Szószedet: Microsoft identitásplatform
Ezeket a kifejezéseket a dokumentáció, a Microsoft Entra felügyeleti központ, a hitelesítési kódtárak és a Microsoft Graph API használatakor láthatja. Egyes kifejezések Microsoft-specifikusak, míg mások olyan protokollokhoz kapcsolódnak, mint az OAuth vagy a Microsoft Identitásplatform használt egyéb technológiák.
Hozzáférési jogkivonat
Egy engedélyezési kiszolgáló által kibocsátott biztonsági jogkivonat típusa, amelyet egy ügyfélalkalmazás használ a védett erőforrás-kiszolgáló eléréséhez. Általában JSON webes jogkivonat (JWT) formájában a jogkivonat az erőforrás tulajdonosa által az ügyfélnek adott engedélyt tartalmazza a kért hozzáférési szinthez. A jogkivonat tartalmazza az alanyra vonatkozó összes jogcímet, így az ügyfélalkalmazás azonosításra használhatja azt egy adott erőforrás elérésekor. Ez azt is kiküszöböli, hogy az erőforrás tulajdonosa elérhetővé tegye a hitelesítő adatokat az ügyfél számára.
A hozzáférési jogkivonatok csak rövid ideig érvényesek, és nem vonhatók vissza. Az engedélyezési kiszolgáló a hozzáférési jogkivonat kiadásakor frissítési jogkivonatot is kiadhat. A frissítési jogkivonatokat általában csak bizalmas ügyfélalkalmazások számára biztosítják.
A hozzáférési jogkivonatokat a megjelenített hitelesítő adatoktól függően "User+App" vagy "Csak alkalmazás" néven is említik. Ha például egy ügyfélalkalmazás a következőket használja:
- Az "Engedélyezési kód" engedélyezési megadásakor a végfelhasználó először az erőforrás tulajdonosaként hitelesít, és delegálja az engedélyezést az ügyfélnek az erőforrás eléréséhez. Az ügyfél ezt követően hitelesíti a hozzáférési jogkivonat beszerzésekor. A jogkivonatot néha pontosabban "User+App" jogkivonatnak is nevezhetjük, mivel az az ügyfélalkalmazást engedélyező felhasználót és az alkalmazást is jelöli.
- Az "ügyfél hitelesítő adatai" engedélyezési engedély megadása esetén az ügyfél biztosítja az egyetlen hitelesítést, amely az erőforrás-tulajdonos hitelesítése/engedélyezése nélkül működik, így a jogkivonatot néha csak "Csak alkalmazás" jogkivonatnak is nevezhetjük.
További részletekért tekintse meg a hozzáférési jogkivonatok hivatkozását .
Színész
Az ügyfélalkalmazás másik megnevezése. A színész az a fél, aki a tulajdonos (erőforrás tulajdonosa) nevében jár el.
Alkalmazás (ügyfél) azonosítója
Az alkalmazásazonosító vagy ügyfél-azonosító az az érték, amelyet a Microsoft Identitásplatform hozzárendel az alkalmazáshoz, amikor regisztrálja azt a Microsoft Entra-azonosítóban. Az alkalmazásazonosító egy GUID-érték, amely egyedileg azonosítja az alkalmazást és annak konfigurációját az identitásplatformon belül. Az alkalmazásazonosítót hozzáadja az alkalmazás kódjához, és a hitelesítési kódtárak az identitásplatformra irányuló kéréseikben az alkalmazás futási környezetében tartalmazzák ezt az értéket. Az alkalmazás (ügyfél) azonosítója nem titkos – ne használja jelszóként vagy más hitelesítő adatként.
Alkalmazásjegyzék
Az alkalmazásjegyzék egy olyan szolgáltatás, amely JSON-reprezentációt készít az alkalmazás identitáskonfigurációjáról, amely a társított Alkalmazás - és ServicePrincipal-entitások frissítésének mechanizmusaként szolgál. További részletekért tekintse meg a Microsoft Entra alkalmazásjegyzékének ismertetését.
Alkalmazásobjektum
Egy alkalmazás regisztrálása/frissítésekor a rendszer egy alkalmazásobjektumot és egy kapcsolódó szolgáltatásnév-objektumot is létrehoz/frissít az adott bérlőhöz. Az alkalmazásobjektum globálisan határozza meg az alkalmazás identitáskonfigurációját (az összes olyan bérlőn, ahol hozzáféréssel rendelkezik), és olyan sablont biztosít, amelyből a megfelelő szolgáltatásnév-objektum(ok) származtatva lesznek helyileg futtatáskor (egy adott bérlőben).
További információ: Alkalmazás- és szolgáltatási főobjektumok.
Alkalmazásregisztráció
Ahhoz, hogy egy alkalmazás integrálható legyen az identitás- és hozzáférés-kezelési funkciókkal a Microsoft Entra-azonosítóba, regisztrálva kell lennie egy Microsoft Entra-bérlőnél. Amikor regisztrálja az alkalmazást a Microsoft Entra-azonosítóval, identitáskonfigurációt biztosít az alkalmazáshoz, lehetővé téve, hogy integrálható legyen a Microsoft Entra-azonosítóval, és olyan funkciókat használjon, mint:
- Az egyszeri bejelentkezés robusztus kezelése a Microsoft Entra identitáskezelésével és az OpenID Connect protokoll implementálásával
- Felügyelt hozzáférés védett erőforrásokhoz ügyfélalkalmazások által az OAuth 2.0 engedélyezési kiszolgálón keresztül
- Hozzájárulási keretrendszer a védett erőforrásokhoz való ügyfélhozzáférés kezeléséhez az erőforrás-tulajdonosi engedélyezés alapján.
További részletekért lásd: Alkalmazások integrálása a Microsoft Entra-azonosítóval .
Hitelesítés
Az a cselekmény, amely kihívja a felet a jogos hitelesítő adatok megszerzése érdekében, és amely az identitás- és hozzáférés-vezérléshez használandó biztonsági entitás létrehozásának alapját biztosítja. Az OAuth 2.0 engedélyezési engedélyezése során például a hitelesítéssel rendelkező fél betölti az erőforrás-tulajdonos vagy az ügyfélalkalmazás szerepkörét a felhasznált támogatástól függően.
Engedélyezés
A hitelesített biztonsági tagok engedélyének megadása a művelethez. A Microsoft Entra programozási modellben két elsődleges használati eset létezik:
- OAuth 2.0 engedélyezési engedélyezési folyamat során: amikor az erőforrás tulajdonosa engedélyt ad az ügyfélalkalmazásnak, lehetővé téve az ügyfél számára az erőforrás-tulajdonos erőforrásainak elérését.
- Az ügyfél erőforrás-hozzáférése során: az erőforrás-kiszolgáló által implementált módon a hozzáférési jogkivonatban található jogcímértékek használatával hozza meg az alapján a hozzáférés-vezérlési döntéseket.
Engedélyezési kód
Egy rövid élettartamú érték, amelyet az engedélyezési végpont biztosít egy ügyfélalkalmazásnak az OAuth 2.0 engedélyezési kód megadásának folyamata során, amely egyike a négy OAuth 2.0 engedélyezési támogatásnak. Más néven hitelesítési kód, az engedélyezési kódot a rendszer az erőforrás-tulajdonos hitelesítésére válaszul adja vissza az ügyfélalkalmazásnak. A hitelesítési kód azt jelzi, hogy az erőforrás tulajdonosa delegálta az engedélyt az ügyfélalkalmazásnak az erőforrások eléréséhez. A folyamat részeként a hitelesítési kód később beváltható egy hozzáférési jogkivonatra.
Engedélyezési végpont
Az engedélyezési kiszolgáló által implementált végpontok egyike, amellyel az erőforrás-tulajdonossal együttműködve engedélyezési engedélyt adhat meg az OAuth 2.0 engedélyezési engedélyezési folyamat során. A használt engedélyezési engedélyezési folyamattól függően a ténylegesen megadott támogatás eltérő lehet, beleértve az engedélyezési kódot vagy a biztonsági jogkivonatot is.
