Alkalmazás- és szolgáltatásnév-objektumok az Azure Active Directoryban

Ez a cikk az alkalmazásregisztrációt, az alkalmazásobjektumokat és a szolgáltatás Azure Active Directory: mik azok, hogyan vannak használva, és hogyan kapcsolódnak egymáshoz. Bemutatunk egy több-bérlős példaforgatókönyvet is az alkalmazás alkalmazásobjektuma és a megfelelő szolgáltatásnév-objektumok közötti kapcsolat szemléltetésére.

Alkalmazásregisztráció

Ahhoz, hogy az identitás- és hozzáférés-kezelési funkciókat az Azure AD-be delegálhatja, az alkalmazásokat regisztrálni kell egy Azure AD-bérlőben. Amikor regisztrálja az alkalmazást az Azure AD-ban, olyan identitáskonfigurációt hoz létre az alkalmazáshoz, amely lehetővé teszi az Azure AD-val való integrációt. Amikor regisztrál egy alkalmazást a Azure Portal-ben, kiválaszthatja, hogy egyetlen bérlőről (csak a bérlőben érhető el) vagy több-bérlősről van-e szó (amely más bérlőkben érhető el), és igény szerint átirányítási URI-t is beállíthat (ahová a hozzáférési jogkivonatot küldi).

Az alkalmazások regisztrálásának részletes utasításait lásd az alkalmazásregisztráció rövid útmutatóban.

Az alkalmazásregisztráció befejezése után az alkalmazás egy globálisan egyedi példányával (az alkalmazásobjektummal) rendelkezik, amely az otthoni bérlőben vagy címtárban található. Emellett rendelkezik egy globálisan egyedi azonosítóval is az alkalmazáshoz (az alkalmazás vagy az ügyfél-azonosító). A portálon ezután titkos kulcsok, tanúsítványok és hatókörök felvételére is lehetőség van az alkalmazás megfelelő munkához, az alkalmazás arculatának testreszabásához a bejelentkezési párbeszédpanelen, és így tovább.

Ha regisztrál egy alkalmazást a portálon, a rendszer automatikusan létrehoz egy alkalmazásobjektumot és egy szolgáltatásnév-objektumot a saját bérlőben. Ha a Microsoft Graph API-k használatával regisztrál/hoz létre egy alkalmazást, a szolgáltatásnév-objektum létrehozása külön lépés.

Alkalmazásobjektum

Az Azure AD-alkalmazásokat az egyetlen alkalmazásobjektuma határozza meg, amely abban az Azure AD-bérlőben található, ahol az alkalmazást regisztrálták (más néven az alkalmazás "otthoni" bérlője). Az alkalmazásobjektumok sablonként vagy tervként használhatók egy vagy több szolgáltatásnév-objektum létrehozásához. A szolgáltatásnév minden bérlőben létrejön, ahol az alkalmazást használják. Az objektumorientált programozás osztályához hasonlóan az alkalmazásobjektum statikus tulajdonságokkal rendelkezik, amelyek az összes létrehozott szolgáltatásnévre (vagy alkalmazáspéldányra) érvényesek.

Az alkalmazásobjektum az alkalmazás három aspektusát írja le: azt, hogy a szolgáltatás hogyan tud jogkivonatokat kiíratni az alkalmazás eléréséhez, milyen erőforrásokat kell elérnie az alkalmazásnak, és milyen műveleteket tud az alkalmazás.

A Alkalmazásregisztrációk panelen Azure Portal a saját bérlőben található alkalmazásobjektumok felsorolásához és kezeléséhez.

Alkalmazásregisztrációk panel

A Microsoft Graph Application entitás határozza meg az alkalmazásobjektum tulajdonságainak sémáját.

Szolgáltatásnév-objektum

Az Azure AD-bérlő által védett erőforrások eléréséhez a hozzáférést igénylő entitást egy rendszerbiztonsági tagnak kell képviselnie. Ez a követelmény a felhasználókra (egyszerű felhasználó) és az alkalmazásokra (szolgáltatásnév) egyaránt igaz. A rendszerbiztonsági tag határozza meg az Azure AD-bérlőben a felhasználó/alkalmazás hozzáférési szabályzatát és engedélyeit. Ez lehetővé teszi az olyan alapvető funkciók használatát, mint a felhasználó/alkalmazás hitelesítése a bejelentkezés során, valamint az engedélyezés az erőforrás-hozzáférés során.

A szolgáltatásnévnek három típusa létezik: alkalmazás, felügyelt identitás és örökölt.

A szolgáltatásnév első típusa egy globális alkalmazásobjektum helyi reprezentációja vagy alkalmazáspéldánya egyetlen bérlőben vagy címtárban. Ebben az esetben a szolgáltatásnév egy konkrét példány, amely az alkalmazásobjektumból jön létre, és bizonyos tulajdonságokat örököl az adott alkalmazásobjektumtól. A szolgáltatásnév minden bérlőben létrejön, ahol az alkalmazást használják, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A szolgáltatásnév objektum határozza meg, hogy az alkalmazás ténylegesen mit tud tenni az adott bérlőben, ki férhet hozzá az alkalmazáshoz, és milyen erőforrásokhoz férhet hozzá.

Amikor egy alkalmazás engedélyt kap a bérlő erőforrásainak elérésére (regisztráció vagy hozzájárulás esetén),létrejön egy szolgáltatásnév-objektum. A bérlőkben szolgáltatásnév-objektumokat is létrehozhat a Azure PowerShell, az Azure CLI, Microsoft Graph,a Azure Portal , és máseszközök használatával. A portálon automatikusan létrejön egy szolgáltatásnév, amikor regisztrál egy alkalmazást.

