Obiekty aplikacji i jednostki usługi w usłudze Microsoft Entra ID
W tym artykule opisano rejestrację aplikacji, obiekty aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft, o tym, czym są, jak są używane i jak są ze sobą powiązane. Przedstawiono również przykładowy scenariusz obejmujący wiele dzierżaw, aby zilustrować relację między obiektem aplikacji aplikacji i odpowiednimi obiektami jednostki usługi.
Rejestrowanie aplikacji
Aby delegować funkcje zarządzania tożsamościami i dostępem do usługi Microsoft Entra ID, aplikacja musi zostać zarejestrowana w dzierżawie usługi Microsoft Entra. Podczas rejestrowania aplikacji przy użyciu identyfikatora Entra firmy Microsoft tworzysz konfigurację tożsamości dla aplikacji, która umożliwia jej integrację z identyfikatorem Entra firmy Microsoft. Podczas rejestrowania aplikacji możesz wybrać, czy jest to jedna dzierżawa, czy wiele dzierżaw, i opcjonalnie można ustawić identyfikator URI przekierowania. Aby uzyskać instrukcje krok po kroku dotyczące rejestrowania aplikacji, zobacz przewodnik Szybki start dotyczący rejestracji aplikacji.
Po zakończeniu rejestracji aplikacji masz globalnie unikatowe wystąpienie aplikacji (obiektu aplikacji), które znajduje się w dzierżawie głównej lub katalogu. Masz również globalnie unikatowy identyfikator aplikacji (identyfikator aplikacji/klienta). Możesz dodać wpisy tajne lub certyfikaty i zakresy, aby aplikacja działała, dostosowywać znakowanie aplikacji w oknie dialogowym logowania i nie tylko.
Jeśli zarejestrujesz aplikację, obiekt aplikacji i obiekt jednostki usługi zostaną automatycznie utworzone w dzierżawie głównej. Jeśli zarejestrujesz/utworzysz aplikację przy użyciu interfejsów API programu Microsoft Graph, tworzenie obiektu jednostki usługi jest osobnym krokiem.
Obiekt aplikacji
Aplikacja Firmy Microsoft Entra jest definiowana przez jej jeden i jedyny obiekt aplikacji, który znajduje się w dzierżawie firmy Microsoft Entra, w której zarejestrowano aplikację (znaną jako "domowa" dzierżawa aplikacji). Obiekt aplikacji jest używany jako szablon lub strategia do tworzenia co najmniej jednego obiektu jednostki usługi. Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja. Podobnie jak klasa w programowaniu obiektowym, obiekt aplikacji ma pewne właściwości statyczne, które są stosowane do wszystkich utworzonych jednostek usługi (lub wystąpień aplikacji).
Obiekt aplikacji opisuje trzy aspekty aplikacji:
- Jak usługa może wystawiać tokeny w celu uzyskania dostępu do aplikacji
- Zasoby, do których aplikacja może potrzebować dostępu
- Akcje, które może wykonać aplikacja
Możesz użyć strony Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra, aby wyświetlić listę obiektów aplikacji i zarządzać nimi w dzierżawie głównej.
Jednostka Aplikacji programu Microsoft Graph definiuje schemat właściwości obiektu aplikacji.
Obiekt jednostki usługi
Aby uzyskać dostęp do zasobów zabezpieczonych przez dzierżawę firmy Microsoft Entra, jednostka, która wymaga dostępu, musi być reprezentowana przez podmiot zabezpieczeń. To wymaganie dotyczy zarówno użytkowników (jednostki użytkownika) jak i aplikacji (jednostki usługi). Podmiot zabezpieczeń definiuje zasady dostępu i uprawnienia użytkownika/aplikacji w dzierżawie firmy Microsoft Entra. Umożliwia to korzystanie z podstawowych funkcji, takich jak uwierzytelnianie użytkownika/aplikacji podczas logowania i autoryzacja podczas uzyskiwania dostępu do zasobów.
Istnieją trzy typy jednostki usługi:
Aplikacja — ten typ jednostki usługi jest lokalną reprezentacją lub wystąpieniem aplikacji globalnego obiektu aplikacji w jednej dzierżawie lub katalogu. W takim przypadku jednostka usługi jest konkretnym wystąpieniem utworzonym na podstawie obiektu aplikacji i dziedziczy niektóre właściwości z tego obiektu aplikacji. Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja i odwołuje się do globalnie unikatowego obiektu aplikacji. Obiekt jednostki usługi definiuje, co aplikacja może rzeczywiście zrobić w określonej dzierżawie, kto może uzyskać dostęp do aplikacji i do jakich zasobów może uzyskać dostęp aplikacja.
Gdy aplikacja ma uprawnienia dostępu do zasobów w dzierżawie (po rejestracji lub zgody), tworzony jest obiekt jednostki usługi. Podczas rejestrowania aplikacji jednostka usługi jest tworzona automatycznie. Można również tworzyć obiekty jednostki usługi w dzierżawie przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, programu Microsoft Graph i innych narzędzi.
Tożsamość zarządzana — ten typ jednostki usługi służy do reprezentowania tożsamości zarządzanej. Tożsamości zarządzane eliminują potrzebę zarządzania poświadczeniami przez deweloperów. Tożsamości zarządzane zapewniają tożsamość aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra. Po włączeniu tożsamości zarządzanej jednostka usługi reprezentująca tę tożsamość zarządzaną jest tworzona w dzierżawie. Jednostki usługi reprezentujące tożsamości zarządzane mogą mieć dostęp i uprawnienia, ale nie można ich aktualizować ani modyfikować bezpośrednio.