További részletekért tekintse meg az OAuth 2.0 specifikáció hozzáférési engedélytípusok és engedélyezési végpont szakaszait, valamint az OpenIDConnect specifikációját.
Engedély megadása
Az erőforrás tulajdonosának az ügyfélalkalmazásnak adott védett erőforrásokhoz való hozzáférésére vonatkozó engedélyét jelképező hitelesítő adat. Az ügyfélalkalmazások az OAuth 2.0 engedélyezési keretrendszer által meghatározott négy támogatási típus egyikét használhatják a támogatás beszerzéséhez az ügyfél típusától/követelményeitől függően: "engedélyezési kód megadása", "ügyfél-hitelesítő adatok megadása", "implicit támogatás" és "erőforrás-tulajdonosi jelszó hitelesítő adatainak megadása". Az ügyfélnek visszaadott hitelesítő adat egy hozzáférési jogkivonat vagy egy engedélyezési kód (amelyet később cseréltek le egy hozzáférési jogkivonatra), a használt engedélyezési engedély típusától függően.
Az erőforrás-tulajdonos jelszó hitelesítő adatainak megadása nem használható , kivéve azokat az eseteket, amikor más folyamatok nem használhatók. Ha SPA-t hoz létre, használja az engedélyezési kódfolyamot a PKCE-vel az implicit engedélyezés helyett.
Engedélyezési kiszolgáló
Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint a hozzáférési jogkivonatok ügyfélhez való kiadásáért felelős kiszolgáló az erőforrás tulajdonosának sikeres hitelesítése és az engedélyezés beszerzése után. Az ügyfélalkalmazás futásidőben az engedélyezési és jogkivonatvégpontokon keresztül kommunikál az engedélyezési kiszolgálóval az OAuth 2.0 által meghatározott engedélyezési támogatásokkal összhangban.
Az Microsoft Identitásplatform alkalmazásintegráció esetén a Microsoft Identitásplatform implementálja az engedélyezési kiszolgálói szerepkört a Microsoft Entra-alkalmazásokhoz és a Microsoft szolgáltatás API-khoz, például a Microsoft Graph API-khoz.
Jogcím
Az igények név-érték párok egy biztonsági jogkivonatban, amelyek az egyik entitás által a másiknak tett állításokat tartalmaznak. Ezek az entitások általában az ügyfélalkalmazások vagy az erőforrás-tulajdonosok , amelyek állításokat biztosítanak az erőforrás-kiszolgálónak. A jogcímek olyan tényeket közvetítenek a jogkivonat tárgyáról, mint például annak az azonosítóját, akit a engedélyezési szerver hitelesített. A jogkivonatokban található jogcímek különbözőek lehetnek, és számos tényezőtől függhetnek, például a jogkivonat típusától, a tulajdonos hitelesítéséhez használt hitelesítő adatok típusától, az alkalmazás konfigurációjától és más tényezőktől.
További részletekért tekintse meg a Microsoft Identitásplatform tokenreferenciát.
Ügyfélalkalmazás
Más néven "színész". Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint egy alkalmazás, amely védett erőforrás-kérelmeket küld az erőforrás tulajdonosának nevében. Hatókörök formájában kapnak engedélyeket az erőforrás tulajdonosától. Az "ügyfél" kifejezés nem jelent konkrét hardveres megvalósítási jellemzőket (például azt, hogy az alkalmazás egy kiszolgálón, egy asztalon vagy más eszközön fut-e).
Az ügyfélalkalmazás engedélyt kér egy erőforrás-tulajdonostól, hogy részt vegyen egy OAuth 2.0 engedélyezési engedélyezési folyamatban, és hozzáférhet az API-khoz/adatokhoz az erőforrás-tulajdonos nevében. Az OAuth 2.0 engedélyezési keretrendszer két ügyféltípust határoz meg: "bizalmas" és "nyilvános", attól függően, hogy az ügyfél képes-e megőrizni a hitelesítő adatainak bizalmasságát. Az alkalmazások implementálhatnak egy (bizalmas) webügyfélt, amely egy webkiszolgálón, egy eszközön telepített natív ügyfélen (nyilvános) vagy egy felhasználóügynök-alapú (nyilvános) ügyfélen fut, amely az eszköz böngészőjében fut.
