Microsoft Identity Platform – Glossar für EntwicklerMicrosoft identity platform developer glossary

Dieser Artikel enthält Definitionen für einige der zentralen Entwicklerkonzepte sowie Terminologie als Hilfe beim Kennenlernen der Anwendungsentwicklung mithilfe von Microsoft Identity Platform.This article contains definitions for some of the core developer concepts and terminology, which are helpful when learning about application development using Microsoft identity platform.

Zugriffstokenaccess token

Eine Art von Sicherheitstoken. Wird von einem Autorisierungsserver ausgestellt und von einer Clientanwendung für den Zugriff auf einen geschützten Ressourcenserver verwendet.A type of security token issued by an authorization server, and used by a client application in order to access a protected resource server. Das Token liegt in der Regel in Form eines JSON Web Token (JWT) vor und stellt die Autorisierung dar, die dem Client durch den Ressourcenbesitzer für eine angeforderte Zugriffsstufe gewährt wurde.Typically in the form of a JSON Web Token (JWT), the token embodies the authorization granted to the client by the resource owner, for a requested level of access. Das Token enthält alle geltenden Ansprüche für den Antragsteller und kann von der Clientanwendung beim Zugriff auf eine bestimmte Ressource als eine Art von Anmeldeinformationen verwendet werden.The token contains all applicable claims about the subject, enabling the client application to use it as a form of credential when accessing a given resource. Der Ressourcenbesitzer muss somit gegenüber dem Client keine Anmeldeinformationen angeben.This also eliminates the need for the resource owner to expose credentials to the client.

Zugriffstoken sind nur für kurze Zeit gültig und können nicht widerrufen werden.Access tokens are only valid for a short period of time and cannot be revoked. Ein Autorisierungsserver kann auch ein Aktualisierungstoken ausgeben, wenn das Zugriffstoken ausgestellt wird.An authorization server may also issue a refresh token when the access token is issued. Aktualisierungstoken werden in der Regel nur für vertrauliche Clientanwendungen bereitgestellt.Refresh tokens are typically provided only to confidential client applications.

Zugriffstoken werden abhängig von den vorgelegten Anmeldeinformationen gelegentlich auch als „Benutzer- und App-Token“ oder als „ App-exklusives Token“ bezeichnet.Access tokens are sometimes referred to as "User+App" or "App-Only", depending on the credentials being represented. Beispielverwendungsszenarien für die Clientanwendung:For example, when a client application uses the:

  • Autorisierungsgewährung mit Autorisierungscode: In diesem Fall wird der Endbenutzer zunächst als Ressourcenbesitzer authentifiziert, und die Autorisierung für den Ressourcenzugriff wird an den Client delegiert."Authorization code" authorization grant, the end user authenticates first as the resource owner, delegating authorization to the client to access the resource. Der Client wird später beim Beziehen des Zugriffstokens authentifiziert.The client authenticates afterward when obtaining the access token. Das Token wird gelegentlich spezifischer als Benutzer- und App-Token bezeichnet, da es sowohl den Benutzer, der die Clientanwendung autorisiert hat, als auch die Anwendung darstellt.The token can sometimes be referred to more specifically as a "User+App" token, as it represents both the user that authorized the client application, and the application.
  • Autorisierungsgewährung mit Clientanmeldeinformationen: In diesem Fall stellt der Client die einzige Authentifizierung (ohne Authentifizierung/Autorisierung des Ressourcenbesitzers) bereit, weshalb das Token gelegentlich als App-exklusives Token bezeichnet wird."Client credentials" authorization grant, the client provides the sole authentication, functioning without the resource-owner's authentication/authorization, so the token can sometimes be referred to as an "App-Only" token.

Weitere Details finden Sie unter Microsoft Identity Platform – Tokenreferenz.See Microsoft identity platform Token Reference for more details.

Anwendungs-ID (Client-ID)application ID (client ID)

Der eindeutige Bezeichner, den Azure AD für eine Anwendungsregistrierung ausgibt, die eine bestimmte Anwendung und die zugehörigen Konfigurationen kennzeichnet.The unique identifier Azure AD issues to an application registration that identifies a specific application and the associated configurations. Diese Anwendungs-ID (Client-ID) wird verwendet, wenn Authentifizierungsanforderungen ausgeführt werden. Sie wird den Authentifizierungsbibliotheken in der Entwicklungszeit bereitgestellt.This application ID (client ID) is used when performing authentication requests and is provided to the authentication libraries in development time. Die Anwendungs-ID (Client-ID) ist kein Geheimnis.The application ID (client ID) is not a secret.

Anwendungsmanifestapplication manifest

Ein Feature des Azure-Portals, das eine JSON-Darstellung der Identitätskonfiguration der Anwendung generiert. Diese wird als Mechanismus für die Aktualisierung der zugehörigen Entitäten Anwendung und Dienstprinzipal verwendet.A feature provided by the Azure portal, which produces a JSON representation of the application's identity configuration, used as a mechanism for updating its associated Application and ServicePrincipal entities. Ausführlichere Informationen finden Sie unter Grundlegendes zum Azure Active Directory-Anwendungsmanifest.See Understanding the Azure Active Directory application manifest for more details.

