Hogyan és miért adhatók hozzá alkalmazások az Azure AD-hez?

Az Azure AD-ben két alkalmazás van ábrázolva:

• Alkalmazásobjektumok – Bár vannak kivételek, az alkalmazásobjektumok az alkalmazás definíciójának tekinthetők.
• Szolgáltatásnevek – Egy alkalmazáspéldánynak tekinthető. A szolgáltatásnevek általában egy alkalmazásobjektumra hivatkoznak, és egy alkalmazásobjektumra több szolgáltatásnév is hivatkozhat a címtárak között.

Mik azok az alkalmazásobjektumok, és honnan származnak?

Az alkalmazásobjektumokat az Azure Portal az Alkalmazásregisztrációk felületen kezelheti. Az alkalmazásobjektumok leírják az alkalmazást az Azure AD-be, és az alkalmazás definíciójának tekinthetők, így a szolgáltatás a beállításai alapján tudja, hogyan adhat ki jogkivonatokat az alkalmazásnak. Az alkalmazásobjektum csak a kezdőkönyvtárában fog létezni, még akkor is, ha egy több-bérlős alkalmazás, amely más címtárak szolgáltatásneveit támogatja. Az alkalmazásobjektum az alábbiak bármelyikét tartalmazhatja (valamint az itt nem említett további információkat):

• Név, embléma és közzétevő
• Átirányítási URI-k
• Titkos kódok (az alkalmazás hitelesítéséhez használt szimmetrikus és/vagy aszimmetrikus kulcsok)
• API-függőségek (OAuth)
• Közzétett API-k/erőforrások/hatókörök (OAuth)
• Alkalmazásszerepkörök (RBAC)
• Egyszeri bejelentkezés metaadatai és konfigurálása
• Felhasználókiépítési metaadatok és konfiguráció
• Proxy metaadatai és konfigurálása

Az alkalmazásobjektumok több útvonalon is létrehozhatók, például:

• Alkalmazásregisztrációk a Azure Portal
• Új alkalmazás létrehozása Visual Studio használatával és konfigurálása Azure AD-hitelesítés használatára
• Amikor egy rendszergazda hozzáad egy alkalmazást az alkalmazáskatalógusból (amely szolgáltatásnevet is létrehoz)
• Új alkalmazás létrehozása a Microsoft Graph API vagy a PowerShell használatával
• Sok más, köztük az Azure különböző fejlesztői élményei és az API Explorer felhasználói felületei a fejlesztői központokban

Mik azok a szolgáltatásnevek, és honnan származnak?

A vállalati alkalmazások felületén kezelheti a szolgáltatásneveket a Azure Portal. A szolgáltatásnevek az Azure AD-hez csatlakozó alkalmazásokat szabályozzák, és a címtárban található alkalmazáspéldánynak tekinthetők. Egy adott alkalmazáshoz legfeljebb egy alkalmazásobjektum (amely egy "kezdőlap" könyvtárban van regisztrálva) és egy vagy több egyszerű szolgáltatásobjektummal rendelkezhet, amelyek az alkalmazás példányait jelölik minden olyan könyvtárban, amelyben működik.

A szolgáltatásnév a következőket tartalmazhatja:

• Egy alkalmazásobjektumra mutató hivatkozás az alkalmazásazonosító tulajdonságon keresztül
• A helyi felhasználói és csoportalkalmazási szerepkör-hozzárendelések rekordjai
• Az alkalmazásnak adott helyi felhasználói és rendszergazdai engedélyek rekordjai
  • Például: engedély az alkalmazás számára egy adott felhasználó e-mailjeinek eléréséhez
• A helyi házirendek, köztük a feltételes hozzáférési szabályzatok rekordjai
• Alkalmazások alternatív helyi beállításainak rekordjai
  • Jogcím-átalakítási szabályok
  • Attribútumleképezések (felhasználókiépítés)
  • Címtárspecifikus alkalmazásszerepkörök (ha az alkalmazás támogatja az egyéni szerepköröket)
  • Könyvtárspecifikus név vagy embléma

Az alkalmazásobjektumokhoz hasonlóan a szolgáltatásnevek is több útvonalon is létrehozhatók, például:

