Objek aplikasi dan layanan utama di Azure Active Directory

Artikel ini menjelaskan pendaftaran aplikasi, objek aplikasi, dan perwakilan layanan di Azure Active Directory (AAD): apa itu, bagaimana mereka digunakan, dan bagaimana mereka terkait satu sama lain. Skenario contoh multi-penyewa juga disajikan untuk menggambarkan hubungan antara objek aplikasi dari suatu aplikasi dan objek layanan utama yang sesuai.

Pendaftaran aplikasi

Untuk mendelegasikan fungsi Manajemen Identitas dan Akses ke Azure Active Directory, aplikasi harus terdaftar dengan penyewa Azure Active Directory. Saat mendaftarkan aplikasi Anda dengan Azure Active Directory, Anda membuat konfigurasi identitas untuk aplikasi yang memungkinkannya berintegrasi dengan Azure Active Directory. Saat Anda mendaftarkan aplikasi di portal Microsoft Azure, Anda memilih apakah itu penyewa tunggal (hanya dapat diakses di penyewa Anda) atau multi-penyewa (dapat diakses di penyewa lain) dan secara opsional dapat mengatur URI pengalihan (tempat token akses dikirim). Untuk petunjuk langkah demi langkah tentang mendaftarkan aplikasi, lihat mulai cepat pendaftaran aplikasi.

Saat Anda telah menyelesaikan pendaftaran aplikasi, Anda memiliki instans aplikasi yang unik secara global (objek aplikasi) yang berada di dalam penyewa rumah atau direktori. Anda juga memiliki ID unik secara global untuk aplikasi (aplikasi atau ID klien). Di portal, Anda dapat menambahkan rahasia atau sertifikat dan cakupan untuk membuat aplikasi berfungsi, menyesuaikan merek aplikasi dalam dialog rincian masuk, dan banyak lagi.

Jika mendaftarkan aplikasi di portal, objek aplikasi serta objek perwakilan layanan dibuat secara otomatis di penyewa rumah Anda. Jika Anda mendaftarkan/membuat aplikasi menggunakan API Microsoft Graph, membuat objek layanan utama adalah langkah terpisah.

Objek aplikasi

Aplikasi Microsoft Azure AD ditentukan oleh satu-satunya objek aplikasinya, yang berada di penyewa Microsoft Azure AD tempat aplikasi terdaftar (dikenal sebagai penyewa "rumah" aplikasi). Objek aplikasi digunakan sebagai templat atau cetak biru untuk membuat satu atau beberapa objek layanan utama. Layanan utama dibuat di setiap penyewa tempat aplikasi digunakan. Mirip dengan kelas dalam pemrograman berorientasi objek, objek aplikasi memiliki beberapa properti statis yang diterapkan ke semua layanan utama yang dibuat (atau instans aplikasi).

Objek aplikasi menjelaskan tiga aspek aplikasi: bagaimana layanan dapat mengeluarkan token untuk mengakses aplikasi, sumber daya yang mungkin perlu diakses aplikasi, dan tindakan yang dapat dilakukan aplikasi.

Anda dapat menggunakan blade Pendaftaran aplikasi di portal Microsoft Azure untuk mencantumkan dan mengelola objek aplikasi di penyewa rumah Anda.

App registrations blade

Entitas Aplikasi Microsoft Graph mendefinisikan skema untuk properti objek aplikasi.

Objek layanan utama

Untuk mengakses sumber daya yang diamankan oleh penyewa Microsoft Azure AD, entitas yang memerlukan akses harus diwakili oleh prinsip keamanan. Persyaratan ini berlaku untuk pengguna (pengguna utama) dan aplikasi (layanan utama). Prinsip keamanan menentukan kebijakan akses dan izin untuk pengguna/aplikasi di penyewa Microsoft Azure AD. Ini memungkinkan fitur inti seperti autentikasi pengguna / aplikasi selama masuk, dan otorisasi selama akses sumber daya.

Ada tiga jenis perwakilan layanan:

  • Aplikasi - Jenis perwakilan layanan adalah representasi lokal, atau instans aplikasi, dari objek aplikasi global dalam satu penyewa atau direktori. Dalam hal ini, layanan utama adalah instans konkret yang dibuat dari objek aplikasi dan mewarisi properti tertentu dari objek aplikasi itu. Layanan utama dibuat di setiap penyewa di mana aplikasi digunakan dan mereferensikan objek aplikasi yang unik secara global. Objek utama layanan menentukan apa yang sebenarnya dapat dilakukan aplikasi di penyewa tertentu, yang dapat mengakses aplikasi, dan sumber daya apa yang dapat diakses aplikasi.

    Ketika aplikasi diberi izin untuk mengakses sumber daya dalam penyewa (setelah pendaftaran atau persetujuan), objek layanan utama dibuat. Saat Anda mendaftarkan aplikasi menggunakan portal Microsoft Azure, perwakilan layanan dibuat secara otomatis. Anda juga dapat membuat objek perwakilan layanan di penyewa menggunakan Azure PowerShell, Azure CLI, Microsoft Graph, dan alat lainnya.