Hozzájárulás
Az az erőforrás-tulajdonos folyamata, amely engedélyt ad egy ügyfélalkalmazásnak a védett erőforrások adott engedélyekkel való elérésére az erőforrás tulajdonosának nevében. Az ügyfél által kért engedélyektől függően a rendszer hozzájárulást kér a rendszergazdától vagy a felhasználótól a szervezeti/egyéni adatokhoz való hozzáférés engedélyezéséhez. Vegye figyelembe, hogy több-bérlős forgatókönyv esetén az alkalmazás szolgáltatásnevéta rendszer a hozzájárulást adó felhasználó bérlőjében is rögzíti.
További információért tekintse meg a hozzájárulási keretrendszert .
Azonosító token
Az engedélyezési kiszolgálóengedélyezési végpontja által biztosított OpenID Connectbiztonsági jogkivonat, amely az egy végfelhasználói erőforrás-tulajdonos hitelesítésével kapcsolatos jogcímeket tartalmaz. A hozzáférési jogkivonatokhoz hasonlóan az azonosító jogkivonatok is digitálisan aláírt JSON-webjogkivonatként (JWT) jelennek meg. A hozzáférési jogkivonatokkal ellentétben azonban az azonosító jogkivonatok jogcímei nem az erőforrás-hozzáféréssel és kifejezetten a hozzáférés-vezérléssel kapcsolatos célokra használhatók.
További részletekért tekintse meg az ID token referenciát.
Felügyelt identitások
Ne kelljen a fejlesztőknek hitelesítő adatokat kezelnie. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Az alkalmazások a felügyelt identitás használatával szerezhetnek be Microsoft identitásplatform-tokeneket. Az alkalmazások például felügyelt identitással férhetnek hozzá az olyan erőforrásokhoz, mint az Azure Key Vault, ahol a fejlesztők biztonságosan tárolhatják a hitelesítő adatokat, vagy hozzáférhetnek a tárfiókokhoz. További információkért tekintse meg a felügyelt identitások áttekintését.
Microsoft-identitásplatform
A Microsoft Identitásplatform a Microsoft Entra identitásszolgáltatás és fejlesztői platform fejlődése. Lehetővé teszi a fejlesztők számára, hogy olyan alkalmazásokat építsenek, amelyekkel minden Microsoft-azonossággal bejelentkezhetnek, biztonsági tokenekkel hívhatják meg a Microsoft Graphot, más Microsoft API-kat vagy fejlesztők által készített API-kat. Ez egy teljes funkcionalitású platform, amely egy hitelesítési szolgáltatásból, kódtárakból, alkalmazásregisztrációból és konfigurációból, teljes fejlesztői dokumentációból, kódmintákból és egyéb fejlesztői tartalmakból áll. A Microsoft identitásplatformja támogatja a nyílt szabványokat, többek között az OAuth 2.0-t és az OpenID Connectet.
Több-bérlős alkalmazás
Olyan alkalmazásosztály, amely lehetővé teszi a bejelentkezést és a jóváhagyást a Microsoft Entra-bérlőkben kiépített felhasználók számára, beleértve az ügyfél regisztrálásakor nem szereplő bérlőket is. A natív ügyfélalkalmazások alapértelmezés szerint több-bérlősek, míg a webes ügyfél - és webes erőforrás-/API-alkalmazások választhatnak az egy- vagy több-bérlős alkalmazások között. Ezzel szemben egy egybérlősként regisztrált webalkalmazás csak abban a bérlőben létesített felhasználói fiókokból engedélyezi a bejelentkezéseket, ahol az alkalmazás regisztrálva van.
További részletekért tekintse meg a Microsoft Entra felhasználók bejelentkezését ismertető útmutatót a több bérlős alkalmazási minta használatával.
Natív ügyfél
Az eszközön natív módon telepített ügyfélalkalmazás típusa. Mivel az összes kód végrehajtása egy eszközön történik, "nyilvános" ügyfélnek minősül, mivel nem lehet privát/bizalmas módon tárolni a hitelesítő adatokat. További részletekért tekintse meg az OAuth 2.0-ügyféltípusokat és -profilokat .
Engedélyek
Az ügyfélalkalmazások engedélykérések deklarálásával hozzáférést kapnak az erőforrás-kiszolgálóhoz . Két típus érhető el:
- A "Delegált" engedélyek, amelyek hatóköralapú hozzáférést adnak meg a bejelentkezett erőforrás tulajdonosának delegált engedélyével, futtatáskor "scp" jogcímkéntjelennek meg az ügyfél hozzáférési jogkivonatában. Ezek azt jelzik, hogy az alany milyen engedélyt adott a szereplőnek.
- Az "Alkalmazás" engedélyek, amelyek szerepköralapú hozzáférést adnak meg az ügyfélalkalmazás hitelesítő adataival/identitásával, futási időben az ügyfél hozzáférési jogkivonatában "szerepkör" igényként jelennek meg. Ezek a bérlő által az alanynak adott engedélyeket jelzik.
A hozzájárulási folyamat során is felszínre kerülnek, így a rendszergazda vagy az erőforrás tulajdonosa lehetőséget kap arra, hogy hozzáférést adjon/megtagadjon az ügyfél számára a bérlői erőforrásokhoz.
Az engedélykérelmek az alkalmazás API-engedélyoldalán konfigurálhatók a kívánt "Delegált engedélyek" és az "Alkalmazásengedélyek" kiválasztásával (utóbbihoz a globális rendszergazdai szerepkör tagsága szükséges). Mivel egy nyilvános ügyfél nem tudja biztonságosan fenntartani a hitelesítő adatokat, csak delegált engedélyeket kérhet, míg a bizalmas ügyfélnek lehetősége van delegált és alkalmazásengedélyeket is kérni. Az ügyfél alkalmazásobjektuma a deklarált engedélyeket a szükségesResourceAccess tulajdonságában tárolja.
Jogkivonat frissítése
Az engedélyezési kiszolgáló által kibocsátott biztonsági jogkivonat típusa. A hozzáférési jogkivonat lejárata előtt az ügyfélalkalmazás tartalmazza a hozzá tartozó frissítési jogkivonatot, amikor új hozzáférési jogkivonatot kér az engedélyezési kiszolgálótól. A frissítési jogkivonatok általában JSON webes jogkivonatként (JWT) vannak formázva.
A hozzáférési jogkivonatokkal ellentétben a frissítési jogkivonatok visszavonhatók. Az engedélyezési kiszolgáló tagad minden olyan kérést egy ügyfélalkalmazástól, amely visszavont frissítési jogkivonatot tartalmaz. Ha az engedélyezési kiszolgáló tagad egy visszavont frissítési jogkivonatot tartalmazó kérést, az ügyfélalkalmazás elveszíti az erőforrás-kiszolgáló elérésére vonatkozó engedélyt az erőforrás-tulajdonos nevében.
További részletekért tekintse meg a frissítési jogkivonatokat .
Erőforrás tulajdonosa
Az OAuth 2.0 engedélyezési keretrendszer által meghatározottak szerint egy olyan entitás, amely képes hozzáférést biztosítani egy védett erőforráshoz. Ha az erőforrás tulajdonosa személy, akkor azt végfelhasználónak nevezzük. Ha például egy ügyfélalkalmazás a Microsoft Graph API-n keresztül szeretné elérni egy felhasználó postaládáját, a postaláda erőforrás-tulajdonosától kell engedélyt kérnie. Az "erőforrás-tulajdonost" más néven tárgynak is nevezik.
