Jak i dlaczego aplikacje są dodawane do identyfikatora Entra firmy Microsoft

  • Artykuł

Istnieją dwie reprezentacje aplikacji w identyfikatorze Entra firmy Microsoft:

  • Obiekty aplikacji — chociaż istnieją wyjątki, obiekty aplikacji można uznać za definicję aplikacji.
  • Jednostki usługi — można uznać za wystąpienie aplikacji. Jednostki usługi zwykle odwołują się do obiektu aplikacji, a jeden obiekt aplikacji może odwoływać się do wielu jednostek usługi w różnych katalogach.

Z czego pochodzą obiekty aplikacji i skąd pochodzą?

Obiekty aplikacji można zarządzać w centrum administracyjnym firmy Microsoft Entra za pomocą środowiska Rejestracje aplikacji. Obiekty aplikacji opisują aplikację do identyfikatora Entra firmy Microsoft i można je uznać za definicję aplikacji, umożliwiając usłudze poznanie sposobu wystawiania tokenów aplikacji na podstawie jej ustawień. Obiekt aplikacji będzie istnieć tylko w katalogu głównym, nawet jeśli jest to aplikacja wielodostępna obsługująca jednostki usługi w innych katalogach. Obiekt aplikacji może zawierać (ale nie tylko) dowolne z następujących elementów:

  • Nazwa, logo i wydawca
  • Identyfikatory URI przekierowania
  • Wpisy tajne (symetryczne i/lub klucze asymetryczne używane do uwierzytelniania aplikacji)
  • Zależności interfejsu API (OAuth)
  • Opublikowane interfejsy API/zasoby/zakresy (OAuth)
  • Role aplikacji
  • Metadane i konfiguracja logowania jednokrotnego
  • Metadane i konfiguracja aprowizacji użytkowników
  • Metadane i konfiguracja serwera proxy

Obiekty aplikacji można tworzyć za pomocą wielu ścieżek, w tym:

  • Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra
  • Tworzenie nowej aplikacji przy użyciu programu Visual Studio i konfigurowanie jej do korzystania z uwierzytelniania firmy Microsoft Entra
  • Gdy administrator dodaje aplikację z galerii aplikacji (co spowoduje również utworzenie jednostki usługi)
  • Tworzenie nowej aplikacji przy użyciu interfejsu API programu Microsoft Graph lub programu PowerShell
  • Wiele innych, w tym różne środowiska deweloperskie na platformie Azure i środowiska eksploratora interfejsów API w centrach deweloperów

Z czego pochodzą jednostki usługi i skąd pochodzą?

Jednostki usługi można zarządzać w centrum administracyjnym firmy Microsoft Entra za pomocą środowiska aplikacje dla przedsiębiorstw. Jednostki usługi to jednostki usług, które zarządzają aplikacją łączącą się z identyfikatorem Entra firmy Microsoft i można je uznać za wystąpienie aplikacji w katalogu. W przypadku każdej aplikacji może mieć co najwyżej jeden obiekt aplikacji (który jest zarejestrowany w katalogu "home") i co najmniej jeden obiekt jednostki usługi reprezentujący wystąpienia aplikacji w każdym katalogu, w którym działa.

Jednostka usługi może obejmować:

  • Odwołanie z powrotem do obiektu aplikacji za pomocą właściwości identyfikatora aplikacji
  • Rekordy przypisań ról użytkowników lokalnych i grup
  • Rekordy uprawnień użytkownika lokalnego i administratora przyznane aplikacji
    • Na przykład: uprawnienie aplikacji do uzyskiwania dostępu do poczty e-mail określonego użytkownika
  • Rekordy zasad lokalnych, w tym zasady dostępu warunkowego
  • Rekordy alternatywnych ustawień lokalnych dla aplikacji
    • Reguły przekształcania oświadczeń
    • Mapowania atrybutów (aprowizowanie użytkowników)
    • Role aplikacji specyficzne dla katalogu (jeśli aplikacja obsługuje role niestandardowe)
    • Nazwa lub logo specyficzne dla katalogu

Podobnie jak obiekty aplikacji, jednostki usługi można również tworzyć za pomocą wielu ścieżek, w tym:

  • Gdy użytkownicy loguje się do aplikacji innej firmy zintegrowanej z identyfikatorem Entra firmy Microsoft
    • Podczas logowania użytkownicy są proszeni o udzielenie aplikacji uprawnień dostępu do swojego profilu i innych uprawnień. Pierwsza osoba, która wyrazi zgodę, powoduje dodanie jednostki usługi reprezentującej aplikację do katalogu.
  • Gdy użytkownicy loguje się do usługi Microsoft Usługi online, na przykład microsoft 365.
    • Po zasubskrybowaniu platformy Microsoft 365 lub rozpoczęciu korzystania z wersji próbnej co najmniej jedna jednostka usługi jest tworzona w katalogu reprezentującym różne usługi, które są używane do dostarczania wszystkich funkcji skojarzonych z platformą Microsoft 365.
    • Niektóre usługi platformy Microsoft 365, takie jak SharePoint, tworzą jednostki usługi na bieżąco, aby umożliwić bezpieczną komunikację między składnikami, w tym przepływami pracy.
  • Gdy administrator dodaje aplikację z galerii aplikacji (spowoduje to również utworzenie bazowego obiektu aplikacji)
  • Dodawanie aplikacji do korzystania z serwera proxy aplikacji Microsoft Entra
  • Połączenie aplikacji do logowania jednokrotnego przy użyciu protokołu SAML lub logowania jednokrotnego przy użyciu hasła
  • Programowo za pomocą interfejsu API programu Microsoft Graph lub programu PowerShell

Aplikacja ma jeden obiekt aplikacji w katalogu głównym, do którego odwołuje się co najmniej jedna jednostka usługi w każdym z katalogów, w których działa (w tym katalog główny aplikacji).

Pokazuje relację między obiektami aplikacji i jednostkami usługi

Na powyższym diagramie firma Microsoft utrzymuje dwa katalogi wewnętrznie (pokazane po lewej stronie), których używa do publikowania aplikacji:

  • Jeden dla usługi Microsoft Apps (katalog usługi firmy Microsoft)
  • Jeden dla wstępnie zintegrowanych aplikacji innych firm (katalog galerii aplikacji)

Wydawcy aplikacji/dostawcy, którzy integrują się z identyfikatorem Entra firmy Microsoft, muszą mieć katalog publikowania (widoczny po prawej stronie jako katalog "Niektóre oprogramowanie jako usługa( SaaS).

Aplikacje dodawane samodzielnie (reprezentowane jako aplikacja (Twoja) na diagramie obejmują:

  • Aplikacje opracowane (zintegrowane z identyfikatorem Entra firmy Microsoft)
  • Aplikacje połączone na potrzeby logowania jednokrotnego
  • Aplikacje opublikowane przy użyciu serwera proxy aplikacji Microsoft Entra

Uwagi i wyjątki

  • Nie wszystkie jednostki usługi wskazują z powrotem na obiekt aplikacji. Kiedy firma Microsoft Entra ID została pierwotnie skompilowana, usługi udostępniane aplikacjom były bardziej ograniczone, a jednostka usługi była wystarczająca do ustanowienia tożsamości aplikacji. Oryginalna jednostka usługi była bliżej kształtu konta usługi Active Directory systemu Windows Server. Z tego powodu nadal można tworzyć jednostki usługi za pomocą różnych ścieżek, takich jak używanie programu Microsoft Graph PowerShell, bez uprzedniego tworzenia obiektu aplikacji. Interfejs API programu Microsoft Graph wymaga obiektu aplikacji przed utworzeniem jednostki usługi.
  • Nie wszystkie opisane powyżej informacje są obecnie udostępniane programowo. Następujące elementy są dostępne tylko w interfejsie użytkownika:
    • Reguły przekształcania oświadczeń
    • Mapowania atrybutów (aprowizowanie użytkowników)
  • Aby uzyskać bardziej szczegółowe informacje na temat jednostki usługi i obiektów aplikacji, zobacz dokumentację referencyjną interfejsu API programu Microsoft Graph:

Dlaczego aplikacje integrują się z identyfikatorem Microsoft Entra ID?

Aplikacje są dodawane do identyfikatora Entra firmy Microsoft w celu korzystania z co najmniej jednej z usług, które udostępnia, w tym:

  • Uwierzytelnianie i autoryzacja aplikacji
  • Uwierzytelnianie i autoryzacja użytkownika
  • Logowanie jednokrotne przy użyciu federacji lub hasła
  • Aprowizowanie i synchronizacja użytkowników
  • Kontrola dostępu oparta na rolach (RBAC) — użyj katalogu, aby zdefiniować role aplikacji do przeprowadzania kontroli autoryzacji opartej na rolach w aplikacji
  • Usługi autoryzacji OAuth — używane przez platformę Microsoft 365 i inne aplikacje firmy Microsoft do autoryzowania dostępu do interfejsów API/zasobów
  • Publikowanie aplikacji i serwer proxy — publikowanie aplikacji z sieci prywatnej do Internetu
  • Atrybuty rozszerzenia schematu katalogu — rozszerzanie schematu jednostki usługi i obiektów użytkownika w celu przechowywania dodatkowych danych w identyfikatorze Entra firmy Microsoft

KtoTo ma uprawnienia do dodawania aplikacji do mojego wystąpienia firmy Microsoft Entra?

Chociaż istnieją pewne zadania, które mogą wykonywać tylko Administracja istratory globalne (takie jak dodawanie aplikacji z galerii aplikacji i konfigurowanie aplikacji do korzystania z serwer proxy aplikacji) domyślnie wszyscy użytkownicy w katalogu mają uprawnienia do rejestrowania obiektów aplikacji, które tworzą i dyskrecjonalnie, w których aplikacjach współużytkują/dają dostęp do danych organizacji za pomocą zgody. Jeśli osoba jest pierwszym użytkownikiem w katalogu, aby zalogować się do aplikacji i udzielić zgody, spowoduje to utworzenie jednostki usługi w dzierżawie. W przeciwnym razie informacje o udzieleniu zgody będą przechowywane w istniejącej jednostce usługi.

Zezwolenie użytkownikom na rejestrowanie i wyrażanie zgody na aplikacje może początkowo brzmieć, ale należy pamiętać o następujących przyczynach:

  • Aplikacje od wielu lat mogą używać usługi Active Directory systemu Windows Server do uwierzytelniania użytkowników bez konieczności rejestrowania lub rejestrowania aplikacji w katalogu. Teraz organizacja będzie miała lepszą widoczność dokładnie do liczby aplikacji korzystających z katalogu i do jakiego celu.
  • Delegowanie tych obowiązków użytkownikom neguje potrzebę rejestracji i publikowania aplikacji opartej na administratorach. W usługach Active Directory Federation Services (ADFS) prawdopodobnie administrator musiał dodać aplikację jako jednostkę uzależnioną w imieniu swoich deweloperów. Teraz deweloperzy mogą korzystać z samoobsługi.
  • Użytkownicy logujący się do aplikacji przy użyciu kont organizacji w celach biznesowych są dobrym rozwiązaniem. Jeśli następnie opuści organizację, automatycznie utraci dostęp do swojego konta w używanej aplikacji.
  • Posiadanie rekordu danych, które zostały udostępnione aplikacji, jest dobrą rzeczą. Dane są bardziej transportowalne niż kiedykolwiek i warto mieć jasny rejestr osób, które udostępniły dane, z którymi aplikacjami.
  • Właściciele interfejsów API, którzy używają identyfikatora Entra firmy Microsoft dla protokołu OAuth, decydują dokładnie, jakie uprawnienia użytkownicy mogą przyznać aplikacjom i które uprawnienia wymagają zgody administratora. Tylko administratorzy mogą wyrazić zgodę na większe zakresy i bardziej znaczące uprawnienia, podczas gdy zgoda użytkownika jest ograniczona do własnych danych i możliwości użytkowników.
  • Gdy użytkownik dodaje lub zezwala aplikacji na dostęp do swoich danych, zdarzenie można przeprowadzić inspekcję, aby można było wyświetlić raporty inspekcji w centrum administracyjnym firmy Microsoft Entra, aby określić, jak aplikacja została dodana do katalogu.

Jeśli nadal chcesz uniemożliwić użytkownikom w katalogu rejestrowanie aplikacji i logowanie się do aplikacji bez zatwierdzenia przez administratora, istnieją dwa ustawienia, które można zmienić, aby wyłączyć te możliwości:

  • Aby zmienić ustawienia zgody użytkownika w organizacji, zobacz Konfigurowanie sposobu wyrażania zgody przez użytkowników na aplikacje.

  • Aby uniemożliwić użytkownikom rejestrowanie własnych aplikacji:

    1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Ustawienia użytkownika użytkowników>tożsamości>.
    2. Zmiana Użytkownicy mogą rejestrować aplikacje na Nie.