  • Identitas terkelola - Jenis perwakilan layanan ini digunakan untuk mewakili identitas terkelola. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola kredensial. Identitas terkelola menyediakan identitas untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Microsoft Azure AD. Saat identitas terkelola diaktifkan, layanan utama yang mewakili identitas terkelola dibuat di penyewa Anda. Layanan utama yang mewakili identitas terkelola dapat diberikan akses dan izin, tetapi tidak dapat diperbarui atau dimodifikasi secara langsung.

  • Warisan - Jenis perwakilan layanan ini mewakili aplikasi warisan, yaitu aplikasi yang dibuat sebelum pendaftaran aplikasi diperkenalkan atau aplikasi yang dibuat melalui pengalaman warisan. Perwakilan layanan warisan dapat memiliki info masuk, nama prinsipal layanan, URL balasan, dan properti lain yang dapat diedit oleh pengguna yang berwenang, tetapi tidak memiliki pendaftaran aplikasi terkait. Prinsipal layanan hanya dapat digunakan di penyewa tempat ia dibuat.

Entitas ServicePrincipal Microsoft Graph mendefinisikan skema untuk properti objek utama layanan.

Anda dapat menggunakan blade aplikasi Enterprise di portal Microsoft Azure untuk mencantumkan dan mengelola perwakilan layanan di penyewa. Anda dapat melihat izin prinsipal layanan, izin yang disetujui pengguna, yang telah dilakukan pengguna persetujuan tersebut, informasi masuk, dan lainnya.

Enterprise apps blade

Hubungan antara objek aplikasi dan layanan utama

Objek aplikasi adalah representasi global aplikasi Anda untuk digunakan di semua penyewa, dan prinsipal layanan adalah representasi lokal untuk digunakan dalam penyewa tertentu. Objek aplikasi berfungsi sebagai template dari mana properti umum dan default diturunkan untuk digunakan dalam membuat objek layanan utama yang sesuai.

Objek aplikasi memiliki:

  • Hubungan 1:1 dengan aplikasi perangkat lunak, dan
  • Hubungan 1:banyak dengan objek perwakilan layanan yang sesuai.

Layanan utama harus dibuat di setiap penyewa tempat aplikasi digunakan, memungkinkannya untuk menetapkan identitas untuk masuk dan/atau akses ke sumber daya yang diamankan oleh penyewa. Aplikasi satu penyewa hanya memiliki satu layanan utama (dalam penyewa rumahnya), dibuat dan disetujui untuk digunakan selama pendaftaran aplikasi. Aplikasi multi-penyewa juga memiliki layanan utama yang dibuat di setiap penyewa di mana pengguna dari penyewa tersebut telah menyetujui penggunaannya.

Konsekuensi dari memodifikasi dan menghapus aplikasi

Setiap perubahan yang Anda buat pada objek aplikasi Anda juga tercermin dalam objek layanan utamanya hanya di penyewa rumah aplikasi (penyewa tempat objek terdaftar). Ini berarti bahwa menghapus objek aplikasi juga akan menghapus objek layanan utama penyewa rumahnya. Namun, memulihkan objek aplikasi itu tidak akan mengembalikan layanan utama yang sesuai. Untuk aplikasi multi-penyewa, perubahan pada objek aplikasi tidak tercermin dalam objek perwakilan layanan penyewa konsumen mana pun hingga akses dihapus melalui Panel Akses Aplikasi dan diberikan lagi.

Contoh

Diagram berikut mengilustrasikan hubungan antara objek aplikasi aplikasi dan objek perwakilan layanan terkait dalam konteks aplikasi multi-penyewa sampel yang disebut aplikasi HR. Ada tiga penyewa Microsoft Azure AD dalam skenario contoh ini:

  • Adatum - Penyewa yang digunakan oleh perusahaan yang mengembangkan aplikasi SDM
  • Contoso - Penyewa yang digunakan oleh organisasi Contoso, yang merupakan konsumen aplikasi SDM
  • Fabrikam - Penyewa yang digunakan oleh organisasi Contoso, yang merupakan konsumen aplikasi SDM

Relationship between app object and service principal object

Dalam contoh skenario ini:

Langkah Deskripsi
1 Adalah proses pembuatan aplikasi dan objek utama layanan di penyewa rumah aplikasi.
2 Ketika administrator Contoso dan Fabrikam menyelesaikan persetujuan, objek utama layanan dibuat di penyewa Microsoft Azure AD perusahaan mereka dan menetapkan izin yang diberikan administrator. Perhatikan juga bahwa aplikasi HR dapat dikonfigurasi/ dirancang untuk memungkinkan persetujuan oleh pengguna untuk penggunaan individual.
3 Para penyewa konsumen aplikasi SDM (Contoso dan Fabrikam) masing-masing memiliki objek layanan utama sendiri. Masing-masing mewakili penggunaan instans aplikasi pada waktu proses, yang diatur oleh izin yang disetujui oleh administrator masing-masing.

Langkah berikutnya

Pelajari cara membuat perwakilan layanan: