Programmodell

  • Artikel

Program kan logga in själva eller delegera inloggning till en identitetsprovider. I den här artikeln beskrivs de steg som krävs för att registrera ett program med Microsofts identitetsplattform.

Registrera en app

För att en identitetsprovider ska veta att en användare har åtkomst till en viss app måste både användaren och programmet registreras hos identitetsprovidern. När du registrerar ditt program med Microsoft Entra-ID tillhandahåller du en identitetskonfiguration för ditt program som gör att det kan integreras med Microsofts identitetsplattform. Genom att registrera appen kan du också:

  • Anpassa varumärkesanpassningen för ditt program i dialogrutan för inloggning. Den här varumärkesanpassningen är viktig eftersom inloggning är den första upplevelsen som en användare kommer att ha med din app.
  • Bestäm om du bara vill tillåta användare att logga in om de tillhör din organisation. Den här arkitekturen kallas för ett program med en enda klientorganisation. Eller så kan du tillåta användare att logga in med hjälp av ett arbets- eller skolkonto, vilket kallas för ett program med flera klientorganisationer. Du kan också tillåta personliga Microsoft-konton eller ett socialt konto från LinkedIn, Google och så vidare.
  • Begär omfångsbehörigheter. Du kan till exempel begära omfånget "user.read", som ger behörighet att läsa profilen för den inloggade användaren.
  • Definiera omfång som definierar åtkomsten till webb-API:et. När en app vill komma åt ditt API måste den vanligtvis begära behörigheter till de omfång som du definierar.
  • Dela en hemlighet med Microsofts identitetsplattform som bevisar appens identitet. Att använda en hemlighet är relevant om appen är ett konfidentiellt klientprogram. Ett konfidentiellt klientprogram är ett program som kan lagra autentiseringsuppgifter på ett säkert sätt, som en webbklient. En betrodd serverdelsserver krävs för att lagra autentiseringsuppgifterna.

När appen har registrerats får den en unik identifierare som den delar med Microsofts identitetsplattform när den begär token. Om appen är ett konfidentiellt klientprogram delar den även hemligheten eller den offentliga nyckeln beroende på om certifikat eller hemligheter har använts.

Microsofts identitetsplattform representerar program med hjälp av en modell som uppfyller två huvudfunktioner:

  • Identifiera appen med de autentiseringsprotokoll som den stöder.
  • Ange alla identifierare, URL:er, hemligheter och relaterad information som behövs för att autentisera.

Microsofts identitetsplattform:

  • Innehåller alla data som krävs för autentisering vid körning.
  • Innehåller alla data för att bestämma vilka resurser en app kan behöva komma åt och under vilka omständigheter en viss begäran ska uppfyllas.
  • Tillhandahåller infrastruktur för implementering av appetablering i apputvecklarens klientorganisation och till andra Microsoft Entra-klientorganisationer.
  • Hanterar användarmedgivande under tokenbegäran och underlättar dynamisk etablering av appar mellan klientorganisationer.

Medgivande är processen för en resursägare som beviljar auktorisering för ett klientprogram för att få åtkomst till skyddade resurser, under specifika behörigheter, för resursägarens räkning. Microsofts identitetsplattform aktiverar:

  • Användare och administratörer beviljar eller nekar dynamiskt medgivande för att appen ska få åtkomst till resurser för deras räkning.
  • Administratörer kan slutligen bestämma vilka appar som ska tillåtas att göra och vilka användare som kan använda specifika appar och hur katalogresurserna används.

Appar för flera klienter

I Microsofts identitetsplattform beskriver ett programobjekt ett program. Vid distributionen använder Microsofts identitetsplattform programobjektet som en skiss för att skapa ett huvudnamn för tjänsten, vilket representerar en konkret instans av ett program i en katalog eller klientorganisation. Tjänstens huvudnamn definierar vad appen faktiskt kan göra i en specifik målkatalog, vem som kan använda den, vilka resurser den har åtkomst till och så vidare. Microsofts identitetsplattform skapar ett huvudnamn för tjänsten från ett programobjekt via medgivande.

Följande diagram visar ett förenklat Microsofts identitetsplattform etableringsflöde som drivs av medgivande. Den visar två klienter: A och B.

  • Klientorganisation A äger programmet.
  • Klient B instansierar programmet via ett huvudnamn för tjänsten.

Diagram that shows a simplified provisioning flow driven by consent.

I det här etableringsflödet sker följande:

  1. En användare från klient B försöker logga in med appen. Auktoriseringsslutpunkten begär en token för programmet.
  2. Autentiseringsuppgifterna hämtas och verifieras för autentisering.
  3. Användaren uppmanas att ge medgivande för att appen ska få åtkomst till klient B.
  4. Microsofts identitetsplattform använder programobjektet i klient A som en skiss för att skapa ett huvudnamn för tjänsten i klient B.
  5. Användaren tar emot den begärda token.

Du kan upprepa den här processen för fler klienter. Klient A behåller skissen för appen (programobjektet). Användare och administratörer för alla andra klienter där appen får medgivande har kontroll över vad programmet tillåts göra via motsvarande objekt för tjänstens huvudnamn i varje klientorganisation. Mer information finns i Program- och tjänsthuvudnamnsobjekt i Microsofts identitetsplattform.

Nästa steg

Mer information om autentisering och auktorisering i Microsofts identitetsplattform finns i följande artiklar:

Mer information om programmodellen finns i följande artiklar: