Alkalmazás- és szolgáltatásnév-objektumok az Azure Active Directoryban

Cikk
07/19/2022
5 perc alatt elolvasható

Ez a cikk az Alkalmazásregisztrációt, az alkalmazásobjektumokat és a szolgáltatásneveket ismerteti az Azure Active Directoryban (Azure AD): mik ezek, hogyan használják őket, és hogyan kapcsolódnak egymáshoz. Egy több-bérlős példaforgatókönyv is bemutatja az alkalmazás alkalmazásobjektuma és a kapcsolódó szolgáltatásnév-objektumok közötti kapcsolatot.

Alkalmazásregisztráció

Ahhoz, hogy identitás- és hozzáférés-kezelési funkciókat delegáljon Azure AD, egy alkalmazást regisztrálni kell egy Azure AD-bérlőben. Amikor regisztrálja az alkalmazást a Azure AD, létrehoz egy identitáskonfigurációt az alkalmazáshoz, amely lehetővé teszi, hogy integrálható legyen Azure AD. Amikor regisztrál egy alkalmazást a Azure Portal, eldöntheti, hogy egyetlen bérlőről (csak a bérlőn belül érhető el) vagy több-bérlősről (más bérlőkben elérhetőről) van-e szó, és igény szerint beállíthat egy átirányítási URI-t (ahová a hozzáférési jogkivonatot elküldi). Az alkalmazások regisztrálásával kapcsolatos részletes útmutatásért tekintse meg az alkalmazásregisztráció rövid útmutatóját.

Az alkalmazásregisztráció befejezése után az alkalmazásnak (az alkalmazásobjektumnak) egy globálisan egyedi példánya van, amely az otthoni bérlőn vagy címtáron belül található. Emellett globálisan egyedi azonosítóval is rendelkezik az alkalmazáshoz (az alkalmazás- vagy ügyfél-azonosítóhoz). A portálon ezután titkos kulcsokat, tanúsítványokat és hatóköröket adhat hozzá az alkalmazás működéséhez, testre szabhatja az alkalmazás arculatát a bejelentkezési párbeszédpanelen, és így tovább.

Ha regisztrál egy alkalmazást a portálon, a rendszer automatikusan létrehoz egy alkalmazásobjektumot és egy szolgáltatásnév-objektumot az otthoni bérlőben. Ha a Microsoft Graph API-kkal regisztrál/hoz létre egy alkalmazást, a szolgáltatásnév-objektum létrehozása külön lépés.

Alkalmazásobjektum

A Azure AD alkalmazásokat egyetlen alkalmazásobjektum határozza meg, amely abban a Azure AD bérlőben található, ahol az alkalmazás regisztrálva volt (az alkalmazás "otthoni" bérlője). Az alkalmazásobjektumok sablonként vagy tervként használhatók egy vagy több egyszerű szolgáltatásobjektum létrehozásához. Minden olyan bérlőben létrejön egy szolgáltatásnév, amelyben az alkalmazást használják. Az objektumorientált programozás egyik osztályához hasonlóan az alkalmazásobjektum statikus tulajdonságokkal rendelkezik, amelyek az összes létrehozott szolgáltatásnévre (vagy alkalmazáspéldányra) érvényesek.

Az alkalmazásobjektum az alkalmazás három aspektusát ismerteti: azt, hogy a szolgáltatás hogyan bocsáthat ki jogkivonatokat az alkalmazás eléréséhez, milyen erőforrásokat kell elérnie az alkalmazásnak, és milyen műveleteket hajthat végre az alkalmazás.

A Azure Portal Alkalmazásregisztrációk paneljén listázhatja és kezelheti az alkalmazásobjektumokat az otthoni bérlőben.

Alkalmazásregisztrációk panel

A Microsoft Graph Application entitás határozza meg az alkalmazásobjektum tulajdonságainak sémáját.