Anwendungsobjektapplication object

Wenn Sie eine Anwendung im Azure-Portal registrieren bzw. aktualisieren, erstellt bzw. aktualisiert das Portal sowohl ein Anwendungsobjekt als auch ein entsprechendes Dienstprinzipalobjekt für den Mandanten.When you register/update an application in the Azure portal, the portal creates/updates both an application object and a corresponding service principal object for that tenant. Das Anwendungsobjekt definiert die Identitätskonfiguration der Anwendung global (also für alle Mandanten, auf die es Zugriff hat) und stellte eine Vorlage bereit, von der die entsprechenden Dienstprinzipalobjekte für die lokale Verwendung zur Laufzeit (in einem bestimmten Mandanten) abgeleitet werden.The application object defines the application's identity configuration globally (across all tenants where it has access), providing a template from which its corresponding service principal object(s) are derived for use locally at run-time (in a specific tenant).

Weitere Informationen finden Sie unter Anwendungsobjekte und Dienstprinzipalobjekte.For more information, see Application and Service Principal Objects.

Anwendungsregistrierungapplication registration

Um einer Anwendung die Integration in Azure AD sowie die Delegierung von Identitäts- und Zugriffsverwaltungsfunktionen an Azure AD zu ermöglichen, muss sie bei einem Azure AD-Mandanten registriert werden.In order to allow an application to integrate with and delegate Identity and Access Management functions to Azure AD, it must be registered with an Azure AD tenant. Wenn Sie Ihre Anwendung bei Azure AD registrieren, stellen Sie eine Identitätskonfiguration für Ihre Anwendung bereit. Dies ermöglicht neben der Integration in Azure AD unter anderem auch die Verwendung folgender Features:When you register your application with Azure AD, you are providing an identity configuration for your application, allowing it to integrate with Azure AD and use features such as:

Ausführlichere Informationen finden Sie unter Integrieren von Anwendungen in Azure Active Directory.See Integrating applications with Azure Active Directory for more details.

authenticationauthentication

Die Anforderung ordnungsgemäßer Anmeldeinformationen von einer Partei. Bildet die Grundlage für die Erstellung eines Sicherheitsprinzipals für die Identitäts- und Zugriffssteuerung.The act of challenging a party for legitimate credentials, providing the basis for creation of a security principal to be used for identity and access control. Im Rahmen einer OAuth2-Autorisierungsgewährung übernimmt die authentifizierende Partei beispielsweise abhängig von der verwendeten Gewährung entweder die Rolle des Ressourcenbesitzers oder die Rolle der Clientanwendung.During an OAuth2 authorization grant for example, the party authenticating is filling the role of either resource owner or client application, depending on the grant used.

authorizationauthorization

Die Gewährung einer Handlungsberechtigung für einen authentifizierten Sicherheitsprinzipal.The act of granting an authenticated security principal permission to do something. Im Programmiermodell von Azure AD sind im Wesentlichen zwei Anwendungsfälle vorgesehen:There are two primary use cases in the Azure AD programming model:

Autorisierungscodeauthorization code

Ein kurzlebiges Token, das einer Clientanwendung vom Autorisierungsendpunkt im Rahmen des Autorisierungscodeablaufs bereitgestellt wird (eine der vier OAuth2-Autorisierungsgewährungen).A short lived "token" provided to a client application by the authorization endpoint, as part of the "authorization code" flow, one of the four OAuth2 authorization grants. Der Code wird als Antwort auf die Authentifizierung eines Ressourcenbesitzersan die Clientanwendung zurückgegeben und gibt an, dass der Ressourcenbesitzer die Autorisierung delegiert hat, um den Ressourcenzugriff zu ermöglichen.The code is returned to the client application in response to authentication of a resource owner, indicating the resource owner has delegated authorization to access the requested resources. Im Rahmen des Ablaufs wird der Code gegen ein Zugriffstoken eingetauscht.As part of the flow, the code is later redeemed for an access token.

Autorisierungsendpunktauthorization endpoint

Einer der vom Autorisierungsserver implementierten Endpunkte. Wird für die Interaktion mit dem Ressourcenbesitzer verwendet, um bei einem OAuth2-Autorisierungsgewährungsablauf eine Autorisierungsgewährung bereitzustellen.One of the endpoints implemented by the authorization server, used to interact with the resource owner in order to provide an authorization grant during an OAuth2 authorization grant flow. Die tatsächliche Gewährung kann je nach verwendetem Autorisierungsgewährungsablauf variieren (einschließlich Autorisierungscode oder Sicherheitstoken).Depending on the authorization grant flow used, the actual grant provided can vary, including an authorization code or security token.

Ausführlichere Informationen finden Sie in der OAuth2-Spezifikation in den Abschnitten zu Autorisierungsgewährungstypen und zum Autorisierungsendpunkt sowie in der OpenIDConnect-Spezifikation.See the OAuth2 specification's authorization grant types and authorization endpoint sections, and the OpenIDConnect specification for more details.

Autorisierungsgewährungauthorization grant

Anmeldeinformationen, die die Autorisierung des Ressourcenbesitzers für den Zugriff auf seine geschützten Ressourcen durch eine Clientanwendung darstellen.A credential representing the resource owner's authorization to access its protected resources, granted to a client application. Eine Clientanwendung kann abhängig von Clienttyp/Anforderungen einen der vier durch das OAuth2-Autorisierungsframework definierten Gewährungstypen verwenden, um eine Gewährung zu beziehen. Zur Auswahl stehen Autorisierungscodegewährung, Clientanmeldeinformations-Gewährung, implizite Gewährung und Ressourcenbesitzerkennwort-Anmeldeinformationsgewährung.A client application can use one of the four grant types defined by the OAuth2 Authorization Framework to obtain a grant, depending on client type/requirements: "authorization code grant", "client credentials grant", "implicit grant", and "resource owner password credentials grant". Bei den an den Client zurückgegebenen Anmeldeinformationen handelt es sich je nach Art des verwendeten Autorisierungsgewährungsablaufs entweder um ein Zugriffstoken oder um einen Autorisierungscode (der später gegen ein Zugriffstoken eingetauscht wird).The credential returned to the client is either an access token, or an authorization code (exchanged later for an access token), depending on the type of authorization grant used.

Autorisierungsserverauthorization server

Gemäß Definition des OAuth2-Autorisierungsframeworks der Server für die Ausstellung von Zugriffstoken für den Client nach erfolgreicher Authentifizierung des Ressourcenbesitzers und Einholung seiner Autorisierung.As defined by the OAuth2 Authorization Framework, the server responsible for issuing access tokens to the client after successfully authenticating the resource owner and obtaining its authorization. Eine Clientanwendung interagiert mit dem Autorisierungsserver zur Laufzeit über dessen Autorisierungsendpunkte und Tokenendpunkte (in Einklang mit den durch OAuth2 definierten Autorisierungsgewährungen).A client application interacts with the authorization server at runtime via its authorization and token endpoints, in accordance with the OAuth2 defined authorization grants.

Bei der Microsoft Identity Platform-Anwendungsintegration implementiert Microsoft Identity Platform die Autorisierungsserverrolle für Azure AD-Anwendungen und Microsoft-Dienst-APIs, z. B. Microsoft Graph-APIs.In the case of Microsoft identity platform application integration, Microsoft identity platform implements the authorization server role for Azure AD applications and Microsoft service APIs, for example Microsoft Graph APIs.

Anspruchclaim

Ein Sicherheitstoken enthält Ansprüche, die Assertionen zu einer Entität (beispielsweise zu einer Clientanwendung oder zu einem Ressourcenbesitzer) für eine andere Entität (beispielsweise für den Ressourcenserver) bereitstellen.A security token contains claims, which provide assertions about one entity (such as a client application or resource owner) to another entity (such as the resource server). Ansprüche sind Name-Wert-Paare zur Weitergabe von Informationen über den Tokenantragsteller (beispielsweise der vom Autorisierungsserver authentifizierte Sicherheitsprinzipal).Claims are name/value pairs that relay facts about the token subject (for example, the security principal that was authenticated by the authorization server). Welche Ansprüche in einem Token enthalten sind, hängt von verschiedenen Variablen ab. Hierzu zählen unter anderem die Art des Tokens, die Art der Anmeldeinformationen für die Authentifizierung des Antragstellers und die Anwendungskonfiguration.The claims present in a given token are dependent upon several variables, including the type of token, the type of credential used to authenticate the subject, the application configuration, etc.

Weitere Details finden Sie unter Microsoft Identity Platform – Tokenreferenz.See Microsoft identity platform token reference for more details.

Clientanwendung (client application)client application

Gemäß Definition des OAuth2-Autorisierungsframeworks eine Anwendung, die im Auftrag des Ressourcenbesitzers geschützte Ressourcen anfordert.As defined by the OAuth2 Authorization Framework, an application that makes protected resource requests on behalf of the resource owner. Der Begriff „Client“ impliziert keine bestimmte Hardwareimplementierung (also beispielsweise, ob die Anwendung auf einem Server, Desktopcomputer oder anderen Gerät ausgeführt wird).The term "client" does not imply any particular hardware implementation characteristics (for instance, whether the application executes on a server, a desktop, or other devices).

Eine Clientanwendung fordert eine Autorisierung von einem Ressourcenbesitzer an, um an einer OAuth2-Autorisierungsgewährung teilzunehmen, und greift ggf. im Auftrag des Ressourcenbesitzers auf APIs/Daten zu.A client application requests authorization from a resource owner to participate in an OAuth2 authorization grant flow, and may access APIs/data on the resource owner's behalf. Das OAuth2-Autorisierungsframework definiert zwei Arten von Clients: „vertraulich“ und „öffentlich“ – abhängig davon, ob der Client die Vertraulichkeit seiner Anmeldeinformationen gewährleisten kann.The OAuth2 Authorization Framework defines two types of clients, "confidential" and "public", based on the client's ability to maintain the confidentiality of its credentials. Anwendungen können einen auf einem Webserver ausgeführten Webclient (vertraulich), einen auf einem Gerät installierten nativen Client (öffentlich) oder einen im Browser eines Geräts ausgeführten Benutzer-Agent-basierten Client (öffentlich) implementieren.Applications can implement a web client (confidential) which runs on a web server, a native client (public) installed on a device, or a user-agent-based client (public) which runs in a device's browser.

