Jenis identitas dan akun untuk aplikasi tunggal dan multi-penyewa

Artikel ini akan menjelaskan cara Anda, sebagai pengembang, dapat memilih apakah aplikasi Anda hanya mengizinkan pengguna dari penyewa Azure Active Directory (Azure AD), penyewa Azure AD, atau pengguna dengan akun Microsoft pribadi dengan mengonfigurasi aplikasi Anda untuk menjadi penyewa tunggal atau multipenyewa selama pendaftaran aplikasi di Azure dan memastikan Zero Trust prinsip akses hak istimewa paling sedikit sehingga aplikasi Anda hanya meminta izin yang dibutuhkannya.

platform identitas Microsoft menyediakan dukungan untuk jenis identitas tertentu:

  • Akun kantor atau sekolah saat entitas memiliki akun di Azure Active Directory (AD)

  • Akun pribadi Microsoft (MSA) untuk siapa saja yang memiliki akun di Outlook.com, Hotmail, Live, Skype, Xbox, dll.

  • Identitas eksternal dalam Azure AD untuk mitra (pengguna di luar organisasi Anda)

  • Azure AD Business to Customer (B2C) yang memungkinkan Anda membuat solusi yang akan memungkinkan pelanggan Anda membawa idP mereka yang lain. Aplikasi yang menggunakan Azure AD B2C dan yang berlangganan Perlindungan Penipuan Microsoft Dynamics 365 dengan Azure Active Directory B2C dapat menilai apakah upaya untuk membuat akun baru dan upaya untuk masuk ke ekosistem klien adalah penipuan.

Bagian yang diperlukan dari pendaftaran aplikasi di Azure AD adalah pilihan jenis akun yang didukung. Meskipun Profesional TI dalam peran administrator memutuskan siapa yang dapat menyetujui aplikasi di penyewa mereka, Anda, sebagai pengembang, menentukan siapa yang dapat menggunakan aplikasi Anda berdasarkan jenis akun. Ketika penyewa tidak mengizinkan Anda untuk mendaftarkan aplikasi Anda di Azure AD, administrator akan memberi Anda cara untuk mengomunikasikan detail tersebut kepada mereka melalui mekanisme lain.

Anda akan memilih dari opsi jenis akun yang didukung berikut saat mendaftarkan aplikasi Anda.

  • Akun hanya dalam direktori organisasi ini (hanya O365 - Penyewa tunggal)

  • Akun di direktori organisasi apa pun (Direktori Azure AD apa pun - Multipenyewa)

  • Akun di direktori organisasi apa pun (Direktori Azure AD apa pun - Multipenyewa) dan akun Microsoft pribadi (misalnya Skype, Xbox)

  • Akun Microsoft pribadi saja

Akun hanya dalam direktori organisasi ini - penyewa tunggal

Saat Anda memilih Akun hanya di direktori organisasi ini (hanya O365 - Penyewa tunggal), Anda hanya mengizinkan pengguna dan tamu dari penyewa tempat pengembang mendaftarkan aplikasi mereka. Ini adalah pilihan paling umum untuk aplikasi Line of Business (LOB).

Akun hanya di direktori organisasi apa pun - multipenyewa

Saat Anda memilih Akun di direktori organisasi apa pun (Direktori Azure AD apa pun - Multipenyewa), Anda mengizinkan pengguna mana pun dari direktori Azure AD mana pun untuk masuk ke aplikasi multi-penyewa Anda. Jika Anda hanya ingin mengizinkan pengguna dari penyewa tertentu, Anda akan memfilter pengguna ini dalam kode Anda dengan memeriksa apakah klaim tid di id_token ada di daftar penyewa yang diizinkan. Aplikasi Anda dapat menggunakan titik akhir organisasi atau titik akhir umum untuk memasukkan pengguna di penyewa rumah pengguna. Untuk mendukung pengguna tamu yang masuk ke aplikasi multipenyewa, Anda akan menggunakan titik akhir penyewa tertentu untuk penyewa tempat pengguna adalah tamu untuk masuk ke pengguna.