Szolgáltatásnév objektum

A Azure AD bérlő által védett erőforrások eléréséhez a hozzáférést igénylő entitást egy rendszerbiztonsági tagnak kell képviselnie. Ez a követelmény a felhasználókra (egyszerű felhasználóra) és az alkalmazásokra (szolgáltatásnév) egyaránt érvényes. A rendszerbiztonsági tag határozza meg a felhasználó/alkalmazás hozzáférési szabályzatát és engedélyeit a Azure AD bérlőben. Ez lehetővé teszi az olyan alapvető funkciókat, mint a felhasználó/alkalmazás hitelesítése bejelentkezéskor, illetve engedélyezés az erőforrás-hozzáférés során.

A szolgáltatásnévnek három típusa van:

Alkalmazás – A szolgáltatásnév típusa egy globális alkalmazásobjektum helyi reprezentációja vagy alkalmazáspéldánya egyetlen bérlőben vagy címtárban. Ebben az esetben a szolgáltatásnév az alkalmazásobjektumból létrehozott konkrét példány, amely az adott alkalmazásobjektum bizonyos tulajdonságait örökli. Minden bérlőben létrejön egy szolgáltatásnév, amelyben az alkalmazás használatban van, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A szolgáltatásnév objektum határozza meg, hogy az alkalmazás milyen műveleteket végezhet ténylegesen az adott bérlőn, ki férhet hozzá az alkalmazáshoz, és milyen erőforrásokhoz férhet hozzá az alkalmazás.

Ha egy alkalmazás engedélyt kap egy bérlő erőforrásainak elérésére (regisztráció vagy hozzájárulás esetén), létrejön egy szolgáltatásnév-objektum. Amikor az Azure Portal használatával regisztrál egy alkalmazást, a rendszer automatikusan létrehoz egy szolgáltatásnevet. Szolgáltatásnév-objektumokat is létrehozhat a bérlőben Azure PowerShell, az Azure CLI, a Microsoft Graph és más eszközök használatával.
Felügyelt identitás – Ez a szolgáltatásnévtípus egy felügyelt identitás ábrázolására szolgál. Felügyelt identitásokkal nincs szükség arra, hogy a fejlesztők kezeljék a hitelesítő adatokat. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Azure AD hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Ha egy felügyelt identitás engedélyezve van, a rendszer létrehoz egy, az adott felügyelt identitást képviselő szolgáltatásnevet a bérlőben. A felügyelt identitásokat képviselő szolgáltatásnevek hozzáférést és engedélyeket kaphatnak, de közvetlenül nem frissíthetők és nem módosíthatók.
Örökölt – Ez a szolgáltatásnév-típus egy örökölt alkalmazást jelöl, amely az alkalmazásregisztrációk bevezetése előtt létrehozott alkalmazás, vagy az örökölt szolgáltatásokon keresztül létrehozott alkalmazás. Az örökölt szolgáltatásnév rendelkezhet hitelesítő adatokkal, egyszerű szolgáltatásnevekkel, válasz URL-címekkel és más olyan tulajdonságokkal, amelyeket egy jogosult felhasználó szerkeszthet, de nem rendelkezik társított alkalmazásregisztrációval. A szolgáltatásnév csak abban a bérlőben használható, ahol létrehozta.

A Microsoft Graph ServicePrincipal entitás határozza meg egy szolgáltatásnév-objektum tulajdonságainak sémáját.

A Azure Portal Vállalati alkalmazások paneljén listázhatja és kezelheti a bérlői szolgáltatásneveket. Megtekintheti a szolgáltatásnév engedélyeit, a felhasználó által elfogadott engedélyeket, amelyeket a felhasználók tettek, bejelentkezési adatokat és egyebeket.

