Alkalmazás- és szolgáltatásnév-objektumok az Azure Active Directoryban

Cikk
08/06/2022
5 perc alatt elolvasható

Ez a cikk az Alkalmazásregisztrációt, az alkalmazásobjektumokat és a szolgáltatásneveket ismerteti az Azure Active Directoryban (Azure AD): mik ezek, hogyan használják őket, és hogyan kapcsolódnak egymáshoz. Egy több-bérlős példaforgatókönyv is bemutatja az alkalmazás alkalmazásobjektuma és a kapcsolódó szolgáltatásnév-objektumok közötti kapcsolatot.

Alkalmazásregisztráció

Ahhoz, hogy identitás- és hozzáférés-kezelési függvényeket delegáljon Azure AD, egy alkalmazást regisztrálni kell egy Azure AD bérlőben. Amikor regisztrálja az alkalmazást a Azure AD, létrehoz egy identitáskonfigurációt az alkalmazáshoz, amely lehetővé teszi, hogy integrálható legyen Azure AD. Amikor regisztrál egy alkalmazást a Azure Portal, kiválaszthatja, hogy egyetlen vagy több-bérlős alkalmazásról van-e szó, és igény szerint beállíthat átirányítási URI-t. Az alkalmazások regisztrálásával kapcsolatos részletes útmutatásért tekintse meg az alkalmazásregisztráció rövid útmutatóját.

Az alkalmazásregisztráció befejezése után az alkalmazásnak (az alkalmazásobjektumnak) egy globálisan egyedi példánya van, amely az otthoni bérlőn vagy címtáron belül található. Emellett globálisan egyedi azonosítóval is rendelkezik az alkalmazáshoz (az alkalmazás- vagy ügyfélazonosítóhoz). A portálon ezután titkos kulcsokat, tanúsítványokat és hatóköröket adhat hozzá az alkalmazás működéséhez, testre szabhatja az alkalmazás arculatát a bejelentkezési párbeszédpanelen, és így tovább.

Ha regisztrál egy alkalmazást a portálon, a rendszer automatikusan létrehoz egy alkalmazásobjektumot és egy egyszerű szolgáltatásobjektumot az otthoni bérlőben. Ha a Microsoft Graph API-k használatával regisztrál/hoz létre alkalmazást, a szolgáltatásnév-objektum létrehozása külön lépés.

Alkalmazásobjektum

A Azure AD alkalmazásokat egyetlen alkalmazásobjektum határozza meg, amely abban a Azure AD bérlőben található, ahol az alkalmazás regisztrálva volt (az alkalmazás "otthoni" bérlője). Az alkalmazásobjektumok sablonként vagy tervként szolgálnak egy vagy több egyszerű szolgáltatásobjektum létrehozásához. Minden olyan bérlőben létrejön egy szolgáltatásnév, ahol az alkalmazást használják. Az objektumorientált programozás egyik osztályához hasonlóan az alkalmazásobjektum statikus tulajdonságokkal rendelkezik, amelyek az összes létrehozott szolgáltatásnévre (vagy alkalmazáspéldányra) érvényesek.

Az alkalmazásobjektum az alkalmazás három aspektusát írja le:

Hogyan adhat ki a szolgáltatás jogkivonatokat az alkalmazás eléréséhez?
Azokat az erőforrásokat, amelyek eléréséhez az alkalmazásnak szüksége lehet
Az alkalmazás által végrehajtható műveletek

A Azure Portal Alkalmazásregisztrációk lapján listázhatja és kezelheti az alkalmazásobjektumokat az otthoni bérlőben.

Alkalmazásregisztrációk panel

A Microsoft Graph Application entitás határozza meg az alkalmazásobjektum tulajdonságainak sémáját.

Egyszerű szolgáltatásobjektum

Egy Azure AD bérlő által védett erőforrások eléréséhez a hozzáférést igénylő entitást egy rendszerbiztonsági tagnak kell képviselnie. Ez a követelmény a felhasználók (egyszerű felhasználó) és az alkalmazások (szolgáltatásnév) esetében egyaránt érvényes. A rendszerbiztonsági tag határozza meg a Azure AD bérlőben lévő felhasználó/alkalmazás hozzáférési szabályzatát és engedélyeit. Ez lehetővé teszi az olyan alapvető funkciókat, mint a felhasználó/alkalmazás hitelesítése bejelentkezéskor és engedélyezés az erőforrás-hozzáférés során.

A szolgáltatásnévnek három típusa van:

Alkalmazás – A szolgáltatásnév típusa egy globális alkalmazásobjektum helyi reprezentációja vagy alkalmazáspéldánya egyetlen bérlőben vagy címtárban. Ebben az esetben a szolgáltatásnév az alkalmazásobjektumból létrehozott konkrét példány, amely az adott alkalmazásobjektum bizonyos tulajdonságait örökli. Minden olyan bérlőben létrejön egy szolgáltatásnév, amelyben az alkalmazást használják, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A szolgáltatásnév objektum határozza meg, hogy az alkalmazás ténylegesen mit tehet az adott bérlőben, ki férhet hozzá az alkalmazáshoz, és milyen erőforrásokhoz férhet hozzá az alkalmazás.

