Share via

Toepassingen registreren

  • Artikel

De registratieportal van de Microsoft Identity Platform-appis het primaire toegangspunt voor toepassingen die gebruikmaken van het platform voor verificatie en bijbehorende behoeften. Als ontwikkelaar, bij het registreren en configureren van uw apps, zijn de keuzes die u maakt en bepaalt u hoe goed uw toepassing voldoet aan zero Trust-principes. Effectieve app-registratie houdt met name rekening met de principes van het gebruik van minst bevoegde toegang en gaat ervan uit dat er inbreuk wordt gemaakt. Dit artikel helpt u meer te weten te komen over het registratieproces van de toepassing en de vereisten om ervoor te zorgen dat uw apps een Zero Trust-benadering voor beveiliging volgen.

Toepassingsbeheer in Microsoft Entra ID (Microsoft Entra ID) is het proces voor het veilig maken, configureren, beheren en bewaken van toepassingen in de cloud. Wanneer u uw toepassing registreert in een Microsoft Entra-tenant, configureert u beveiligde gebruikerstoegang.

Microsoft Entra-id vertegenwoordigt toepassingen op toepassingsobjecten en service-principals. Met sommige uitzonderingen zijn toepassingen toepassingsobjecten. U kunt een service-principal beschouwen als een exemplaar van een toepassing die verwijst naar een toepassingsobject. Meerdere service-principals in mappen kunnen verwijzen naar één toepassingsobject.

U kunt uw toepassing configureren voor het gebruik van Microsoft Entra ID via drie methoden: in Visual Studio, met behulp van de Microsoft Graph API of met behulp van PowerShell. Er zijn ontwikkelaarservaringen in Azure en in API Explorer in ontwikkelaarscentra. Raadpleeg de vereiste beslissingen en taken voor de rollen ontwikkelaar en IT-professionals voor het bouwen en implementeren van beveiligde toepassingen in het Microsoft Identity Platform.

Wie kunt toepassingen toevoegen en registreren

Beheer s en, indien toegestaan door de tenant, kunnen gebruikers en ontwikkelaars toepassingsobjecten maken door toepassingen te registreren in Azure Portal. Standaard kunnen alle gebruikers in een directory toepassingsobjecten registreren die ze ontwikkelen. Ontwikkelaars van toepassingsobjecten bepalen welke toepassingen delen en toegang verlenen tot organisatiegegevens via toestemming.

Wanneer de eerste gebruiker in een directory zich aanmeldt bij een toepassing en toestemming verleent, maakt het systeem een service-principal in de tenant waarin alle gebruikerstoestemmingsgegevens worden opgeslagen. Microsoft Entra ID maakt automatisch een service-principal voor een nieuw geregistreerde app in de tenant voordat een gebruiker wordt geverifieerd.

Personen die ten minste de rol Application Beheer istrator of Cloud Application Beheer istrator hebben toegewezen, kunnen specifieke toepassingstaken uitvoeren (zoals het toevoegen van toepassingen uit de app-galerie en het configureren van toepassingen voor het gebruik van de toepassingsproxy).

Toepassingsobjecten registreren

Als ontwikkelaar registreert u uw apps die gebruikmaken van het Microsoft Identity Platform. Registreer uw apps in Azure Portal of door Microsoft Graph-toepassings-API's aan te roepen. Nadat u uw app hebt geregistreerd, communiceert deze met het Microsoft Identity Platform door aanvragen naar het eindpunt te verzenden.

Mogelijk bent u niet gemachtigd om een toepassingsregistratie te maken of te wijzigen. Wanneer beheerders u geen toestemming geven om uw toepassingen te registreren, vraagt u hen hoe u de benodigde app-registratiegegevens aan hen kunt overbrengen.

Eigenschappen van toepassingsregistratie kunnen de volgende onderdelen bevatten.

  • Naam, logo en uitgever
  • URI's (Uniform Resource Identifiers) omleiden
  • Geheimen (symmetrische en/of asymmetrische sleutels die worden gebruikt om de toepassing te verifiëren)
  • API-afhankelijkheden (OAuth)
  • Gepubliceerde API's/resources/bereiken (OAuth)
  • App-rollen voor op rollen gebaseerd toegangsbeheer
  • Metagegevens en configuratie voor eenmalige aanmelding (SSO), inrichting van gebruikers en proxy

Een vereist onderdeel van de app-registratie is uw selectie van ondersteunde accounttypen om te definiëren wie uw app kan gebruiken op basis van het accounttype van de gebruiker. Microsoft Entra-beheerders volgen het toepassingsmodel om toepassingsobjecten in Azure Portal te beheren via de App-registraties ervaring en toepassingsinstellingen te definiëren die de service vertellen hoe tokens aan de toepassing moeten worden uitgeven.

Tijdens de registratie ontvangt u de identiteit van uw toepassing: de toepassings-id (client). Uw app gebruikt de client-id telkens wanneer deze een transactie uitvoert via het Microsoft Identity Platform.

Best practices voor app-registratie

Volg de aanbevolen beveiligingsprocedures voor toepassingseigenschappen bij het registreren van uw toepassing in Microsoft Entra ID als een essentieel onderdeel van het bedrijfsgebruik. Probeer uitvaltijd of inbreuk te voorkomen die van invloed kunnen zijn op de hele organisatie. De volgende aanbevelingen helpen u bij het ontwikkelen van uw beveiligde toepassing rond Zero Trust-principes.

  • Gebruik de controlelijst voor integratie van Microsoft Identity Platform om een hoogwaardige en veilige integratie te garanderen. Behoud de kwaliteit en beveiliging van uw app.
  • Definieer uw omleidings-URL's op de juiste manier. Verwijs naar de beperkingen en beperkingen van de omleidings-URI (antwoord-URL) om compatibiliteits- en beveiligingsproblemen te voorkomen.
  • Controleer omleidings-URI's in uw app-registratie voor eigendom om overname van domeinen te voorkomen. Omleidings-URL's moeten zich bevinden op domeinen die u kent en die u bezit. Controleer en verwijder regelmatig onnodige en ongebruikte URI's. Gebruik geen niet-https-URI's in productie-apps.
  • Definieer en onderhoud altijd app- en service-principal-eigenaren voor uw geregistreerde apps in uw tenant. Vermijd zwevende apps (apps en service-principals zonder toegewezen eigenaren). Zorg ervoor dat IT-beheerders app-eigenaren gemakkelijk en snel kunnen identificeren tijdens een noodgeval. Houd het aantal app-eigenaren klein. Maak het moeilijk voor een gecompromitteerd gebruikersaccount om meerdere toepassingen te beïnvloeden.
  • Vermijd het gebruik van dezelfde app-registratievoor meerdere apps. Door app-registraties te scheiden, kunt u de toegang met minimale bevoegdheden inschakelen en de impact tijdens een inbreuk verminderen.
    • Gebruik afzonderlijke app-registraties voor apps die gebruikers en apps aanmelden die gegevens en bewerkingen beschikbaar maken via API (tenzij nauw gekoppeld). Met deze benadering kunnen machtigingen worden verleend voor een API met hogere bevoegdheden, zoals Microsoft Graph en referenties (zoals geheimen en certificaten), op afstand van apps die zich aanmelden en communiceren met gebruikers.
    • Gebruik afzonderlijke app-registraties voor web-apps en API's. Deze aanpak helpt ervoor te zorgen dat, als de web-API een hogere set machtigingen heeft, de client-app deze niet over neemt.
  • Definieer uw toepassing alleen als een app met meerdere tenants wanneer dat nodig is. Met multitenant-apps kunnen andere tenants dan die van u worden ingericht. Ze vereisen meer beheeroverhead om ongewenste toegang te filteren. Tenzij u uw app wilt ontwikkelen als een multitenant-app, begint u met een SignInAudience-waarde van AzureADMyOrg.

Volgende stappen