Azure Active Directory'deki uygulama ve hizmet sorumlusu nesneleri

Bu makalede uygulama kaydı, uygulama nesneleri ve hizmet sorumluları Azure Active Directory: ne oldukları, nasıl kullanıldıkları ve birbirleriyle nasıl ilişkili oldukları açıklanmaktadır. Bir uygulamanın uygulama nesnesi ile buna karşılık gelen hizmet sorumlusu nesneleri arasındaki ilişkiyi göstermek için de çok kiracılı bir örnek senaryo sunulmaktadır.

Uygulama kaydı

Kimlik ve erişim yönetimi işlevlerinin Azure AD 'ye temsilciliğini sağlamak için bir uygulamanın bir Azure AD kiracısıylakayıtlı olması gerekir. Uygulamanızı Azure AD 'ye kaydettiğinizde, uygulamanız için Azure AD ile tümleşmesini sağlayan bir kimlik yapılandırması oluşturuyorsunuz. Azure Portalbir uygulamayı kaydettiğinizde, tek bir kiracı (yalnızca kiracınızda erişilebilir) veya çok kiracılı (diğer kiracılarda erişilebilir) olduğunu ve isteğe bağlı olarak bir yeniden yönlendirme URI 'si (erişim belirtecinin gönderildiği konum) ayarlayabileceğinizi seçersiniz.

Bir uygulamayı kaydetmeye ilişkin adım adım yönergeler için bkz. uygulama kaydı hızlı başlangıç.

Uygulama kaydını tamamladığınızda, ana kiracınızda veya dizininizde bulunan, uygulamanın ( uygulama nesnesi) genel olarak benzersiz bir örneğine sahip olursunuz. Ayrıca, uygulamanız için genel olarak benzersiz bir KIMLIĞINIZ (uygulama veya istemci KIMLIĞI) vardır. Portalda, uygulamanızı çalışır hale getirmek, oturum açma iletişim kutusunda uygulamanızın markasını özelleştirmek ve daha fazlasını yapmak için gizli dizileri veya sertifikaları ve kapsamları ekleyebilirsiniz.

Bir uygulamayı portala kaydettiğinizde, ana kiracınızda bir uygulama nesnesi ve hizmet sorumlusu nesnesi otomatik olarak oluşturulur. Microsoft Graph API 'Lerini kullanarak bir uygulamayı kaydeder/oluşturursanız, hizmet sorumlusu nesnesini oluşturmak ayrı bir adımdır.

Uygulama nesnesi

Bir Azure AD uygulaması, uygulamanın kaydedildiği (uygulamanın "ana" kiracısı olarak bilinir) Azure AD kiracısında bulunan bir ve yalnızca uygulama nesnesi tarafından tanımlanır. Bir uygulama nesnesi, bir veya daha fazla hizmet sorumlusu nesnesi oluşturmak için şablon veya şema olarak kullanılır. Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur. Nesne odaklı programlamada bir sınıfa benzer şekilde, uygulama nesnesi oluşturulan tüm hizmet sorumlularına (veya uygulama örneklerine) uygulanan bazı statik özelliklere sahiptir.

Uygulama nesnesi bir uygulamanın üç yönlerini açıklar: hizmetin uygulamaya erişmek için belirteçleri nasıl yayımlayabileceğini, uygulamanın erişmesi gerekebilecek kaynakları ve uygulamanın gerçekleştirebileceği eylemleri açıklar.

Azure portal uygulama kayıtları dikey penceresi, giriş kiracınızdaki uygulama nesnelerini listelemek ve yönetmek için kullanılır.

Uygulama kayıtları dikey pencere

Microsoft Graph uygulama varlığı , uygulama nesnesinin özellikleri için şemayı tanımlar.

Hizmet sorumlusu nesnesi

Bir Azure AD kiracısı tarafından güvenliği sağlanmış olan kaynaklara erişmek için, erişim gerektiren varlık bir güvenlik sorumlusu tarafından temsil etmelidir. Bu gereksinim, hem kullanıcılar (Kullanıcı sorumlusu) hem de uygulamalar (hizmet sorumlusu) için geçerlidir. Güvenlik sorumlusu, Azure AD kiracısında Kullanıcı/uygulama için erişim ilkesini ve izinleri tanımlar. Bu, oturum açma sırasında kullanıcı/uygulamanın kimlik doğrulaması ve kaynak erişimi sırasında yetkilendirme gibi temel özellikleri sunar.

Üç tür hizmet sorumlusu vardır: uygulama, yönetilen kimlik ve eski.

Hizmet sorumlusu ilk türü, tek bir Kiracıdaki veya dizindeki genel uygulama nesnesinin yerel temsili veya uygulama örneğidir. Bu durumda, hizmet sorumlusu uygulama nesnesinden oluşturulan somut bir örneğidir ve bu uygulama nesnesinden belirli özellikleri devralır. Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur ve genel olarak benzersiz uygulama nesnesine başvurur. Hizmet sorumlusu nesnesi, uygulamanın belirli bir kiracıda ne yapabileceğini, uygulamaya kimlerin erişebileceğini ve uygulamanın erişebileceği kaynakları tanımlar.

Bir uygulamaya bir Kiracıdaki kaynaklara erişim izni verildiğinde (kayıt veya onaysağlandığında), bir hizmet sorumlusu nesnesi oluşturulur. Ayrıca Azure PowerShell, Azure CLI, Microsoft Graph, Azure Portalve diğer araçları kullanarak bir kiracıda hizmet sorumlusu nesneleri oluşturabilirsiniz. Portalı kullanırken, bir uygulamayı kaydettiğinizde bir hizmet sorumlusu otomatik olarak oluşturulur.