Akun di akun organisasi dan akun Microsoft pribadi apa pun

Saat Anda memilih Akun di akun organisasi dan akun Microsoft pribadi apa pun (Direktori Azure AD apa pun - Multipenyewa) dan akun Microsoft pribadi (misalnya Skype, Xbox), Anda mengizinkan pengguna untuk masuk ke aplikasi Anda dengan identitas asli mereka dari penyewa atau akun konsumen Azure AD. Pemfilteran penyewa dan penggunaan titik akhir yang sama berlaku untuk aplikasi ini seperti yang dilakukan pada aplikasi multipenyewa seperti yang dijelaskan di atas.

Akun Microsoft pribadi saja

Saat Anda memilih akun Microsoft Pribadi saja, Anda hanya mengizinkan pengguna dengan akun konsumen untuk menggunakan aplikasi Anda.

Aplikasi yang menghadap pelanggan

Saat Anda membangun solusi di platform identitas Microsoft yang menjangkau pelanggan Anda, biasanya Anda tidak ingin menggunakan direktori perusahaan Anda. Sebagai gantinya, Anda ingin pelanggan berada di direktori terpisah sehingga mereka tidak dapat mengakses sumber daya perusahaan perusahaan Anda. Untuk memenuhi kebutuhan ini, Microsoft menawarkan Azure AD Business to Customer (B2C).

Azure Active Directory B2C menyediakan identitas business-to-customer sebagai layanan. Selain memungkinkan pengguna aplikasi Anda memiliki nama pengguna dan kata sandi hanya untuk aplikasi Anda, B2C memungkinkan Anda mendukung pelanggan dengan identitas sosial yang Anda izinkan agar mereka tidak perlu mengingat lebih banyak kata sandi. Misalnya, Anda dapat mengizinkan pengguna menggunakan ID Facebook atau Twitter mereka. Anda juga dapat mendukung pelanggan perusahaan dengan menggabungkan direktori Azure AD B2C Anda ke Azure AD pelanggan Anda (atau penyedia identitas (IDP) apa pun yang mendukung SAML) ke OpenID Connect. Tidak seperti aplikasi multipenyewa, aplikasi Anda tidak menggunakan direktori perusahaan pelanggan tempat mereka melindungi aset perusahaan mereka. B2C memungkinkan pelanggan Anda untuk mengakses layanan atau kemampuan Anda tanpa memberikan akses aplikasi Anda ke sumber daya perusahaan mereka.

Hal ini tidak hanya terserah pengembang

Meskipun Anda, sebagai pengembang, menentukan dalam pendaftaran aplikasi yang akan diizinkan untuk masuk ke aplikasi, Anda tidak memiliki pernyataan akhir tentang apakah pengguna tertentu, atau pengguna dari penyewa tertentu, dapat masuk ke aplikasi Anda. Kata terakhir berasal dari pengguna individu atau admin penyewa rumah pengguna. Admin penyewa sering kali ingin memiliki kontrol lebih besar atas aplikasi daripada yang dapat masuk. Misalnya, mereka mungkin ingin menerapkan kebijakan Akses Bersyarah ke aplikasi atau mengontrol grup mana yang mereka izinkan untuk menggunakan aplikasi. Untuk memungkinkan admin penyewa memiliki kontrol ini, ada objek kedua di platform identitas Microsoft: aplikasi Enterprise. Aplikasi perusahaan juga dikenal sebagai Perwakilan Layanan.

Untuk aplikasi dengan pengguna di penyewa lain atau akun konsumen lainnya

Seperti yang ditunjukkan pada diagram di bawah ini menggunakan contoh dua penyewa (untuk organisasi fiktif, Adatum dan Contoso), jenis akun yang didukung menyertakan Akun dalam opsi direktori organisasi apa pun untuk aplikasi multi-penyewa sehingga Anda dapat mengizinkan pengguna direktori organisasi. Dengan kata lain, Anda akan mengizinkan pengguna untuk masuk ke aplikasi Anda dengan identitas asli mereka dari Azure AD apa pun. Perwakilan Layanan secara otomatis dibuat di penyewa saat pengguna pertama dari penyewa mengautentikasi ke aplikasi.

diagram mengilustrasikan aplikasi multipenyewa yang dapat memungkinkan pengguna direktori organisasi

Hanya ada satu pendaftaran aplikasi, atau objek aplikasi, tetapi ada aplikasi Enterprise, atau Perwakilan Layanan (SP), di setiap penyewa yang memungkinkan pengguna untuk masuk ke aplikasi. Admin penyewa dapat mengontrol cara kerja aplikasi di penyewa mereka dengan aplikasi Enterprise untuk aplikasi tersebut.

Pertimbangan aplikasi multipenyewa

Aplikasi multipenyewa memasukkan pengguna dari penyewa rumah pengguna saat aplikasi menggunakan titik akhir umum atau organisasi. Aplikasi ini memiliki satu pendaftaran aplikasi seperti yang ditunjukkan pada diagram di bawah ini. Dalam contoh ini, aplikasi terdaftar di penyewa Adatum. Pengguna A dari Adatum dan Pengguna B dari Contoso dapat masuk ke aplikasi dengan harapan Pengguna A dari Adatum akan mengakses data Adatum dan bahwa Pengguna B dari Contoso akan mengakses data Contoso.

diagram mengilustrasikan aplikasi multipenyewa memasukkan pengguna dari penyewa rumah pengguna saat aplikasi menggunakan titik akhir umum atau organisasi

Sebagai pengembang, Anda bertanggung jawab untuk memisahkan informasi penyewa. Misalnya, jika data Contoso berasal dari Microsoft Graph, Pengguna B dari Contoso hanya akan melihat data Microsoft Graph Contoso. Tidak ada kemungkinan bagi Pengguna B dari Contoso untuk mengakses data Microsoft Graph di penyewa Adatum karena Microsoft 365 memiliki pemisahan data yang sebenarnya.

Dalam diagram di atas, Pengguna B dari Contoso dapat masuk ke aplikasi dan mereka dapat mengakses data Contoso di aplikasi Anda. Aplikasi Anda dapat menggunakan titik akhir, organisasi, atau umum kami, sehingga pengguna masuk secara asli ke penyewa mereka, di mana pun penyewa tersebut berada, dan tidak ada proses undangan yang diperlukan. Pengguna cukup menjalankan dan masuk ke aplikasi Anda dan akan berfungsi setelah admin pengguna atau penyewa memberikan persetujuan.

Kolaborasi dengan pengguna eksternal

Ketika perusahaan ingin memungkinkan pengguna yang bukan anggota perusahaan untuk mengakses data dari perusahaan, fitur Azure AD Business to Business (B2B) memungkinkan hal ini. Seperti yang diilustrasikan dalam diagram di bawah ini, perusahaan dapat mengundang pengguna untuk menjadi pengguna tamu di penyewa mereka. Setelah pengguna menerima undangan, mereka dapat mengakses data yang dilindungi penyewa yang mengundang. Pengguna tidak membuat kredensial terpisah di penyewa.

diagram mengilustrasikan perusahaan mengundang pengguna tamu ke penyewa mereka

Saat pengguna tamu perlu mengautentikasi, mereka masuk ke penyewa rumah mereka, Akun Microsoft pribadi, akun dari IDP lain, atau dengan kode akses satu kali menggunakan akun email apa pun. Setelah mereka mengautentikasi dengan IDP mereka, Azure AD penyewa yang mengundang menyediakan aplikasi dengan token yang mengidentifikasi mereka sebagai pengguna tamu di penyewa. Pengguna tamu ini kemudian dapat mengakses data di penyewa yang mengundang.

Sebagai pengembang, ingatlah pertimbangan ini saat aplikasi Anda mendukung pengguna tamu:

  • Anda harus menggunakan titik akhir khusus penyewa saat masuk ke pengguna tamu. Anda tidak dapat menggunakan titik akhir umum, organisasi, atau konsumen.

  • Identitas pengguna tamu berbeda dari identitas pengguna di penyewa rumah mereka atau IDP lainnya. Ini berarti bahwa klaim oid dalam token untuk pengguna tamu akan berbeda dari oid individu yang sama di penyewa rumah mereka.

Langkah berikutnya