Starsza wersja — ten typ jednostki usługi reprezentuje starszą aplikację, która jest aplikacją utworzoną przed wprowadzeniem rejestracji aplikacji lub aplikacją utworzoną za pomocą starszych środowisk. Starsza jednostka usługi może mieć poświadczenia, nazwy główne usługi, adresy URL odpowiedzi i inne właściwości, które autoryzowany użytkownik może edytować, ale nie ma skojarzonej rejestracji aplikacji. Jednostka usługi może być używana tylko w dzierżawie, w której została utworzona.
Jednostka ServicePrincipal programu Microsoft Graph definiuje schemat właściwości obiektu jednostki usługi.
Możesz użyć strony Aplikacje dla przedsiębiorstw w centrum administracyjnym firmy Microsoft Entra, aby wyświetlić listę jednostek usługi i zarządzać nimi w dzierżawie. Możesz wyświetlić uprawnienia jednostki usługi, uprawnienia użytkownika, które użytkownicy wykonali, wyrazili zgodę, zalogują się i nie tylko.
Relacja między obiektami aplikacji i jednostkami usługi
Obiekt aplikacji jest globalną reprezentacją aplikacji do użycia we wszystkich dzierżawach, a jednostka usługi jest lokalną reprezentacją do użycia w określonej dzierżawie. Obiekt aplikacji służy jako szablon, z którego pochodzą wspólne i domyślne właściwości do użycia podczas tworzenia odpowiednich obiektów jednostki usługi.
Obiekt aplikacji ma:
- Relacja "jeden do jednego" z aplikacją programową i
- Relacja jeden do wielu z odpowiadającymi jej obiektami jednostki usługi
Jednostka usługi musi zostać utworzona w każdej dzierżawie, gdy jest używana aplikacja, co pozwala jej ustalić tożsamość do logowania i/lub dostęp do zasobów zabezpieczanych przez dzierżawę. Aplikacja z jedną dzierżawą ma tylko jedną jednostkę usługi (w swojej dzierżawie głównej), utworzoną i wyrażoną zgodę na użycie podczas rejestracji aplikacji. Aplikacja z wieloma dzierżawami ma również jednostkę usługi utworzoną w każdej dzierżawie, w której użytkownik z tej dzierżawy wyraził zgodę na jego użycie.
Wyświetlanie listy jednostek usługi skojarzonych z aplikacją
Jednostki usługi skojarzone z obiektem aplikacji można znaleźć.
W centrum administracyjnym firmy Microsoft Entra przejdź do przeglądu rejestracji aplikacji. Wybierz pozycję Aplikacja zarządzana w katalogu lokalnym.
Konsekwencje modyfikowania i usuwania aplikacji
Wszelkie zmiany wprowadzone w obiekcie aplikacji są również odzwierciedlane w jego obiekcie jednostki usługi tylko w dzierżawie głównej aplikacji (dzierżawie, w której została zarejestrowana). Oznacza to, że usunięcie obiektu aplikacji spowoduje również usunięcie jego głównego obiektu jednostki usługi dzierżawy. Jednak przywrócenie tego obiektu aplikacji za pomocą interfejsu użytkownika rejestracji aplikacji nie spowoduje przywrócenia odpowiedniej jednostki usługi. Aby uzyskać więcej informacji na temat usuwania i odzyskiwania aplikacji oraz obiektów jednostki usługi, zobacz usuwanie i odzyskiwanie aplikacji oraz obiektów jednostki usługi.
Przykład
Na poniższym diagramie przedstawiono relację między obiektem aplikacji aplikacji a odpowiadającymi obiektami jednostki usługi w kontekście przykładowej aplikacji wielodostępnej o nazwie APLIKACJA HR. W tym przykładowym scenariuszu istnieją trzy dzierżawy firmy Microsoft Entra:
- Adatum — dzierżawa używana przez firmę, która opracowała aplikację HR
- Contoso — dzierżawa używana przez organizację Contoso, która jest użytkownikiem aplikacji HR
- Fabrikam — dzierżawa używana przez organizację Fabrikam , która również korzysta z aplikacji HR
W tym przykładowym scenariuszu:
| Krok | opis |
|---|---|
| 1 | Proces tworzenia obiektów aplikacji i jednostki usługi w dzierżawie głównej aplikacji. |
| 2 | Gdy administratorzy firmy Contoso i Fabrikam wyraź zgodę, w dzierżawie firmy Microsoft Entra zostanie utworzony obiekt jednostki usługi i przypisano uprawnienia przyznane przez administratora. Należy również pamiętać, że aplikację KADR można skonfigurować/zaprojektować tak, aby zezwalać użytkownikom na wyrażanie zgody na potrzeby indywidualnego użytku. |
| 3 | Dzierżawy konsumentów aplikacji HR (Contoso i Fabrikam) mają własny obiekt jednostki usługi. Każda z nich reprezentuje użycie wystąpienia aplikacji w czasie wykonywania, podlegającego uprawnieniom wyrażonym przez odpowiedniego administratora. |
Następne kroki
Dowiedz się, jak utworzyć jednostkę usługi:
- Korzystanie z centrum administracyjnego Microsoft Entra
- Korzystanie z programu Azure PowerShell
- Korzystanie z interfejsu wiersza polecenia platformy Azure
- Za pomocą programu Microsoft Graph , a następnie użyj Eksploratora programu Microsoft Graph do wykonywania zapytań dotyczących obiektów aplikacji i jednostki usługi.