Hizmet sorumlusu ikinci türü, yönetilen bir kimliğitemsil etmek için kullanılır. Yönetilen kimlikler, geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. Yönetilen kimlikler, uygulamalar için Azure AD kimlik doğrulamasını destekleyen kaynaklara bağlanırken kullanılacak bir kimlik sağlar. Yönetilen bir kimlik etkinleştirildiğinde, kiracınızda yönetilen kimliği temsil eden bir hizmet sorumlusu oluşturulur. Yönetilen kimlikleri temsil eden hizmet sorumlularına erişim ve izinler verilebilir, ancak doğrudan güncelleştirilemez veya değiştirilemez.

Üçüncü hizmet asıl türü eski bir uygulamayı temsil eder (uygulama kayıtları, eski deneyimler aracılığıyla tanıtılmadan önce oluşturulan bir uygulama). Eski bir hizmet sorumlusu kimlik bilgileri, hizmet sorumlusu adları, yanıt URL 'Leri ve yetkili bir kullanıcı tarafından düzenlenebilir ancak ilişkili bir uygulama kaydı olmayan diğer özelliklere sahip olabilir. Hizmet sorumlusu yalnızca oluşturulduğu kiracıda kullanılabilir.

Microsoft Graph ServicePrincipal varlığı , bir hizmet sorumlusu nesnesinin özelliklerine ilişkin şemayı tanımlar.

Portaldaki Kurumsal uygulamalar dikey penceresi, bir Kiracıdaki hizmet sorumlularını listelemek ve yönetmek için kullanılır. Hizmet sorumlusunun izinlerini, Kullanıcı onaylı izinleri, hangi kullanıcıların onay, oturum açma bilgileri ve daha fazlasını yapmış olduğunu görebilirsiniz.

Kurumsal uygulamalar dikey penceresi

Uygulama nesneleri ve hizmet sorumluları arasındaki ilişki

Uygulama nesnesi, uygulamanızın tüm kiracılarda kullanılmak üzere genel gösterimidir ve hizmet sorumlusu, belirli bir kiracıda kullanılmak üzere Yerel gösterimidir.

Uygulama nesnesi, buna karşılık gelen hizmet sorumlusu nesnelerini oluştururken kullanılmak üzere ortak ve varsayılan özelliklerin türetildiği şablon görevi görür. Bu nedenle bir uygulama nesnesi, yazılım uygulamasıyla 1:1 ilişkisine sahiptir ve buna karşılık gelen hizmet sorumlusu nesnesiyle 1: çok ilişki vardır.

Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulmalıdır, bu sayede oturum açma ve/veya kiracı tarafından güvenliği sağlanmış kaynaklara erişim için bir kimlik oluşturulmasını sağlar. Tek kiracı uygulamasının (ana kiracısında) uygulama kaydı sırasında kullanılmak için oluşturulan ve onaylanan tek bir hizmet sorumlusu vardır. Çok kiracılı bir uygulama, bu kiracıdan gelen bir kullanıcının kendi kullanımına yönelik olarak çalıştığı her bir kiracıda oluşturulmuş bir hizmet sorumlusuna sahiptir.

Uygulamaları değiştirme ve silme sonuçları

Uygulama nesneniz üzerinde yaptığınız tüm değişiklikler Ayrıca uygulamanın yalnızca giriş kiracısındaki hizmet sorumlusu nesnesine yansıtılır (kayıtlı olan kiracı). Bu, bir uygulama nesnesinin silinmesinin ana kiracı hizmet sorumlusu nesnesini de silebileceği anlamına gelir. Ancak, bu uygulama nesnesinin geri yüklenmesi karşılık gelen hizmet sorumlusunu geri yüklememeyecektir. Çok kiracılı uygulamalarda, erişim uygulama erişim paneli aracılığıyla kaldırılana ve yeniden verilene kadar, uygulama nesnesi üzerindeki değişiklikler herhangi bir tüketici kiracının hizmet sorumlusu nesnelerinde yansıtılmaz.

Örnek

Aşağıdaki diyagramda, bir uygulamanın uygulama nesnesi ile karşılık gelen hizmet sorumlusu nesneleri arasındaki ilişki, HR uygulaması adlı örnek bir çok kiracılı uygulama bağlamında gösterilmektedir. Bu örnek senaryoda üç Azure AD kiracının olması vardır:

  • Adatum -şirket tarafından İK uygulamasını geliştiren kiracı
  • Contoso - İK uygulamasının bir tüketicisi olan contoso organizasyonu tarafından kullanılan kiracı
  • Fabrikam -fabrikam organizasyonu tarafından kullanılan kiracı, ayrıca HR uygulamasını kullanır

Uygulama nesnesi ve hizmet sorumlusu nesnesi arasındaki ilişki

Bu örnek senaryoda:

Adım Açıklama
1 Uygulamanın giriş kiracısında uygulama ve hizmet sorumlusu nesneleri oluşturma işlemidir.
2 Contoso ve Fabrikam yöneticileri onayı tamamladıktan sonra, şirketinin Azure AD kiracısında bir hizmet sorumlusu nesnesi oluşturulur ve yöneticinin verdiği izinler atanır. Ayrıca, IK uygulamasının Kullanıcı tarafından bireysel kullanım için izin verecek şekilde yapılandırılıp tasarlanmadığını unutmayın.
3 HR uygulamasının (contoso ve Fabrikam) tüketici kiracılarının her biri kendi hizmet sorumlusu nesnesine sahiptir. Her biri, ilgili yönetici tarafından onaylanan izinlerle yönetilen, çalışma zamanında uygulamanın bir örneğinin kullanımını temsil eder.

Sonraki adımlar