Vállalati alkalmazások panel

Az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolat

Az alkalmazásobjektum az alkalmazás globális reprezentációja, amely az összes bérlőben használható, a szolgáltatásnév pedig egy adott bérlőben való használat helyi reprezentációja. Az alkalmazásobjektum szolgál sablonként, amelyből a közös és az alapértelmezett tulajdonságok származtatása történik a megfelelő szolgáltatásnév-objektumok létrehozásához.

Egy alkalmazásobjektum a következő elemet tartalmazza:

1:1 kapcsolat a szoftveralkalmazással, és
1:több kapcsolat a megfelelő szolgáltatásnév-objektum(ok)tal.

Minden bérlőben létre kell hozni egy szolgáltatásnevet, ahol az alkalmazást használják, így identitást kell létrehoznia a bejelentkezéshez és/vagy a bérlő által védett erőforrásokhoz való hozzáféréshez. Egybérlős alkalmazás csak egy szolgáltatásnévvel rendelkezik (a saját bérlőjében), melynek létrehozása és a használatának engedélyezése az alkalmazás regisztrációja során történik. A több-bérlős alkalmazások mindegyik bérlőben létrehoznak egy szolgáltatásnevet is, ahol a bérlő egy felhasználója hozzájárult a használatához.

Az alkalmazások módosításának és törlésének következményei

Az alkalmazásobjektumon végrehajtott módosítások a szolgáltatásnév objektumában is megjelennek, csak az alkalmazás otthoni bérlőjében (abban a bérlőben, ahol regisztrálva volt). Ez azt jelenti, hogy egy alkalmazásobjektum törlése a saját bérlői szolgáltatásnév objektumát is törli. Ha azonban az alkalmazásobjektumot az alkalmazásregisztrációk felhasználói felületén állítja vissza, az nem állítja vissza a megfelelő szolgáltatásnevet. Az alkalmazások és a szolgáltatásnév-objektumok törlésével és helyreállításával kapcsolatos további információkért lásd az alkalmazások és szolgáltatásnév-objektumok törlését és helyreállítását.

Példa

Az alábbi ábra az alkalmazás alkalmazásobjektuma és a kapcsolódó szolgáltatásnév-objektumok közötti kapcsolatot szemlélteti egy HR-alkalmazás nevű több-bérlős mintaalkalmazás környezetében. Ebben a példában három Azure AD bérlő található:

Adatum – A HR-alkalmazást fejlesztő vállalat által használt bérlő
Contoso – A Contoso-szervezet által használt bérlő, amely a HR-alkalmazás felhasználója
Fabrikam – A Fabrikam-szervezet által használt bérlő, amely a HR-alkalmazást is használja

Az alkalmazásobjektum és a szolgáltatásnév objektum közötti kapcsolat

Ebben a példaforgatókönyvben:

Lépés	Leírás
1	Az alkalmazás- és szolgáltatásnév-objektumok létrehozásának folyamata az alkalmazás otthoni bérlőjében.
2	Amikor a Contoso és a Fabrikam rendszergazdái befejezik a hozzájárulást, a rendszer létrehoz egy szolgáltatásnév-objektumot a vállalat Azure AD bérlőjében, és hozzárendeli a rendszergazda által megadott engedélyeket. Azt is vegye figyelembe, hogy a HR-alkalmazás konfigurálható/tervezhető úgy, hogy lehetővé tegye a felhasználók egyéni használatra való hozzájárulását.
3	A HR-alkalmazás fogyasztói bérlői (Contoso és Fabrikam) mindegyike saját szolgáltatásnév-objektummal rendelkezik. Mindegyik az alkalmazás egy példányának futásidőben történő használatát jelöli, amelyet a megfelelő rendszergazda által elfogadott engedélyek szabályoznak.

Következő lépések

Ismerje meg, hogyan hozhat létre szolgáltatásnevet:

Az Azure Portal használata
A Azure PowerShell használata
Az Azure parancssori felület használata
A Microsoft Graph használata , majd a Microsoft Graph Explorer használata az alkalmazás- és szolgáltatásnév-objektumok lekérdezéséhez.