Minden biztonsági jogkivonat egy erőforrás-tulajdonost jelöl. Az erőforrás tulajdonosa az, amit a tulajdonosi jogcím, az objektumazonosító jogcím és a jogkivonat személyes adatai képviselnek. Az erőforrás-tulajdonosok azok a felek, amelyek hatókörök formájában delegált engedélyeket adnak egy ügyfélalkalmazásnak. Az erőforrás-tulajdonosok olyan szerepkörök címzettjei is, amelyek kiterjesztett engedélyeket jeleznek egy bérlőn vagy egy alkalmazásban.
Erőforrás-kiszolgáló
Az OAuth 2.0 engedélyezési keretrendszer által definiált, védett erőforrásokat üzemeltető kiszolgáló, amely képes a hozzáférési jogkivonatot tartalmazó ügyfélalkalmazások védett erőforrás-kérelmeinek elfogadására és megválaszolására. Más néven védett erőforrás-kiszolgáló vagy erőforrás-alkalmazás.
Az erőforrás-kiszolgáló az OAuth 2.0 engedélyezési keretrendszer használatával teszi elérhetővé az API-kat, és hatókörökön és szerepkörökön keresztül kényszeríti ki a védett erőforrásokhoz való hozzáférést. Ilyen például a Microsoft Graph API, amely hozzáférést biztosít a Microsoft Entra bérlői adataihoz, valamint a Microsoft 365 API-k, amelyek hozzáférést biztosítanak az adatokhoz, például a levelezéshez és a naptárhoz.
Az ügyfélalkalmazáshoz hasonlóan az erőforrásalkalmazás identitáskonfigurációja egy Microsoft Entra-bérlőben való regisztrációval jön létre, amely mind az alkalmazás-, mind a szolgáltatásfő objektumot biztosítja. Egyes Microsoft által biztosított API-k, például a Microsoft Graph API előre regisztrált szolgáltatásnévvel rendelkeznek, amelyeket a kiépítés során az összes bérlőn elérhetővé tettek.
Szerepkörök
A hatókörökhöz hasonlóan az alkalmazásszerepkörök is lehetővé teszik az erőforrás-kiszolgáló számára a védett erőforrásokhoz való hozzáférés szabályozását. A hatóköröktől eltérően a szerepkörök olyan jogosultságokat jelentenek, amelyeket az alany az alapkonfiguráción túl kapott – ezért a saját e-mailjének olvasása hatókör, míg az e-mailek olvasására jogosult rendszergazdai szerepkör, amely lehetővé teszi mindenki e-mailjének olvasását, egy szerepkör.
Az alkalmazásszerepkörök két hozzárendeléstípust támogatnak: a "user" hozzárendelés szerepköralapú hozzáférés-vezérlést valósít meg az erőforráshoz hozzáférést igénylő felhasználók/csoportok számára, míg az "alkalmazás" hozzárendelés ugyanazt valósítja meg a hozzáférést igénylő ügyfélalkalmazások esetében. Az alkalmazásszerepkör definiálható felhasználó által hozzárendelhetőként, alkalmazáshoz rendelhetőként vagy mindkettőként.
A szerepkörök erőforrás által meghatározott karakterláncok (például "Költség jóváhagyó", "Írásvédett", "Directory.ReadWrite.All"), amelyeket az erőforrás alkalmazási jegyzékén keresztül kezelnek, és az erőforrás appRoles tulajdonságában tárolnak. A felhasználók hozzárendelhetők "felhasználó" hozzárendelhető szerepkörökhöz, az ügyfélalkalmazás-engedélyek pedig konfigurálhatók az "alkalmazás" hozzárendelhető szerepkörök lekérésére.
A Microsoft Graph API által közzétett alkalmazásszerepkörök részletes ismertetését a Graph API engedélytartományai című témakörben találja. Részletes megvalósítási példa: Azure-szerepkör-hozzárendelések hozzáadása vagy eltávolítása.