Der Vorgang, bei dem ein Ressourcenbesitzer einer Clientanwendung durch spezifische Berechtigungen die Autorisierung für den Zugriff auf geschützte Ressourcen (im Auftrag des Ressourcenbesitzers) gewährt.The process of a resource owner granting authorization to a client application, to access protected resources under specific permissions, on behalf of the resource owner. Abhängig von den vom Client angeforderten Berechtigungen wird die Zustimmung eines Administrators oder Benutzers angefordert, um den Zugriff auf die entsprechenden Organisationsdaten oder individuellen Daten zuzulassen.Depending on the permissions requested by the client, an administrator or user will be asked for consent to allow access to their organization/individual data respectively. In einem Szenario mit mehreren Mandanten wird der Dienstprinzipal der Anwendung auch im Mandanten des zustimmenden Benutzers erfasst.Note, in a multi-tenant scenario, the application's service principal is also recorded in the tenant of the consenting user.

Weitere Informationen finden Sie unter Consent Framework.See consent framework for more information.

ID-TokenID token

Ein vom Autorisierungsendpunkt eines Autorisierungsservers bereitgestelltes OpenID Connect-Sicherheitstoken mit Ansprüchen in Verbindung mit der Authentifizierung eines Endbenutzers vom Typ Ressourcenbesitzer.An OpenID Connect security token provided by an authorization server's authorization endpoint, which contains claims pertaining to the authentication of an end user resource owner. ID-Token werden genau wie Zugriffstoken als digital signiertes JSON Web Token (JWT) dargestellt.Like an access token, ID tokens are also represented as a digitally signed JSON Web Token (JWT). Im Gegensatz zu einem Zugriffstoken werden die Ansprüche eines ID-Tokens allerdings nicht im Zusammenhang mit dem Zugriff auf Ressourcen und speziell mit der Zugriffssteuerung verwendet.Unlike an access token though, an ID token's claims are not used for purposes related to resource access and specifically access control.

Weitere Details finden Sie unter Microsoft Identity Platform – Tokenreferenz.See Microsoft identity platform token reference for more details.

Microsoft Identity PlatformMicrosoft identity platform

Microsoft Identity Platform ist eine Weiterentwicklung des Azure AD-Identitätsdiensts (Azure Active Directory) und der zugehörigen Entwicklerplattform.Microsoft identity platform is an evolution of the Azure Active Directory (Azure AD) identity service and developer platform. Sie ermöglicht Entwicklern das Erstellen von Anwendungen, mit denen alle Microsoft-Identitäten angemeldet werden, und das Abrufen von Token zum Aufrufen von Microsoft Graph, anderen Microsoft-APIs oder von Entwicklern erstellten APIs.It allows developers to build applications that sign in all Microsoft identities, get tokens to call Microsoft Graph, other Microsoft APIs, or APIs that developers have built. Es handelt sich um eine Plattform mit vollem Funktionsumfang, die einen Authentifizierungsdienst, Bibliotheken, Anwendungsregistrierung und -konfiguration, eine vollständige Entwicklerdokumentation, Codebeispiele und andere Inhalte für Entwickler umfasst.It’s a full-featured platform that consists of an authentication service, libraries, application registration and configuration, full developer documentation, code samples, and other developer content. Microsoft Identity Platform unterstützt die branchenüblichen Protokolle, z.B. OAuth 2.0 und OpenID Connect.The Microsoft identity platform supports industry standard protocols such as OAuth 2.0 and OpenID Connect.

Mehrinstanzenfähige Anwendungmulti-tenant application

Eine Anwendung, die Anmeldung und Zustimmung von Benutzern in beliebigen Azure AD-Mandanten ermöglicht, auch auf anderen Mandanten als dem, auf dem der Client registriert ist.A class of application that enables sign in and consent by users provisioned in any Azure AD tenant, including tenants other than the one where the client is registered. Native Clientanwendungen sind standardmäßig mehrinstanzenfähig. Bei Webclientanwendungen und Webressourcen-/API-Anwendungen kann es sich um Anwendungen mit einem einzelnen Mandanten oder um mehrinstanzenfähige Anwendungen handeln.Native client applications are multi-tenant by default, whereas web client and web resource/API applications have the ability to select between single or multi-tenant. Im Gegensatz dazu ermöglicht eine als einzelner Mandant registrierte Webanwendung nur Anmeldungen über Benutzerkonten, die unter dem gleichen Mandanten bereitgestellt wurden, bei dem auch die Anwendung registriert ist.By contrast, a web application registered as single-tenant, would only allow sign-ins from user accounts provisioned in the same tenant as the one where the application is registered.

Ausführlichere Informationen finden Sie unter Anmelden von Azure Active Directory-Benutzern (AD) mit dem mehrinstanzenfähigen Anwendungsmuster.See How to sign in any Azure AD user using the multi-tenant application pattern for more details.

Nativer Clientnative client

Eine Art von Clientanwendung , die nativ auf einem Gerät installiert ist.A type of client application that is installed natively on a device. Da der gesamte Code auf einem Gerät ausgeführt wird und keine private/vertrauliche Speicherung von Anmeldeinformationen möglich ist, wird dieser Client als „öffentlich“ betrachtet.Since all code is executed on a device, it is considered a "public" client due to its inability to store credentials privately/confidentially. Ausführlichere Informationen finden Sie in den OAuth2-Clienttypen und -profilen.See OAuth2 client types and profiles for more details.

Berechtigungenpermissions

Eine Clientanwendung erhält Zugriff auf einen Ressourcenserver, indem sie Berechtigungsanforderungen deklariert.A client application gains access to a resource server by declaring permission requests. Zwei Arten sind verfügbar:Two types are available:

  • Delegierte Berechtigungen: Geben bereichsbasierten Zugriff mit der delegierten Autorisierung des angemeldeten Ressourcenbesitzers an und werden der Ressource zur Laufzeit als SCP-Ansprüche im Zugriffstoken des Clients präsentiert."Delegated" permissions, which specify scope-based access using delegated authorization from the signed-in resource owner, are presented to the resource at run-time as "scp" claims in the client's access token.
  • Anwendungsberechtigungen: Geben rollenbasierten Zugriff mit den Anmeldeinformationen und der Identität der Anwendung an und werden der Ressource zur Laufzeit als Rollenansprüche im Zugriffstoken des Clients präsentiert."Application" permissions, which specify role-based access using the client application's credentials/identity, are presented to the resource at run-time as "roles" claims in the client's access token.

Darüber hinaus werden sie im Rahmen des Zustimmungsprozesses verwendet, um dem Administrator oder Ressourcenbesitzer die Möglichkeit zu geben, den Clientzugriff auf Ressourcen in seinem Mandanten zu gewähren oder zu verweigern.They also surface during the consent process, giving the administrator or resource owner the opportunity to grant/deny the client access to resources in their tenant.

Berechtigungsanforderungen für eine Anwendung werden im Azure-Portal auf der Seite API-Berechtigungen konfiguriert. Hier wählen Sie die gewünschten delegierten Berechtigungen sowie die gewünschten Anwendungsberechtigungen aus (für Letzteres ist die globale Administratorrolle erforderlich).Permission requests are configured on the API permissions page for an application in the Azure portal, by selecting the desired "Delegated Permissions" and "Application Permissions" (the latter requires membership in the Global Admin role). Da ein öffentlicher Client die Anmeldeinformationen nicht sicher verwalten kann, kann er nur delegierte Berechtigungen anfordern. Ein vertraulicher Client kann dagegen sowohl delegierte Berechtigungen als auch Anwendungsberechtigungen anfordern.Because a public client can't securely maintain credentials, it can only request delegated permissions, while a confidential client has the ability to request both delegated and application permissions. Das Anwendungsobjekt des Clients speichert die deklarierten Berechtigungen in der requiredResourceAccess-Eigenschaft.The client's application object stores the declared permissions in its requiredResourceAccess property.

Aktualisierungstokenrefresh token

Eine Art von Sicherheitstoken. Wird von einem Autorisierungsserver ausgestellt und von einer Clientanwendung für die Anforderung eines neuen Zugriffstokens verwendet, ehe das aktuelle Zugriffstoken abläuft.A type of security token issued by an authorization server, and used by a client application in order to request a new access token before the access token expires. In der Regel in Form eines JSON-Webtokens (JWT).Typically in the form of a JSON Web Token (JWT).

Im Gegensatz zu Zugriffstoken können Aktualisierungstoken widerrufen werden.Unlike access tokens, refresh tokens can be revoked. Wenn eine Clientanwendung versucht, mithilfe eines widerrufenen Aktualisierungstokens ein neues Zugriffstoken anzufordern, lehnt der Autorisierungsserver die Anforderung ab, und die Clientanwendung hat keine Berechtigung mehr, im Auftrag des Ressourcenbesitzer auf den Ressourcenserver zuzugreifen.If a client application attempts to request a new access token using a refresh token that has been revoked, the authorization server will deny the request, and the client application will no longer have permission to access the resource server on behalf of the resource owner.

Ressourcenbesitzersresource owner

Gemäß Definition des OAuth2-Autorisierungsframeworks eine Entität, die Zugriff auf eine geschützte Ressource gewähren kann.As defined by the OAuth2 Authorization Framework, an entity capable of granting access to a protected resource. Handelt es sich bei dem Ressourcenbesitzer um eine Person, wird er als Endbenutzer bezeichnet.When the resource owner is a person, it is referred to as an end user. Wenn also beispielsweise eine Clientanwendung über die Microsoft Graph-API auf das Postfach eines Benutzers zugreifen möchte, benötigt sie die Berechtigung des Ressourcenbesitzers für das Postfach.For example, when a client application wants to access a user's mailbox through the Microsoft Graph API, it requires permission from the resource owner of the mailbox.

Ressourcenserverresource server

Gemäß Definition des OAuth2-Autorisierungsframeworks ein Server, der geschützte Ressourcen hostet und von Clientanwendungen, die ein Zugriffstoken vorlegen, Anforderungen für geschützte Ressourcen akzeptieren und darauf reagieren kann.As defined by the OAuth2 Authorization Framework, a server that hosts protected resources, capable of accepting and responding to protected resource requests by client applications that present an access token. Wird auch als geschützter Ressourcenserver oder als Ressourcenanwendung bezeichnet.Also known as a protected resource server, or resource application.

Ein Ressourcenserver macht APIs verfügbar und steuert den Zugriff auf seine geschützten Ressourcen über Bereiche und Rollen (unter Verwendung des OAuth 2.0-Autorisierungsframeworks).A resource server exposes APIs and enforces access to its protected resources through scopes and roles, using the OAuth 2.0 Authorization Framework. Beispiele wären etwa die Microsoft Graph-API (bietet Zugriff auf Azure AD-Mandantendaten) und die Microsoft 365-APIs (bieten Zugriff auf Daten wie E-Mails und Kalender).Examples include the Microsoft Graph API which provides access to Azure AD tenant data, and the Microsoft 365 APIs that provide access to data such as mail and calendar.

Genau wie bei einer Clientanwendung wird auch die Identitätskonfiguration einer Ressourcenanwendung mittels Registrierung bei einem Azure AD-Mandanten eingerichtet und sowohl ein Anwendungs- als auch ein Dienstprinzipalobjekt bereitgestellt.Just like a client application, resource application's identity configuration is established via registration in an Azure AD tenant, providing both the application and service principal object. Einige von Microsoft bereitgestellte APIs (etwa die Microsoft Graph-API) verfügen über vorab registrierte Dienstprinzipale, die bei der Bereitstellung in allen Mandanten verfügbar gemacht wurden.Some Microsoft-provided APIs, such as the Microsoft Graph API, have pre-registered service principals made available in all tenants during provisioning.

rolesroles

Mithilfe von Rollen kann ein Ressourcenserver ähnlich wie mit Bereichen den Zugriff auf seine geschützten Ressourcen steuern.Like scopes, roles provide a way for a resource server to govern access to its protected resources. Zwei Arten stehen zur Verfügung: Eine Benutzerrolle implementiert eine rollenbasierte Zugriffssteuerung für Benutzer/Gruppen, die Zugriff auf die Ressource benötigen. Eine Anwendungsrolle implementiert das Gleiche für Clientanwendungen, die Zugriff benötigen.There are two types: a "user" role implements role-based access control for users/groups that require access to the resource, while an "application" role implements the same for client applications that require access.

Bei Rollen handelt es sich um ressourcendefinierte Zeichenfolgen (wie etwa „Ausgabengenehmiger“, „Schreibgeschützt“, „Directory.ReadWrite.All“). Sie werden im Azure-Portal über das Anwendungsmanifest der Ressource verwaltet und in der appRoles-Eigenschaft der Ressource gespeichert.Roles are resource-defined strings (for example "Expense approver", "Read-only", "Directory.ReadWrite.All"), managed in the Azure portal via the resource's application manifest, and stored in the resource's appRoles property. Über das Azure-Portal können Benutzer zu Benutzerrollen zugewiesen und Clientanwendungsberechtigungen für den Zugriff auf eine Anwendungsrolle konfiguriert werden.The Azure portal is also used to assign users to "user" roles, and configure client application permissions to access an "application" role.

Ausführliche Informationen zu den Anwendungsrollen, die von der Microsoft Graph-API verfügbar gemacht werden, finden Sie unter Graph-API-Berechtigungsbereiche.For a detailed discussion of the application roles exposed by the Microsoft Graph API, see Graph API Permission Scopes. Ein ausführliches Implementierungsbeispiel finden Sie unter Hinzufügen oder Entfernen von Azure-Rollenzuweisungen mithilfe des Azure-Portals.For a step-by-step implementation example, see Add or remove Azure role assignments using the Azure portal.

Bereichescopes

Mithilfe von Bereichen kann ein Ressourcenserver ähnlich wie mit Rollen den Zugriff auf seine geschützten Ressourcen steuern.Like roles, scopes provide a way for a resource server to govern access to its protected resources. Bereiche dienen zum Implementieren einer bereichsbasierten Zugriffssteuerung für eine Clientanwendung, der durch den Ressourcenbesitzer delegierter Zugriff auf die Ressource gewährt wurde.Scopes are used to implement scope-based access control, for a client application that has been given delegated access to the resource by its owner.

Bei Bereichen handelt es sich um ressourcendefinierte Zeichenfolgen (wie etwa „Mail.Read“, „Directory.ReadWrite.All“). Sie werden im Azure-Portal über das Anwendungsmanifest der Ressource verwaltet und in der oauth2Permissions-Eigenschaft der Ressource gespeichert.Scopes are resource-defined strings (for example "Mail.Read", "Directory.ReadWrite.All"), managed in the Azure portal via the resource's application manifest, and stored in the resource's oauth2Permissions property. Über das Azure-Portal können zudem delegierte Berechtigungen für Clientanwendungen konfiguriert werden, die Zugriff auf einen Bereich ermöglichen.The Azure portal is also used to configure client application delegated permissions to access a scope.

Als Benennungskonvention hat sich das Format „Ressource.Vorgang.Einschränkung“ bewährt.A best practice naming convention, is to use a "resource.operation.constraint" format. Ausführliche Informationen zu den Bereichen, die von der Microsoft Graph-API verfügbar gemacht werden, finden Sie unter Graph-API-Berechtigungsbereiche.For a detailed discussion of the scopes exposed by Microsoft Graph API, see Graph API Permission Scopes. Informationen zu von Microsoft 365-Diensten verfügbar gemachten Bereichen finden Sie unter Referenz für Microsoft 365-API-Berechtigungen.For scopes exposed by Microsoft 365 services, see Microsoft 365 API permissions reference.