• Amikor a felhasználók bejelentkeznek az Azure AD-vel integrált külső alkalmazásba
  • A bejelentkezés során a felhasználóknak engedélyt kell adniuk az alkalmazásnak a profiljuk és más engedélyük eléréséhez. Az első személy, aki beleegyezést ad, egy olyan szolgáltatásnevet hoz létre, amely az alkalmazást jelöli, és hozzá lesz adva a címtárhoz.
• Amikor a felhasználók bejelentkeznek a Microsoft online szolgáltatások, például Microsoft 365
  • Amikor előfizet a Microsoft 365 vagy megkezdi a próbaverziót, egy vagy több szolgáltatásnév jön létre a címtárban, amely a Microsoft 365 társított összes funkció biztosításához használt különböző szolgáltatásokat jelöli.
  • Egyes Microsoft 365 szolgáltatások, például SharePoint folyamatosan létrehoznak szolgáltatásneveket, hogy biztonságos kommunikációt tegyenek lehetővé az összetevők, köztük a munkafolyamatok között.
• Amikor egy rendszergazda hozzáad egy alkalmazást az alkalmazáskatalógusból (ez egy mögöttes alkalmazásobjektumot is létrehoz)
• Alkalmazás hozzáadása az Azure AD alkalmazásproxy használatához
• alkalmazás Csatlakozás egyszeri bejelentkezéshez SAML vagy jelszó egyszeri bejelentkezés (SSO) használatával
• Programozott módon a Microsoft Graph API vagy a PowerShell használatával

Hogyan kapcsolódnak egymáshoz az alkalmazásobjektumok és a szolgáltatásnevek?

Az alkalmazások kezdőlapján egy alkalmazásobjektum található, amelyekre egy vagy több szolgáltatásnév hivatkozik az egyes címtárakban, ahol működik (beleértve az alkalmazás kezdőkönyvtárát is).

Az előző ábrán a Microsoft két belső címtárat tart fenn (a bal oldalon látható), amelyeket az alkalmazások közzétételéhez használ:

• One for Microsoft Apps (Microsoft-szolgáltatások könyvtár)
• Egy előre integrált külső alkalmazásokhoz (alkalmazáskatalógus könyvtára)

Az Azure AD-vel integrálható alkalmazás-közzétevőknek/szállítóknak közzétételi címtárral kell rendelkezniük (a jobb oldalon a "Néhány SaaS-címtár" felirat látható).

A saját maga által hozzáadott (a diagramban alkalmazásként (sajátként) ábrázolt alkalmazások a következők:

• Ön által fejlesztett alkalmazások (integrálva az Azure AD-vel)
• Egyszeri bejelentkezéshez csatlakoztatott alkalmazások
• Az Azure AD-alkalmazásproxyval közzétett alkalmazások

Megjegyzések és kivételek

• Nem minden szolgáltatásnév mutat vissza egy alkalmazásobjektumra. Az Azure AD eredeti létrehozásakor az alkalmazásoknak nyújtott szolgáltatások korlátozottabbak voltak, és a szolgáltatásnév elegendő volt az alkalmazásidentitás létrehozásához. Az eredeti szolgáltatásnév közelebb került a Windows Server Active Directory szolgáltatásfiókhoz. Ezért továbbra is létrehozhat szolgáltatásneveket különböző útvonalakon, például az Azure AD PowerShell használatával anélkül, hogy először létrehoz egy alkalmazásobjektumot. A Microsoft Graph API egy alkalmazásobjektumot igényel a szolgáltatásnév létrehozása előtt.
• Jelenleg nem minden fent leírt információ érhető el programozott módon. A következők csak a felhasználói felületen érhetők el:
  • Jogcím-átalakítási szabályok
  • Attribútumleképezések (felhasználókiépítés)
• A szolgáltatásnévvel és az alkalmazásobjektumokkal kapcsolatos részletesebb információkért tekintse meg a Microsoft Graph API referenciadokumentációját:
  • Alkalmazás
  • Szolgáltatásnév

Miért integrálódnak az alkalmazások az Azure AD-vel?

Az alkalmazások az Azure AD-be kerülnek, hogy kihasználják az általa nyújtott szolgáltatások egy vagy több részét, többek között a következőket:

• Alkalmazáshitelesítés és -engedélyezés
• Felhasználói hitelesítés és engedélyezés
• Egyszeri bejelentkezés összevonással vagy jelszóval
• Felhasználók kiépítése és szinkronizálása
• Szerepköralapú hozzáférés-vezérlés – A címtár használatával definiálhatja az alkalmazásszerepköröket szerepköralapú engedélyezési ellenőrzések végrehajtásához egy alkalmazásban
• OAuth engedélyezési szolgáltatások – Microsoft 365 és más Microsoft-alkalmazások használják az API-khoz/erőforrásokhoz való hozzáférés engedélyezéséhez
• Alkalmazás közzététele és proxyja – Alkalmazás közzététele magánhálózatról az internetre
• Címtárséma-bővítmény attribútumai – A szolgáltatásnév és a felhasználói objektumok sémájának kiterjesztése további adatok tárolására az Azure AD-ben

Who jogosult alkalmazásokat hozzáadni az Azure AD-példányomhoz?

