Model aplikasi
Aplikasi dapat login pengguna secara langsung atau mendelegasikan login kepada penyedia identitas. Artikel ini membahas langkah-langkah yang diperlukan untuk mendaftarkan aplikasi dengan platform identitas Microsoft.
Mendaftarkan aplikasi
Agar penyedia identitas mengetahui bahwa pengguna memiliki akses ke aplikasi tertentu, baik pengguna maupun aplikasi harus terdaftar di IdP. Saat mendaftarkan aplikasi dengan ID Microsoft Entra, Anda menyediakan konfigurasi identitas untuk aplikasi yang memungkinkannya berintegrasi dengan platform identitas Microsoft. Mendaftarkan aplikasi juga memungkinkan Anda untuk:
- Sesuaikan branding aplikasi Anda dalam kotak dialog masuk. Branding ini penting karena masuk adalah pengalaman pertama yang akan dimiliki pengguna dengan aplikasi Anda.
- Putuskan apakah Anda ingin mengizinkan pengguna untuk masuk hanya jika mereka milik organisasi Anda. Arsitektur ini dikenal sebagai aplikasi penyewa tunggal. Atau, Anda dapat mengizinkan pengguna untuk masuk dengan menggunakan akun kerja atau sekolah mana pun, yang dikenal sebagai aplikasi multitenant. Anda juga dapat mengizinkan akun Microsoft pribadi atau akun sosial dari LinkedIn, Google, dan sebagainya.
- Minta izin cakupan akses Misalnya, Anda dapat meminta cakupan "user.read", yang memberikan izin untuk membaca profil pengguna yang masuk.
- Tentukan cakupan yang menentukan akses ke API web Anda. Biasanya, ketika aplikasi ingin mengakses API Anda, aplikasi harus meminta izin ke cakupan yang Anda tentukan.
- Bagikan rahasia dengan platform identitas Microsoft yang membuktikan identitas aplikasi. Menggunakan rahasia relevan dalam kasus di mana aplikasi adalah aplikasi klien rahasia. Aplikasi klien rahasia adalah aplikasi yang dapat menyimpan kredensial dengan aman, seperti klien web . Server back-end tepercaya diperlukan untuk menyimpan kredensial.
Setelah aplikasi terdaftar, aplikasi diberi pengidentifikasi unik yang dibagikannya dengan platform identitas Microsoft saat meminta token. Jika aplikasi adalah aplikasi klien rahasia, aplikasi juga akan berbagi rahasia atau kunci publik tergantung pada apakah sertifikat atau rahasia digunakan.
Platform identitas Microsoft mewakili aplikasi dengan menggunakan model yang memenuhi dua fungsi utama:
- Identifikasi aplikasi dengan protokol autentikasi yang didukungnya.
- Berikan semua pengidentifikasi, URL, rahasia, dan informasi terkait yang diperlukan untuk mengautentikasi.
Platform identitas Microsoft:
- Menyimpan semua data yang diperlukan untuk mendukung autentikasi saat runtime.
- Menyimpan semua data untuk memutuskan sumber daya apa yang mungkin perlu diakses aplikasi, dan dalam keadaan apa permintaan tertentu harus dipenuhi.
- Menyediakan infrastruktur untuk mengimplementasikan penyediaan aplikasi dalam penyewa pengembang aplikasi, serta ke penyewa Microsoft Entra lainnya.
- Menangani persetujuan pengguna saat permintaan token dan memfasilitasi provisi dinamis aplikasi antar-penyewa.
Persetujuan adalah proses pemilik sumber daya yang memberikan otorisasi bagi aplikasi klien untuk mengakses sumber daya yang dilindungi, atas izin tertentu, atas nama pemilik sumber daya. Platform identitas Microsoft memungkinkan:
- Pengguna dan administrator untuk secara dinamis memberikan atau menolak persetujuan bagi aplikasi untuk mengakses sumber daya atas nama mereka.
- Administrator untuk akhirnya memutuskan aplikasi apa yang diizinkan untuk dilakukan dan pengguna mana yang dapat menggunakan aplikasi tertentu, dan bagaimana sumber daya direktori diakses.
Aplikasi multipenyewa
Penting
Aplikasi multipenyewa (MTAs) tidak dapat berfungsi melintasi batas-batas cloud karena adanya pemisahan otoritas prinsipal layanan dalam setiap cloud. Misalnya, jika objek aplikasi dihosting di cloud komersial, prinsipal layanan terkait dibuat secara lokal selama proses onboarding pelanggan. Proses ini gagal saat melintasi batas cloud karena URL otoritas berbeda (misalnya, .com vs. .us), menyebabkan ketidakcocokan.
Di platform identitas Microsoft, objek aplikasi menjelaskan aplikasi. Pada waktu penyebaran, platform identitas Microsoft menggunakan objek aplikasi sebagai cetak biru untuk membuat prinsipal layanan , yang mewakili instans konkret aplikasi dalam sebuah direktori atau penyewa. Perwakilan layanan menentukan apa yang sebenarnya dapat dilakukan aplikasi dalam direktori target tertentu, yang dapat menggunakannya, sumber daya apa yang dapat diaksesnya, dan sebagainya. Platform identitas Microsoft membuat pokok perkhidmatan dari objek aplikasi melalui persetujuan.
Diagram berikut menunjukkan alur provisi platform identitas Microsoft yang disederhanakan yang didorong oleh persetujuan. Ini menunjukkan dua penyewa: A dan B.
- Penyewa A memiliki aplikasi.
- Tenant B membuat instans aplikasi melalui prinsipal layanan.
Dalam alur provisi ini:
- Pengguna dari penyewa B mencoba masuk dengan aplikasi. Titik akhir otorisasi meminta token untuk aplikasi.
- Kredensial pengguna diperoleh dan diverifikasi untuk autentikasi.
- Pengguna diminta untuk memberikan persetujuan bagi aplikasi untuk mendapatkan akses ke penyewa B.
- Platform identitas Microsoft menggunakan objek aplikasi di penyewa A sebagai cetak biru untuk membuat perwakilan layanan di penyewa B.
- Pengguna menerima token yang diminta.
Anda dapat mengulangi proses ini untuk lebih banyak penyewa. Penyewa A menyimpan rancangan untuk aplikasi (objek aplikasi). Pengguna dan admin dari semua penyewa lainnya, di mana aplikasi telah disetujui, tetap mengontrol apa saja yang diizinkan bagi aplikasi untuk dilakukan melalui objek prinsipal layanan yang sesuai di setiap penyewa. Untuk informasi selengkapnya, lihat Objek aplikasi dan objek prinsipal layanan di platform identitas Microsoft.
Langkah berikutnya
Untuk informasi selengkapnya tentang autentikasi dan otorisasi di platform identitas Microsoft, lihat artikel berikut ini:
- Untuk mempelajari tentang konsep dasar autentikasi dan otorisasi, lihat autentikasi vs. otorisasi.
- Untuk mempelajari bagaimana token akses, token refresh, dan token ID digunakan dalam autentikasi dan otorisasi, lihat token keamanan .
- Untuk mempelajari tentang alur masuk aplikasi web, desktop, dan seluler, lihat alur masuk aplikasi .
- Untuk mempelajari tentang otorisasi yang tepat menggunakan klaim token, lihat Mengamankan aplikasi dan API dengan memvalidasi klaim
Untuk informasi selengkapnya tentang model aplikasi, lihat artikel berikut ini:
- Untuk informasi selengkapnya tentang objek aplikasi dan perwakilan layanan di platform identitas Microsoft, lihat Bagaimana dan mengapa aplikasi ditambahkan ke ID Microsoft Entra.
- Untuk informasi selengkapnya tentang aplikasi penyewa tunggal dan aplikasi multipenyewa, lihat penyewaan di ID Microsoft Entra.
- Untuk informasi selengkapnya tentang bagaimana MICROSOFT Entra ID juga menyediakan Azure Active Directory B2C sehingga organisasi dapat memasukkan pengguna, biasanya pelanggan, dengan menggunakan identitas sosial seperti akun Google, lihat dokumentasi Azure Active Directory B2C.