Сведения об объектах приложения и субъекта-службы в Microsoft Entra ID
В этой статье описывается регистрация приложений, объекты приложений и субъекты-службы в идентификаторе Microsoft Entra ID, их использование, их использование и их отношение друг к другу. Здесь также приводится пример сценария с несколькими арендаторами, иллюстрирующий связь между объектом приложения и соответствующими объектами субъекта-службы.
Регистрация приложения
Чтобы была возможность делегировать Microsoft Entra ID функции управления удостоверениями и доступом, приложение должно быть зарегистрировано в клиенте Microsoft Entra. При регистрации приложения с помощью идентификатора Microsoft Entra вы создаете конфигурацию удостоверения для приложения, которая позволяет интегрировать его с идентификатором Microsoft Entra. При регистрации приложения вы выбираете, является ли он одним клиентом или мультитенантным, а также может при необходимости задать универсальный код ресурса (URI перенаправления). Пошаговые инструкции см. в кратком руководстве по регистрации приложений.
После завершения регистрации приложения у вас есть глобальный уникальный экземпляр приложения (объект приложения), который находится в домашнем клиенте или каталоге. Кроме того, у вас есть глобальный уникальный идентификатор приложения (идентификатор приложения или клиента). Вы можете добавить секреты или сертификаты и область, чтобы сделать приложение работой, настраивать фирменную символику приложения в диалоговом окне входа и многое другое.
При регистрации приложения объект приложения и объект субъекта-службы автоматически создаются в домашнем клиенте. Если вы регистрируете или создаете приложение с помощью Microsoft Graph API, создание объекта субъекта-службы выполняется на отдельном этапе.
Объект приложения
Приложение Microsoft Entra определяется одним и единственным объектом приложения, который находится в клиенте Microsoft Entra, где приложение зарегистрировано (известное как "домашний" клиент приложения). Объект приложения используется в качестве шаблона или схемы для создания одного или нескольких объектов субъекта-службы. Субъект-служба создается в каждом клиенте, в котором используется приложение. Аналогично классу в объектно-ориентированном программировании объект приложения имеет некоторые статические свойства, которые применяются ко всем созданным субъектам-службам (или экземплярам приложения).
Объект приложения описывает три аспекта приложения.
- Как служба может выдавать токены для доступа к приложению
- Ресурсы, к которым приложению может потребоваться доступ
- Действия, которые может выполнять приложение
Страницу Регистрация приложений в Центре администрирования Microsoft Entra можно использовать для перечисления объектов приложений в домашнем клиенте и управления ими.
Схема для свойств объекта приложения определяется в сущности приложения Microsoft Graph.
Объект субъекта-службы
Чтобы получить доступ к ресурсам, защищенным клиентом Microsoft Entra, сущность, требующая доступа, должна быть представлена субъектом безопасности. Это требование применяется как к пользователям (субъект-пользователь), так и к приложениям (субъект-служба). Субъект безопасности определяет политику доступа и разрешения для пользователя или приложения в клиенте Microsoft Entra. Это обеспечивает базовые функции, включая аутентификацию пользователя или приложения во время входа, а также авторизацию во время получения доступа к ресурсам.
Существует три типа субъекта-службы:
Приложение. Этот тип субъекта-службы является локальным представлением или экземпляром приложения глобального объекта приложения в одном клиенте или каталоге. В этом случае субъект-служба представляет собой конкретный экземпляр, созданный из объекта приложения и наследующий определенные свойства от этого объекта приложения. Субъект-служба создается в каждом клиенте, где используется приложение, и ссылается на глобальный уникальный объект приложения. Объект субъекта-службы определяет, какие действия приложение фактически может выполнять в определенном клиенте, кто имеет доступ к приложению и к каким ресурсам приложение может получить доступ.
Когда приложение получает разрешение на доступ к ресурсам в клиенте (при регистрации или предоставлении согласия), создается объект субъекта службы. При регистрации приложения субъект-служба создается автоматически. Вы также можете создавать объекты субъекта-службы в клиенте с помощью Azure PowerShell, Azure CLI, Microsoft Graph и других средств.
Управляемое удостоверение. Этот тип субъекта-службы используется для представления управляемого удостоверения. Управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков. Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Когда управляемое удостоверение включено, в вашем клиенте создается субъект-служба, представляющий это управляемое удостоверение. Субъектам-службам, представляющим управляемые удостоверения, можно предоставить доступ и разрешения, но их нельзя обновить или изменить напрямую.
Устаревший. Этот тип субъекта-службы представляет собой устаревшее приложение, созданное до того, как регистрация приложений была введена, или созданное с помощью устаревшего интерфейса. Устаревшая субъект-служба может иметь учетные данные, имена субъектов-служб, URL-адреса ответов и другие свойства, которые может редактировать авторизованный пользователь, но который не имеет связанной регистрации приложения. Субъект-службу можно использовать только в том клиенте, в котором он был создан.
Схема для свойств объекта субъекта-службы определяется в сущности ServicePrincipal Microsoft Graph.
Страницу корпоративных приложений в Центре администрирования Microsoft Entra можно использовать для перечисления субъектов-служб в клиенте и управления ими. Вы можете просматривать разрешения субъекта-службы, разрешения, предоставленные с согласия пользователя, перечень пользователей, давших это согласие, данные для входа и многое другое.
Отношение между объектами приложения и субъектами-службами
Объект приложения является глобальным представлением вашего приложения для использования во всех клиентах, а субъект-служба — локальным представлением для использования в определенном клиенте. Объект приложения служит шаблоном, который определяет общие свойства и свойства по умолчанию, используемые для создания соответствующих объектов субъекта-службы.
Объект приложения имеет:
- связь "один к одному" с программным приложением;
- связь "один ко многим" с соответствующими объектами субъекта-службы.
Субъект-службу необходимо создать в каждом клиенте, где будет использоваться приложение, чтобы установить поставщика удостоверений для входа в систему и доступа к ресурсам, защищенным с помощью клиента. Приложение с одним клиентом будет иметь только один субъект-службу (в своем домашнем клиенте). Создание субъекта-службы и предоставление разрешения на его использование выполняется во время регистрации приложения. Мультитенантное приложение также имеет субъект-службу, созданный в каждом клиенте, где пользователь из этого клиента согласился на его использование.
Вывод списка субъектов-служб, связанных с приложением
Субъекты-службы, связанные с объектом приложения, можно найти.
В Центре администрирования Microsoft Entra перейдите к обзору регистрации приложения. Выберите управляемое приложение в локальном каталоге.
Последствия изменения и удаления приложений
Любые изменения, вносимые в объект приложения, также отражаются в объекте субъекта-службы, размещенном в домашнем клиенте приложения (то есть в клиенте, в котором зарегистрировано приложение). Это означает, что удаление объекта приложения также приведет к удалению связанного объекта субъекта-службы домашнего клиента. Однако восстановление этого объекта приложения с помощью пользовательского интерфейса регистрации приложений не приводит к восстановлению соответствующего субъекта-службы. Дополнительные сведения об удалении и восстановлении приложений и их объектов субъекта-службы см. в статье Удаление и восстановление приложений и объектов субъекта-службы.
Пример
На следующей схеме показана связь между объектом приложения и соответствующими объектами субъекта-службы в контексте примера мультитенантного приложения, называемого приложением HR. В этом примере существует три клиента Microsoft Entra:
- Adatum — клиент, который использует компания, разработавшая приложение по управлению персоналом;
- Contoso — клиент, который использует компания Contoso, являющаяся объектом-получателем приложения по управлению персоналом;
- Fabrikam — клиент, который использует компания Fabrikam, также потребляющая приложение по управлению персоналом.
Условия в этом примере сценария.
| Этап | Описание: |
|---|---|
| 1 | Процесс создания объектов приложения и субъекта-службы в домашнем арендаторе приложения. |
| 2 | Когда администраторы Contoso и Fabrikam завершают согласие, в клиенте Microsoft Entra компании создается объект субъекта-службы и назначает разрешения, предоставленные администратором. Обратите внимание, что приложение по управлению персоналом можно создать или настроить для отдельных пользователей. |
| 3 | Каждый из клиентов-потребителей приложения по управлению персоналом (Contoso и Fabrikam) имеет собственный объект субъекта-службы. И каждый из них представляет использование экземпляра приложения во время выполнения. Это использование зависит от разрешений, предоставленных соответствующим администратором. |
Следующие шаги
Узнайте подробнее о создании субъекта-службы в статьях:
- Использование Центра администрирования Microsoft Entra
- Использование Azure PowerShell
- Использование Azure CLI
- Использование Microsoft Graph, а затем — Microsoft Graph Explorer для отправки запросов как к объектам приложения, так и к объектам субъекта-службы.