A szolgáltatásnév második típusa egy felügyelt identitást képvisel. A felügyelt identitások szükségtelenné teszi a fejlesztők számára a hitelesítő adatok kezelését. A felügyelt identitások identitást biztosítanak az alkalmazások számára az Azure AD-hitelesítést támogató erőforrásokhoz való csatlakozáskor. Ha engedélyezve van egy felügyelt identitás, a bérlőben létrejön egy szolgáltatásnév, amely azt a felügyelt identitást képviseli. A felügyelt identitásokat képviselő szolgáltatásnévhez hozzáférést és engedélyeket lehet adni, de közvetlenül nem frissíthetők vagy módosíthatók.

A harmadik szolgáltatásnév-típus egy örökölt alkalmazást jelent (az alkalmazásregisztrációk bevezetése vagy létrehozása előtt létrehozott alkalmazást). Az örökölt szolgáltatásnevek olyan hitelesítő adatokkal, szolgáltatásnévvel, válasz URL-címekkel és egyéb tulajdonságokkal is rendelkezni tudnak, amelyeket egy jogosult felhasználó szerkeszthet, de nem rendelkezik társított alkalmazásregisztrációval. A szolgáltatásnév csak abban a bérlőben használható, ahol létrehozták.

A Microsoft Graph ServicePrincipal entitás határozza meg a szolgáltatásnév-objektum tulajdonságainak sémáját.

A portálOn enterprise applications (Vállalati alkalmazások) panelje a bérlőben található szolgáltatásnév listához és kezeléséhez használható. Itt láthatja a szolgáltatásnév engedélyét, a felhasználó által megadott engedélyeket, a felhasználók hozzájárulását, a bejelentkezési adatokat stb.

Vállalati alkalmazások panel

Alkalmazásobjektumok és szolgáltatásnév közötti kapcsolat

Az alkalmazásobjektum az alkalmazás globális reprezentációja az összes bérlőn való használatra, a szolgáltatásnév pedig az adott bérlőben használt helyi reprezentáció.

Az alkalmazásobjektum szolgál sablonként, amelyből a közös és az alapértelmezett tulajdonságok származtatása történik a megfelelő szolgáltatásnév-objektumok létrehozásához. Az alkalmazásobjektumok ezért 1:1 kapcsolattal vannak a szoftveralkalmazással, és 1:00-ás kapcsolattal a megfelelő szolgáltatásnév-objektumokkal.

Minden olyan bérlőn létre kell hozni egy szolgáltatásnévt, ahol az alkalmazást használják, lehetővé téve számára, hogy identitást hozzon létre a bejelentkezéshez és/vagy a bérlő által védett erőforrásokhoz való hozzáféréshez. Egybérlős alkalmazás csak egy szolgáltatásnévvel rendelkezik (a saját bérlőjében), melynek létrehozása és a használatának engedélyezése az alkalmazás regisztrációja során történik. A több-bérlős alkalmazások minden bérlőben létrehoznak egy szolgáltatásnévvel is, ahol az adott bérlő felhasználója hozzájárult a használathoz.

Az alkalmazások módosításának és törlésének következményei

Az alkalmazásobjektumon végrehajtott módosítások csak az alkalmazás saját bérlőjére (a regisztráló bérlőre) vonatkozó szolgáltatásnév-objektumban is megjelennek. Ez azt jelenti, hogy az alkalmazásobjektum törlése a saját bérlői szolgáltatásnév-objektumát is törli. Az alkalmazásobjektum visszaállítása azonban nem állítja vissza a hozzá tartozó egyszerű szolgáltatást. Több-bérlős alkalmazások esetén az alkalmazásobjektum módosításai nem jelennek meg egyetlen fogyasztói bérlő egyszerű szolgáltatásobjektumában sem, amíg a hozzáférést el nem távolítják az Application hozzáférési panel és újra meg nem adták.

Példa

Az alábbi ábra egy alkalmazás alkalmazásobjektuma és a megfelelő szolgáltatásnév-objektumok közötti kapcsolatot mutatja be egy HR-alkalmazás nevű több-bérlős mintaalkalmazás kontextusában. Ebben a példaforgatókönyvben három Azure AD-bérlő van:

  • Adatum – A HR-alkalmazást fejlesztett vállalat által használt bérlő
  • Contoso – A Contoso szervezet által használt bérlő, amely a HR-alkalmazás felhasználója
  • Fabrikam – A Fabrikam-szervezet által használt bérlő, amely a HR-alkalmazást is használja

Az alkalmazásobjektum és a szolgáltatásnév-objektum közötti kapcsolat

Ebben a példaforgatókönyvben:

Lépés Leírás
1 Az alkalmazás- és szolgáltatásnév-objektumok létrehozásának folyamata az alkalmazás otthoni bérlőjeként.
2 Amikor a Contoso és a Fabrikam rendszergazdái befejezik a jóváhagyást, a rendszer létrehoz egy szolgáltatásnév-objektumot a vállalat Azure AD-bérlőben, és hozzárendeli a rendszergazda által megadott engedélyeket. Azt is vegye figyelembe, hogy a HR-alkalmazás konfigurálható/kialakítható úgy, hogy lehetővé tegye a felhasználók egyéni használatra vonatkozó beleegyezését.
3 A HR-alkalmazás (Contoso és Fabrikam) fogyasztói bérlői saját szolgáltatásnév-objektummal rendelkezik. Mindegyik az alkalmazás egy példányának futásidőben való használatát jelöli, amelyet a megfelelő rendszergazda által adott engedélyek irányít.

Következő lépések