace, které přidáte sami (reprezentované jako aplikace (vaše) v diagramu), zahrnují:

  • Aplikace, které jste vytvořili (integrované s Microsoft Entra ID)
  • Aplikace, které jste připojili pro jednotné přihlašování
  • Aplikace, které jste publikovali pomocí proxy aplikace Microsoft Entra

Poznámky a výjimky

  • Ne všechny instanční objekty odkazují zpět na objekt aplikace. Když bylo ID Microsoft Entra původně vytvořeno, služby poskytované aplikací byly omezenější a instanční objekt byl dostačující pro vytvoření identity aplikace. Původní instanční objekt byl blíže v obrazci s účtem služby Windows Server Active Directory. Z tohoto důvodu je stále možné vytvářet instanční objekty prostřednictvím různých cest, jako je použití Prostředí Microsoft Graph PowerShell, aniž byste nejprve vytvořili objekt aplikace. Rozhraní Microsoft Graph API vyžaduje objekt aplikace před vytvořením instančního objektu.
  • Ne všechny výše popsané informace jsou aktuálně zpřístupněny prostřednictvím kódu programu. Následující možnosti jsou k dispozici pouze v uživatelském rozhraní:
    • Pravidla transformace deklarací identity
    • Mapování atributů (zřizování uživatelů)
  • Podrobnější informace o instančním objektu a objektech aplikací najdete v referenční dokumentaci k rozhraní Microsoft Graph API:

Proč se aplikace integrují s Microsoft Entra ID?

Aplikace se přidají do Microsoft Entra ID pro použití jedné nebo více služeb, které poskytuje, včetně:

  • Ověřování a autorizace aplikací
  • Ověřování a autorizace uživatelů
  • Jednotné přihlašování pomocí federace nebo hesla
  • Zřizování a synchronizace uživatelů
  • Řízení přístupu na základě role (RBAC) – Pomocí adresáře můžete definovat role aplikací k provádění kontrol autorizace na základě rolí v aplikaci.
  • Autorizační služby OAuth – Používá microsoft 365 a další aplikace Microsoftu k autorizaci přístupu k rozhraním API/prostředkům
  • Publikování a proxy aplikace – Publikování aplikace z privátní sítě na internet
  • Atributy rozšíření schématu adresáře – Rozšíření schématu instančního objektu a objektů uživatele za účelem uložení dalších dat v Microsoft Entra ID

Kdo má oprávnění přidávat aplikace do mé instance Microsoft Entra?

I když existují některé úlohy, které můžou provádět jenom globální Správa istrátory (například přidávání aplikací z galerie aplikací a konfigurace aplikace tak, aby používala proxy aplikací), mají ve výchozím nastavení všichni uživatelé ve vašem adresáři práva k registraci objektů aplikace, které vyvíjejí, a při rozhodování, které aplikace sdílejí nebo poskytují přístup k datům organizace prostřednictvím souhlasu. Pokud je osoba prvním uživatelem ve vašem adresáři, který se přihlásí k aplikaci a udělí souhlas, vytvoří instanční objekt ve vašem tenantovi. V opačném případě budou informace o udělení souhlasu uloženy na existujícím instančním objektu.

Povolení registrace a souhlasu uživatelů s aplikacemi může zpočátku znít, ale mějte na paměti následující důvody:

  • Aplikace byly schopny používat službu Windows Server Active Directory pro ověřování uživatelů po mnoho let, aniž by vyžadovaly registraci nebo zaznamenání aplikace v adresáři. Organizace teď bude mít lepší přehled o tom, kolik aplikací adresář používá a pro jaký účel.
  • Delegování těchto zodpovědností uživatelům neguje potřebu registrace a procesu publikování aplikací řízeného správcem. S Active Directory Federation Services (AD FS) (ADFS) bylo pravděpodobné, že správce musel přidat aplikaci jako přijímající stranu jménem svých vývojářů. Vývojáři teď můžou samoobslužné služby.
  • Uživatelé, kteří se přihlašují k aplikacím pomocí svých organizačních účtů pro obchodní účely, je dobrá věc. Pokud následně opustí organizaci, automaticky ztratí přístup ke svému účtu v aplikaci, kterou používali.
  • Záznam o datech, která byla sdílena s aplikací, je dobrá věc. Data jsou přenosnější než kdy dřív a je užitečné mít jasný záznam o tom, kdo sdílí data s aplikacemi.
  • Vlastníci rozhraní API, kteří používají Microsoft Entra ID pro OAuth, rozhodují přesně o tom, jaká oprávnění můžou uživatelé udělit aplikacím a která oprávnění vyžadují, aby správce souhlasil. Souhlas uživatelů s většími obory a významnějšími oprávněními můžou souhlasit pouze správci, zatímco souhlas uživatele se vztahuje na vlastní data a možnosti uživatelů.
  • Když uživatel přidá nebo povolí aplikaci přístup ke svým datům, událost se dá auditovat, abyste mohli zobrazit sestavy auditu v Centru pro správu Microsoft Entra a zjistit, jak se aplikace přidala do adresáře.

Pokud chcete uživatelům ve vašem adresáři zabránit v registraci aplikací a přihlášení k aplikacím bez schválení správcem, můžete tyto funkce vypnout dvěma nastaveními:

  • Pokud chcete změnit nastavení souhlasu uživatele ve vaší organizaci, přečtěte si téma Konfigurace způsobu vyjádření souhlasu uživatelů s aplikacemi.

  • Pokud chcete uživatelům zabránit v registraci vlastních aplikací:

    1. V Centru pro správu Microsoft Entra přejděte do nastavení uživatelů identity>>.
    2. Změnit uživatele mohou registrovat aplikace na ne.