Sicherheitstokensecurity token

Ein signiertes Dokument mit Ansprüchen (etwa ein OAuth2-Token oder eine SAML 2.0-Assertion).A signed document containing claims, such as an OAuth2 token or SAML 2.0 assertion. Bei einer OAuth2-Autorisierungsgewährung zählen Zugriffstoken (OAuth2), Aktualisierungstoken und ID-Token zu den Sicherheitstoken, die alle als JSON Web Token (JWT) implementiert werden.For an OAuth2 authorization grant, an access token (OAuth2), refresh token, and an ID Token are types of security tokens, all of which are implemented as a JSON Web Token (JWT).

Dienstprinzipalobjektservice principal object

Wenn Sie eine Anwendung im Azure-Portal registrieren bzw. aktualisieren, erstellt bzw. aktualisiert das Portal sowohl ein Anwendungsobjekt als auch ein entsprechendes Dienstprinzipalobjekt für den Mandanten.When you register/update an application in the Azure portal, the portal creates/updates both an application object and a corresponding service principal object for that tenant. Das Anwendungsobjekt definiert die Identitätskonfiguration der Anwendung global (also für alle Mandanten, für die der zugeordneten Anwendung Zugriff gewährt wurde) und fungiert als Vorlage, von der die entsprechenden Dienstprinzipalobjekte für die lokale Verwendung zur Laufzeit (in einem bestimmten Mandanten) abgeleitet werden.The application object defines the application's identity configuration globally (across all tenants where the associated application has been granted access), and is the template from which its corresponding service principal object(s) are derived for use locally at run-time (in a specific tenant).

Weitere Informationen finden Sie unter Anwendungsobjekte und Dienstprinzipalobjekte.For more information, see Application and Service Principal Objects.

Anmeldungsign-in

Die Initiierung einer Endbenutzerauthentifizierung durch eine Clientanwendung sowie die Erfassung des entsprechenden Zustands mit dem Ziel, ein Sicherheitstoken zu beziehen und die Anwendungssitzung auf den Zustand abzustimmen.The process of a client application initiating end-user authentication and capturing related state, for the purpose of acquiring a security token and scoping the application session to that state. Der Zustand kann Artefakte (beispielsweise Benutzerprofilinformationen) und aus Tokenansprüchen abgeleitete Informationen enthalten.State can include artifacts such as user profile information, and information derived from token claims.

Die Anmeldefunktion wird in der Regel zum Implementieren von Single-Sign-on (SSO) verwendet.The sign-in function of an application is typically used to implement single-sign-on (SSO). Ihr kann auch eine Registrierungsfunktion vorangestellt werden, die als Einstiegspunkt für einen Endbenutzer dient, um ihm (bei der ersten Anmeldung) Zugriff auf eine Anwendung zu gewähren.It may also be preceded by a "sign-up" function, as the entry point for an end user to gain access to an application (upon first sign-in). Die Registrierungsfunktion dient zum Sammeln und Beibehalten eines zusätzlichen, benutzerspezifischen Zustands und erfordert unter Umständen die Zustimmung des Benutzers.The sign-up function is used to gather and persist additional state specific to the user, and may require user consent.

Abmeldungsign-out

Die Aufhebung der Authentifizierung eines Benutzers, wobei der Benutzerzustand, der der Sitzung der Clientanwendung bei der Anmeldung zugeordnet wurde, getrennt wird.The process of unauthenticating an end user, detaching the user state associated with the client application session during sign-in

tenanttenant

Eine Instanz eines Azure AD-Verzeichnisses wird als Azure AD-Mandant bezeichnet.An instance of an Azure AD directory is referred to as an Azure AD tenant. Sie bietet verschiedene Funktionen einschließlich:It provides several features, including:

  • einen Registrierungsdienst für integrierte Anwendungena registry service for integrated applications
  • Authentifizierung von Benutzerkonten und registrierten Anwendungenauthentication of user accounts and registered applications
  • REST-Endpunkte, die zur Unterstützung verschiedener Protokolle (einschließlich OAuth2 und SAML) erforderlich sind, z.B. der Autorisierungsendpunkt, der Tokenendpunkt und der allgemeine, von mehrinstanzenfähigen Anwendungen verwendete Endpunkt.REST endpoints required to support various protocols including OAuth2 and SAML, including the authorization endpoint, token endpoint and the "common" endpoint used by multi-tenant applications.

Azure AD-Mandanten werden mit Azure- und Microsoft 365-Abonnements bei der Registrierung erstellt/zugewiesen und stellen Identity & Access Management-Features für das Abonnement bereit.Azure AD tenants are created/associated with Azure and Microsoft 365 subscriptions during sign-up, providing Identity & Access Management features for the subscription. Azure-Abonnementadministratoren können auch zusätzliche Azure AD-Mandanten über das Azure-Portal erstellen.Azure subscription administrators can also create additional Azure AD tenants via the Azure portal. Ausführliche Informationen zu den verschiedenen Möglichkeiten für den Zugriff auf einen Mandanten finden Sie unter Einrichten eines Azure Active Directory-Mandanten.See How to get an Azure Active Directory tenant for details on the various ways you can get access to a tenant. Einzelheiten zur Beziehung zwischen Abonnements und einem Azure AD-Mandanten sowie Anweisungen zum Zuordnen oder Hinzufügen eines Abonnements zu einem Azure AD-Mandanten finden Sie unter Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Azure Active Directory-Mandanten.See Associate or add an Azure subscription to your Azure Active Directory tenant for details on the relationship between subscriptions and an Azure AD tenant, and for instructions on how to associate or add a subscription to an Azure AD tenant.

Tokenendpunkttoken endpoint

Einer der vom Autorisierungsserver implementierten Endpunkte zur Unterstützung von OAuth2-Autorisierungsgewährungen.One of the endpoints implemented by the authorization server to support OAuth2 authorization grants. Kann je nach verwendeter Gewährung zum Abrufen eines Zugriffstokens (und eines zugehörigen „Aktualisierungstokens“) für einen Client oder eines ID-Tokens verwendet werden, wenn die Gewährung in Kombination mit dem OpenID Connect-Protokoll verwendet wird.Depending on the grant, it can be used to acquire an access token (and related "refresh" token) to a client, or ID token when used with the OpenID Connect protocol.

Benutzer-Agent-basierter ClientUser-agent-based client

Ein Typ von Clientanwendung, der Code von einem Webserver herunterlädt und innerhalb eines Benutzer-Agents (z.B. in einem Webbrowser) ausgeführt wird. Ein Beispiel wäre eine Single-Page-Webanwendung (SPA).A type of client application that downloads code from a web server and executes within a user-agent (for instance, a web browser), such as a single-page application (SPA). Da der gesamte Code auf einem Gerät ausgeführt wird und keine private/vertrauliche Speicherung von Anmeldeinformationen möglich ist, wird dieser Client als „öffentlich“ betrachtet.Since all code is executed on a device, it is considered a "public" client due to its inability to store credentials privately/confidentially. Ausführlichere Informationen finden Sie in den OAuth2-Clienttypen und -profilen.For more information, see OAuth2 client types and profiles.

Benutzerprinzipaluser principal

Ein Benutzerprinzipalobjekt ist (ähnlich wie ein Dienstprinzipalobjekt, das eine Anwendungsinstanz darstellt) eine weitere Art von Sicherheitsprinzipal und stellt einen Benutzer dar.Similar to the way a service principal object is used to represent an application instance, a user principal object is another type of security principal, which represents a user. Der Microsoft Graph-Benutzerressourcentyp definiert das Schema für ein Benutzerobjekt, einschließlich benutzerbezogener Eigenschaften wie Vorname und Nachname, Benutzerprinzipalname, Verzeichnisrollenmitgliedschaft usw. Dadurch kann die Konfiguration der Benutzeridentität für Azure AD bei der Ausführung einen Benutzerprinzipalnamen erstellen.The Microsoft Graph User resource type defines the schema for a user object, including user-related properties such as first and last name, user principal name, directory role membership, etc. This provides the user identity configuration for Azure AD to establish a user principal at run-time. Der Benutzerprinzipal stellt bei der Erfassung der Delegierung der Zustimmung sowie bei Zugriffssteuerungsentscheidungen und Ähnlichem einen authentifizierten Benutzer für das einmalige Anmelden dar.The user principal is used to represent an authenticated user for Single Sign-On, recording consent delegation, making access control decisions, etc.

Webclientweb client

Eine Art von Clientanwendung , die sämtlichen Code auf einem Webserver ausführt und als vertraulicher Client fungieren kann, da er Anmeldeinformationen sicher auf dem Server speichert.A type of client application that executes all code on a web server, and able to function as a "confidential" client by securely storing its credentials on the server. Ausführlichere Informationen finden Sie in den OAuth2-Clienttypen und -profilen.For more information, see OAuth2 client types and profiles.

Nächste SchritteNext steps

Das Entwicklerhandbuch zu Microsoft Identity Platform ist die Einstiegsseite für alle relevanten Themen rund um die Microsoft Identity Platform-Entwicklung. Es enthält unter anderem eine Übersicht über die Anwendungsintegration sowie grundlegende Informationen zur Authentifizierung in Microsoft Identity Platform und zu unterstützten Authentifizierungsszenarien.The Microsoft identity platform Developer's Guide is the landing page to use for all Microsoft identity platform development-related topics, including an overview of application integration and the basics of Microsoft identity platform authentication and supported authentication scenarios. Codebeispiele und Tutorials zur schnellen Einrichtung und Ausführung finden Sie auch auf GitHub.You can also find code samples & tutorials on how to get up and running quickly on GitHub.

Senden Sie uns im folgenden Abschnitt für Kommentare Ihr Feedback, und unterstützen Sie uns bei der Verbesserung dieser Inhalte. Dabei sind Anregungen für neue Definitionen oder zur Aktualisierung bereits vorhandener Definitionen willkommen.Use the following comments section to provide feedback and help to refine and shape this content, including requests for new definitions or updating existing ones!