Ha egy alkalmazás engedélyt kap egy bérlő erőforrásainak elérésére (regisztráció vagy hozzájárulás esetén), létrejön egy szolgáltatásnév-objektum. Amikor az Azure Portal használatával regisztrál egy alkalmazást, a rendszer automatikusan létrehoz egy szolgáltatásnevet. Szolgáltatásnév-objektumokat is létrehozhat a bérlőben Azure PowerShell, az Azure CLI, a Microsoft Graph és más eszközök használatával.
Felügyelt identitás – Ez a szolgáltatásnévtípus egy felügyelt identitás ábrázolására szolgál. Felügyelt identitásokkal nincs szükség arra, hogy a fejlesztők kezeljék a hitelesítő adatokat. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Azure AD hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Ha egy felügyelt identitás engedélyezve van, a rendszer létrehoz egy, a felügyelt identitást képviselő szolgáltatásnevet a bérlőben. A felügyelt identitásokat képviselő szolgáltatásnevek hozzáférést és engedélyeket kaphatnak, de közvetlenül nem frissíthetők és nem módosíthatók.
Örökölt – Ez a szolgáltatásnév egy örökölt alkalmazást jelöl, amely az alkalmazásregisztrációk bevezetése előtt létrehozott alkalmazás, vagy az örökölt szolgáltatásokon keresztül létrehozott alkalmazás. Az örökölt szolgáltatásnév rendelkezhet hitelesítő adatokkal, egyszerű szolgáltatásnevekkel, válasz URL-címekkel és más olyan tulajdonságokkal, amelyeket egy jogosult felhasználó szerkeszthet, de nem rendelkezik társított alkalmazásregisztrációval. A szolgáltatásnév csak abban a bérlőben használható, ahol létrehozta.

A Microsoft Graph ServicePrincipal entitás definiálja egy szolgáltatásnév-objektum tulajdonságainak sémáját.

A Azure Portal Vállalati alkalmazások lapján listázhatja és kezelheti a bérlői szolgáltatásneveket. Megtekintheti a szolgáltatásnév engedélyeit, a felhasználó által elfogadott engedélyeket, amelyeket a felhasználók tettek a hozzájáruláshoz, a bejelentkezési adatokhoz és egyebekhez.

Vállalati alkalmazások panel

Az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolat

Az alkalmazásobjektum az alkalmazás globális reprezentációja, amely az összes bérlőben használható, a szolgáltatásnév pedig egy adott bérlőben való használat helyi reprezentációja. Az alkalmazásobjektum szolgál sablonként, amelyből a közös és az alapértelmezett tulajdonságok származtatása történik a megfelelő szolgáltatásnév-objektumok létrehozásához.

Az alkalmazásobjektumok a következő műveletet iktatják:

Egy-az-egyhez kapcsolat a szoftveralkalmazással, és
Egy-a-többhöz kapcsolat a kapcsolódó szolgáltatásnév-objektumokkal

Minden olyan bérlőben létre kell hozni egy szolgáltatásnevet, ahol az alkalmazást használják, így identitást kell létrehoznia a bejelentkezéshez és/vagy a bérlő által védett erőforrásokhoz való hozzáféréshez. Egybérlős alkalmazás csak egy szolgáltatásnévvel rendelkezik (a saját bérlőjében), melynek létrehozása és a használatának engedélyezése az alkalmazás regisztrációja során történik. A több-bérlős alkalmazások mindegyik bérlőben létrehoznak egy szolgáltatásnevet, ahol az adott bérlő egy felhasználója hozzájárult a használatához.

Alkalmazások módosításának és törlésének következményei

Az alkalmazásobjektumon végrehajtott módosítások a szolgáltatásnév objektumában is megjelennek, csak az alkalmazás otthoni bérlőjében (abban a bérlőben, ahol regisztrálva volt). Ez azt jelenti, hogy egy alkalmazásobjektum törlése az otthoni bérlői szolgáltatásnév objektumát is törli. Az alkalmazásobjektum alkalmazásregisztrációk felhasználói felületén keresztül történő visszaállítása azonban nem állítja vissza a megfelelő szolgáltatásnevet. Az alkalmazások és azok egyszerű szolgáltatásobjektumainak törlésével és helyreállításával kapcsolatos további információkért lásd az alkalmazások és szolgáltatásnév-objektumok törlését és helyreállítását.

Példa

Az alábbi ábra egy hr-alkalmazás nevű több-bérlős mintaalkalmazás környezetében szemlélteti az alkalmazásobjektum és a kapcsolódó szolgáltatásnév-objektumok közötti kapcsolatot. Ebben a példában három Azure AD bérlő található:

Adatum – A HR-alkalmazást fejlesztő vállalat által használt bérlő
Contoso – A Contoso-szervezet által használt bérlő, amely a HR-alkalmazás felhasználója
Fabrikam – A Fabrikam-szervezet által használt bérlő, amely a HR-alkalmazást is használja

Az alkalmazásobjektum és a szolgáltatásnév objektum közötti kapcsolat

Ebben a példaforgatókönyvben:

Lépés	Leírás
1	Az alkalmazás- és szolgáltatásnév-objektumok létrehozásának folyamata az alkalmazás otthoni bérlőjében.
2	Amikor a Contoso és a Fabrikam rendszergazdái befejezik a hozzájárulást, létrejön egy szolgáltatásnév-objektum a vállalat Azure AD bérlőjében, és hozzárendelik a rendszergazda által megadott engedélyeket. Azt is vegye figyelembe, hogy a HR-alkalmazás konfigurálható/tervezhető úgy, hogy lehetővé tegye a felhasználók számára az egyéni használatra vonatkozó hozzájárulást.
3	A HR-alkalmazás (Contoso és Fabrikam) fogyasztói bérlői mindegyike saját szolgáltatásnév-objektummal rendelkezik. Mindegyik az alkalmazás egy példányának futásidőben történő használatát jelöli, amelyet a megfelelő rendszergazda által hozzájárulással megadott engedélyek szabályoznak.

Következő lépések

Megtudhatja, hogyan hozhat létre egyszerű szolgáltatást:

Az Azure Portal használata
A Azure PowerShell használata
Az Azure parancssori felület használata
A Microsoft Graph használata , majd a Microsoft Graph Explorer használata az alkalmazás- és szolgáltatásnév-objektumok lekérdezéséhez.