Vannak olyan feladatok, amelyeket csak a globális rendszergazdák végezhetnek el (például alkalmazásokat adhatnak hozzá az alkalmazáskatalógusból, és konfigurálhatnak egy alkalmazást a alkalmazásproxy használatára), alapértelmezés szerint a címtárban lévő összes felhasználónak jogosultsága van az általuk fejlesztett alkalmazásobjektumok regisztrálására, és belátása szerint, hogy mely alkalmazásokat osztják meg/adnak hozzáférést a szervezeti adataikhoz hozzájárulással. Ha egy személy az első felhasználó a címtárban, aki bejelentkezik egy alkalmazásba, és engedélyt ad, az létrehoz egy szolgáltatásnevet a bérlőben; ellenkező esetben a hozzájárulás megadására vonatkozó információk a meglévő szolgáltatásnéven lesznek tárolva.

A felhasználók regisztrálásának és az alkalmazásokhoz való hozzájárulásának engedélyezése kezdetben hangzik, de tartsa szem előtt a következőket:

• Az alkalmazások már évek óta használhatják a Windows Server Active Directory felhasználói hitelesítéshez anélkül, hogy az alkalmazást regisztrálni vagy rögzíteni kellene a címtárban. Mostantól a szervezet jobban átláthatja, hogy pontosan hány alkalmazás használja a címtárat, és milyen célra.
• Ha ezeket a feladatokat a felhasználókra delegálja, az nem teszi szükségessé a rendszergazdai alkalmazásregisztrációs és -közzétételi folyamatot. A Active Directory összevonási szolgáltatások (AD FS) (ADFS) használata esetén valószínű, hogy egy rendszergazdának függő entitásként kellett hozzáadnia egy alkalmazást a fejlesztők nevében. A fejlesztők mostantól önkiszolgálóak.
• Jó dolog, ha a felhasználók üzleti célokra jelentkeznek be az alkalmazásokba a szervezeti fiókjukkal. Ha később kilépnek a szervezetből, automatikusan elveszítik a fiókjukhoz való hozzáférést az általuk használt alkalmazásban.
• Jó dolog, ha rögzítve van, hogy milyen adatokkal osztották meg az alkalmazást. Az adatok minden eddiginél könnyebben szállíthatók, és hasznos, ha jól látható, hogy ki milyen adatokat osztott meg az alkalmazásokkal.
• Azok az API-tulajdonosok, akik az Azure AD for OAuth-t használják, pontosan eldöntik, hogy a felhasználók milyen engedélyeket adhatnak az alkalmazásoknak, és mely engedélyekhez van szükség egy rendszergazdára. Csak a rendszergazdák járulhatnak hozzá a nagyobb hatókörökhöz és a jelentősebb engedélyekhez, míg a felhasználói hozzájárulás hatóköre a felhasználók saját adataira és képességeire terjed ki.
• Amikor egy felhasználó hozzáadja vagy engedélyezi egy alkalmazás számára az adataik elérését, az esemény naplózható, így megtekintheti a naplójelentéseket a Azure Portal annak megállapításához, hogy az alkalmazás hogyan lett hozzáadva a címtárhoz.

Ha továbbra is meg szeretné akadályozni, hogy a címtárban lévő felhasználók regisztráljanak alkalmazásokat, és rendszergazdai jóváhagyás nélkül jelentkezzenek be az alkalmazásokba, két beállítással kapcsolhatja ki ezeket a képességeket:

• A szervezet felhasználói hozzájárulási beállításainak módosításához tekintse meg annak konfigurálását, hogy a felhasználók hogyan járulnak hozzá az alkalmazásokhoz.

• Annak megakadályozása, hogy a felhasználók regisztrálják saját alkalmazásaikat:

  1. A Azure Portal lépjen a Felhasználói beállítások szakaszra Azure Active Directory
  2. Módosítsa, hogy a felhasználók nemre regisztrálhatják az alkalmazásokat.

Megjegyzés

Maga a Microsoft az alapértelmezett konfigurációt használja, amely lehetővé teszi, hogy a felhasználók alkalmazásokat regisztráljanak, és csak nagyon korlátozott engedélyekhez engedélyezik a felhasználói hozzájárulást.