Hatókörök
A szerepkörökhöz hasonlóan a hatókörök is lehetővé teszik, hogy az erőforrás-kiszolgáló szabályozhassa a védett erőforrásokhoz való hozzáférést. A hatókörök hatóköralapú hozzáférés-vezérlés implementálásához használhatók olyan ügyfélalkalmazások esetében, amelyek tulajdonosának delegált hozzáférése van az erőforráshoz.
A hatókörök olyan erőforrás által definiált karakterláncok (például "Mail.Read", "Directory.ReadWrite.All"), amelyeket az erőforrás alkalmazásjegyzékén keresztül kezelnek, és az erőforrás oauth2Permissions tulajdonságában tárolnak. Az ügyfélalkalmazás delegált engedélyei konfigurálhatók egy hatókör elérésére.
A legjobb eljárás szerinti elnevezési konvenció a "resource.operation.constraint" formátum használata. A Microsoft Graph API által közzétett hatókörök részletes ismertetését a Graph API engedélyhatókörei című témakörben találja. A Microsoft 365-szolgáltatások által közzétett hatókörökről lásd a Microsoft 365 API engedélyeinek hivatkozását.
Biztonsági token
Jogcímeket tartalmazó aláírt dokumentum, például OAuth 2.0-jogkivonat vagy SAML 2.0-s állítás. Az OAuth 2.0 engedélyezési engedély esetében a hozzáférési jogkivonat (OAuth2), a frissítési jogkivonat és az azonosító jogkivonat olyan típusú biztonsági jogkivonatok, amelyek mindegyike JSON-webjogkivonatként (JWT) van implementálva.
Szolgáltatás főobjektum
Egy alkalmazás regisztrálása/frissítésekor a rendszer egy alkalmazásobjektumot és egy kapcsolódó szolgáltatásnév-objektumot is létrehoz/frissít az adott bérlőhöz. Az alkalmazásobjektum globálisan határozza meg az alkalmazás identitáskonfigurációját (az összes bérlőn, ahol a társított alkalmazás hozzáférést kapott), és az a sablon, amelyből a megfelelő szolgáltatásnév-objektum(ok) származtatva lesznek helyileg futtatáskor (egy adott bérlőben).
További információ: Alkalmazás- és szolgáltatásfelelősi objektumok.
Bejelentkezés
A végfelhasználói hitelesítést kezdeményező és a kapcsolódó állapot rögzítését kezdeményező ügyfélalkalmazás folyamata a biztonsági jogkivonat kéréséhez és az alkalmazás munkamenetének az adott állapothoz való hatókörének meghatározásához. Az állapot tartalmazhat elemeket, például felhasználói profiladatokat és token állításokból származó információkat.
Az alkalmazások bejelentkezési funkcióját általában az egyszeri bejelentkezés (SSO) megvalósításához használják. Előzheti meg egy "regisztrációs" függvény is, amely belépési pontként szolgál ahhoz, hogy a végfelhasználó hozzáférjen egy alkalmazáshoz (az első bejelentkezéskor). A regisztrációs függvény a felhasználóra jellemző további állapotok gyűjtésére és megőrzésére szolgál, és felhasználói hozzájárulást igényelhet.
Kijelentkezés
A végfelhasználó hitelesítésének megszüntetése, az ügyfélalkalmazás munkamenetéhez társított felhasználói állapot leválasztása a bejelentkezés során
Tárgy
Más néven erőforrás-tulajdonos.
Bérlő
A Microsoft Entra-címtár egy példányát Microsoft Entra-bérlőnek nevezzük. Számos funkciót kínál, többek között a következőket:
- beállításjegyzék-szolgáltatás integrált alkalmazásokhoz
- felhasználói fiókok és regisztrált alkalmazások hitelesítése
- A különböző protokollok , például az OAuth 2.0 és az SAML támogatásához szükséges REST-végpontok, beleértve az engedélyezési végpontot, a jogkivonatvégpontot és a több-bérlős alkalmazások által használt "közös" végpontot.
A Microsoft Entra-bérlők azure-beli és Microsoft 365-előfizetésekkel jönnek létre/vannak társítva a regisztráció során, és identitás- és hozzáférés-kezelési funkciókat biztosítanak az előfizetéshez. Az Azure-előfizetés rendszergazdái további Microsoft Entra-bérlőket is létrehozhatnak. A Microsoft Entra-bérlők beszerzéséről a bérlők elérésének különböző módjairól olvashat. Az előfizetések és a Microsoft Entra-bérlők közötti kapcsolat részleteiért tekintse meg az Azure-előfizetés társítása vagy hozzáadása a Microsoft Entra-bérlőhöz című témakört, valamint az előfizetés Microsoft Entra-bérlőhöz való társítására vagy hozzáadására vonatkozó útmutatást.
Token végpont
Az engedélyezési kiszolgáló által az OAuth 2.0 engedélyezési támogatásának támogatásához implementált végpontok egyike. A támogatástól függően használható hozzáférési jogkivonat (és kapcsolódó "frissítési" jogkivonat) beszerzésére egy ügyfélhez, vagy az OpenID Connect protokollal való használat esetén azonosító jogkivonathoz.
Felhasználóügynök-alapú ügyfél
Olyan ügyfélalkalmazás, amely letölti a kódot egy webkiszolgálóról, és egy felhasználói ügynökön (például webböngészőn) belül hajtja végre, például egyoldalas alkalmazáson (SPA). Mivel az összes kód végrehajtása egy eszközön történik, "nyilvános" ügyfélnek minősül, mivel nem lehet privát/bizalmas módon tárolni a hitelesítő adatokat. További információ: OAuth 2.0-ügyféltípusok és -profilok.
Felhasználói azonosító
A szolgáltatásmegbízotti objektum alkalmazáspéldány ábrázolására használt módjához hasonlóan, a felhasználómegbízotti objektum egy másik típusú biztonsági megbízotti objektum, amely egy felhasználót jelöl. A Microsoft Graph-erőforrástípus User
definiálja a felhasználói objektumok sémáját, beleértve a felhasználóval kapcsolatos tulajdonságokat, például az utónevet és a vezetéknevet, a felhasználónevet, a címtárszerepkör-tagságot stb. Ez biztosítja a Microsoft Entra ID felhasználói azonosító konfigurációját, hogy futásidőben létrehozzon egy felhasználói objektumot. A felhasználónév egy hitelesített felhasználót jelöl az egyszeri bejelentkezéshez, a hozzájárulás-delegálás rögzítéséhez, a hozzáférés-vezérlési döntések meghozatalához stb.
Web kliens
Olyan ügyfélalkalmazás, amely egy webkiszolgálón futtatja az összes kódot, és bizalmas ügyfélként működik, mert biztonságosan tárolhatja a hitelesítő adatait a kiszolgálón. További információ: OAuth 2.0-ügyféltípusok és -profilok.
Feladatkör identitás
Olyan identitás, amelyet egy szoftveres számítási feladat, például egy alkalmazás, szolgáltatás, szkript vagy tároló használ más szolgáltatások és erőforrások hitelesítéséhez és eléréséhez. A Microsoft Entra ID-ben a számítási feladatok identitásai alkalmazások, szolgáltatásnevek és felügyelt identitások. További információkért tekintse meg a számítási feladatok identitásának áttekintését.
Munkaterhelés identitásának federációja
Lehetővé teszi a Microsoft Entra által védett erőforrások biztonságos elérését külső alkalmazásokból és szolgáltatásokból anélkül, hogy titkos kulcsokat kellene kezelnie (támogatott forgatókönyvek esetén). További információ: számítási feladatok identitásának összevonása.
Következő lépések
A szószedet számos kifejezése az OAuth 2.0 és az OpenID Connect protokollhoz kapcsolódik. Bár nem kell tudnia, hogyan működnek a protokollok a "vezetéken" az identitásplatform használatához, bizonyos protokoll-alapismeretek ismerete segíthet a hitelesítés és az engedélyezés egyszerűbb összeállításában és hibakeresésében az alkalmazásokban: