Azure Active Directory'deki uygulama ve hizmet sorumlusu nesneleri
bu makalede, Azure Active Directory (Azure AD) içindeki uygulama kaydı, uygulama nesneleri ve hizmet sorumluları açıklanmaktadır: ne oldukları, nasıl kullanıldıkları ve birbirleriyle nasıl ilişkili oldukları. Bir uygulamanın uygulama nesnesi ile buna karşılık gelen hizmet sorumlusu nesneleri arasındaki ilişkiyi göstermek için de çok kiracılı bir örnek senaryo sunulmaktadır.
Uygulama kaydı
Kimlik ve erişim yönetimi işlevlerini Azure AD 'ye devretmek için bir uygulamanın bir Azure AD kiracısıyla kayıtlı olması gerekir. Uygulamanızı Azure AD 'ye kaydettiğinizde, uygulamanız için Azure AD ile tümleşmesini sağlayan bir kimlik yapılandırması oluşturursunuz. Azure portal bir uygulamayı kaydettiğinizde, tek bir kiracı (yalnızca kiracınızda erişilebilir) veya çok kiracılı (diğer kiracılarda erişilebilir) olduğunu ve isteğe bağlı olarak bir yeniden yönlendirme URI 'SI (erişim belirtecinin gönderildiği konum) ayarlayabileceğinizi seçersiniz. Bir uygulamayı kaydetmeye ilişkin adım adım yönergeler için bkz. uygulama kaydı hızlı başlangıç.
Uygulama kaydını tamamladığınızda, ana kiracınızda veya dizininizde bulunan, uygulamanın (uygulama nesnesi) genel olarak benzersiz bir örneğine sahip olursunuz. Ayrıca, uygulamanız için genel olarak benzersiz bir KIMLIĞINIZ (uygulama veya istemci KIMLIĞI) vardır. Portalda, uygulamanızı çalışır hale getirmek, oturum açma iletişim kutusunda uygulamanızın markasını özelleştirmek ve daha fazlasını yapmak için gizli dizileri veya sertifikaları ve kapsamları ekleyebilirsiniz.
Bir uygulamayı portala kaydettiğinizde, ana kiracınızda bir uygulama nesnesi ve hizmet sorumlusu nesnesi otomatik olarak oluşturulur. Microsoft Graph apı 'lerini kullanarak bir uygulamayı kaydeder/oluşturursanız, hizmet sorumlusu nesnesini oluşturmak ayrı bir adımdır.
Uygulama nesnesi
Bir Azure AD uygulaması, uygulamanın kaydedildiği (uygulamanın "ana" kiracısı olarak bilinir) Azure AD kiracısında bulunan bir ve yalnızca uygulama nesnesi tarafından tanımlanır. Bir uygulama nesnesi, bir veya daha fazla hizmet sorumlusu nesnesi oluşturmak için şablon veya şema olarak kullanılır. Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur. Nesne odaklı programlamada bir sınıfa benzer şekilde, uygulama nesnesi oluşturulan tüm hizmet sorumlularına (veya uygulama örneklerine) uygulanan bazı statik özelliklere sahiptir.
Uygulama nesnesi bir uygulamanın üç yönlerini açıklar: hizmetin uygulamaya erişmek için belirteçleri nasıl yayımlayabileceğini, uygulamanın erişmesi gerekebilecek kaynakları ve uygulamanın gerçekleştirebileceği eylemleri açıklar.
Ana kiracınızdaki uygulama nesnelerini listelemek ve yönetmek için Azure portal uygulama kayıtları dikey penceresini kullanabilirsiniz.
Microsoft Graph uygulama varlığı , uygulama nesnesinin özellikleri için şemayı tanımlar.
Hizmet sorumlusu nesnesi
Bir Azure AD kiracısı tarafından güvenliği sağlanmış olan kaynaklara erişmek için, erişim gerektiren varlık bir güvenlik sorumlusu tarafından temsil etmelidir. Bu gereksinim, hem kullanıcılar (Kullanıcı sorumlusu) hem de uygulamalar (hizmet sorumlusu) için geçerlidir. Güvenlik sorumlusu, Azure AD kiracısında Kullanıcı/uygulama için erişim ilkesini ve izinleri tanımlar. Bu, oturum açma sırasında kullanıcı/uygulamanın kimlik doğrulaması ve kaynak erişimi sırasında yetkilendirme gibi temel özellikleri sunar.
Üç tür hizmet sorumlusu vardır:
Uygulama -hizmet sorumlusu türü, tek bir Kiracıdaki veya dizindeki genel uygulama nesnesinin yerel temsili veya uygulama örneğidir. Bu durumda, hizmet sorumlusu uygulama nesnesinden oluşturulan somut bir örneğidir ve bu uygulama nesnesinden belirli özellikleri devralır. Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur ve genel olarak benzersiz uygulama nesnesine başvurur. Hizmet sorumlusu nesnesi, uygulamanın belirli bir kiracıda ne yapabileceğini, uygulamaya kimlerin erişebileceğini ve uygulamanın erişebileceği kaynakları tanımlar.
Bir uygulamaya bir Kiracıdaki kaynaklara erişim izni verildiğinde (kayıt veya onay sağlandığında), bir hizmet sorumlusu nesnesi oluşturulur. Azure portal kullanarak bir uygulamayı kaydettiğinizde, bir hizmet sorumlusu otomatik olarak oluşturulur. ayrıca, Azure PowerShell, Azure clı, Microsoft Graph ve diğer araçları kullanarak bir kiracıda hizmet sorumlusu nesneleri oluşturabilirsiniz.
Yönetilen kimlik -bu hizmet sorumlusu türü, yönetilen bir kimliğitemsil etmek için kullanılır. Yönetilen kimlikler, geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. Yönetilen kimlikler, uygulamalar için Azure AD kimlik doğrulamasını destekleyen kaynaklara bağlanırken kullanılacak bir kimlik sağlar. Yönetilen bir kimlik etkinleştirildiğinde, kiracınızda yönetilen kimliği temsil eden bir hizmet sorumlusu oluşturulur. Yönetilen kimlikleri temsil eden hizmet sorumlularına erişim ve izinler verilebilir, ancak doğrudan güncelleştirilemez veya değiştirilemez.
Eski -bu hizmet sorumlusu, uygulama kayıtları sunulmadan önce oluşturulan bir uygulama ya da eski deneyimler aracılığıyla oluşturulan bir uygulama olan eski bir uygulamayı temsil eder. Eski bir hizmet sorumlusu kimlik bilgileri, hizmet sorumlusu adları, yanıt URL 'Leri ve yetkili bir kullanıcının düzenleyebileceği ancak ilişkili bir uygulama kaydı olmayan diğer özelliklere sahip olabilir. Hizmet sorumlusu yalnızca oluşturulduğu kiracıda kullanılabilir.
Microsoft Graph serviceprincipal varlığı , bir hizmet sorumlusu nesnesinin özelliklerine ilişkin şemayı tanımlar.
bir kiracıdaki hizmet sorumlularını listelemek ve yönetmek için Azure portal Enterprise uygulamalar dikey penceresini kullanabilirsiniz. Hizmet sorumlusunun izinlerini, Kullanıcı onaylı izinleri, hangi kullanıcıların onay, oturum açma bilgileri ve daha fazlasını yapmış olduğunu görebilirsiniz.
Uygulama nesneleri ve hizmet sorumluları arasındaki ilişki
Uygulama nesnesi, uygulamanızın tüm kiracılarda kullanılmak üzere genel gösterimidir ve hizmet sorumlusu, belirli bir kiracıda kullanılmak üzere Yerel gösterimidir. Uygulama nesnesi, buna karşılık gelen hizmet sorumlusu nesnelerini oluştururken kullanılmak üzere ortak ve varsayılan özelliklerin türetildiği şablon görevi görür.
Bir uygulama nesnesi şunları içerir:
- Yazılım uygulamasıyla 1:1 ilişkisi ve
- 1: karşılık gelen hizmet sorumlusu nesnesiyle çok fazla ilişki.
Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulmalıdır, bu sayede oturum açma ve/veya kiracı tarafından güvenliği sağlanmış kaynaklara erişim için bir kimlik oluşturulmasını sağlar. Tek kiracı uygulamasının (ana kiracısında) uygulama kaydı sırasında kullanılmak için oluşturulan ve onaylanan tek bir hizmet sorumlusu vardır. Çok kiracılı bir uygulama, bu kiracıdan gelen bir kullanıcının kendi kullanımına yönelik olarak çalıştığı her bir kiracıda oluşturulmuş bir hizmet sorumlusuna sahiptir.
Uygulamaları değiştirme ve silme sonuçları
Uygulama nesneniz üzerinde yaptığınız tüm değişiklikler Ayrıca uygulamanın yalnızca giriş kiracısındaki hizmet sorumlusu nesnesine yansıtılır (kayıtlı olan kiracı). Bu, bir uygulama nesnesinin silinmesinin ana kiracı hizmet sorumlusu nesnesini de silebileceği anlamına gelir. Ancak, bu uygulama nesnesinin geri yüklenmesi karşılık gelen hizmet sorumlusunu geri yüklememeyecektir. Çok kiracılı uygulamalarda, erişim uygulama erişim paneli aracılığıyla kaldırılana ve yeniden verilene kadar, uygulama nesnesinde yapılan değişiklikler herhangi bir tüketici kiracının hizmet sorumlusu nesnelerinde yansıtılmaz.
Örnek
Aşağıdaki diyagramda, HR uygulaması adlı örnek bir çok kiracılı uygulama bağlamında uygulamanın uygulama nesnesi ve karşılık gelen hizmet sorumlusu nesneleri arasındaki ilişki gösterilmektedir. Bu örnek senaryoda üç Azure AD kiracının olması vardır:
- Adatum -şirket tarafından İK uygulamasını geliştiren kiracı
- Contoso - İK uygulamasının bir tüketicisi olan contoso organizasyonu tarafından kullanılan kiracı
- Fabrikam -fabrikam organizasyonu tarafından kullanılan kiracı, ayrıca HR uygulamasını kullanır
Bu örnek senaryoda:
| Adım | Açıklama |
|---|---|
| 1 | Uygulamanın giriş kiracısında uygulama ve hizmet sorumlusu nesneleri oluşturma işlemidir. |
| 2 | Contoso ve Fabrikam yöneticileri onayı tamamladıktan sonra, şirketinin Azure AD kiracısında bir hizmet sorumlusu nesnesi oluşturulur ve yöneticinin verdiği izinler atanır. Ayrıca, IK uygulamasının Kullanıcı tarafından bireysel kullanım için izin verecek şekilde yapılandırılıp tasarlanmadığını unutmayın. |
| 3 | HR uygulamasının (contoso ve Fabrikam) tüketici kiracılarının her biri kendi hizmet sorumlusu nesnesine sahiptir. Her biri, ilgili yönetici tarafından onaylanan izinlerle yönetilen, çalışma zamanında uygulamanın bir örneğinin kullanımını temsil eder. |
Sonraki adımlar
Hizmet sorumlusu oluşturmayı öğrenin:
- Azure portalını kullanma
- Azure PowerShell’i kullanma
- Azure CLI’yı kullanma
- Microsoft Graph kullanarak hem uygulama hem de hizmet sorumlusu nesnelerini sorgulamak için Microsoft Graph gezginini kullanın.