Toepassingsmodel
Toepassingen kunnen gebruikers zelf aanmelden of aanmelding delegeren bij een id-provider. In dit artikel worden de stappen besproken die nodig zijn om een toepassing te registreren bij het Microsoft Identity Platform.
Een toepassing registreren
Om een id-provider te laten weten dat een gebruiker toegang heeft tot een bepaalde app, moeten zowel de gebruiker als de toepassing worden geregistreerd bij de id-provider. Wanneer u uw toepassing registreert bij Microsoft Entra ID, biedt u een identiteitsconfiguratie voor uw toepassing waarmee deze kan worden geïntegreerd met het Microsoft Identity Platform. Als u de app registreert, kunt u ook het volgende doen:
- Pas de huisstijl van uw toepassing aan in het aanmeldingsdialoogvenster. Deze huisstijl is belangrijk omdat aanmelden de eerste ervaring is die een gebruiker met uw app heeft.
- Bepaal of u wilt dat gebruikers zich alleen kunnen aanmelden als ze deel uitmaken van uw organisatie. Deze architectuur wordt een toepassing met één tenant genoemd. U kunt gebruikers ook toestaan zich aan te melden met een werk- of schoolaccount, dat ook wel een multitenant-toepassing wordt genoemd. U kunt ook persoonlijke Microsoft-accounts of een sociaal account van LinkedIn, Google, enzovoort toestaan.
- Bereikmachtigingen aanvragen. U kunt bijvoorbeeld de scope "user.read" aanvragen, die de toestemming omvat om het profiel van de aangemelde gebruiker te lezen.
- Bepaal scopes die toegang tot uw web-API definiëren. Wanneer een app toegang wil tot uw API, moet deze doorgaans machtigingen aanvragen voor de bereiken die u definieert.
- Deel een geheim met het Microsoft Identity Platform dat de identiteit van de app bewijst. Het gebruik van een geheim is relevant in het geval dat de app een vertrouwelijke clienttoepassing is. Een vertrouwelijke clienttoepassing is een toepassing die referenties veilig kan bevatten, zoals een webclient. Er is een vertrouwde back-end-server vereist om de referenties op te slaan.
Nadat de app is geregistreerd, krijgt deze een unieke id die wordt gedeeld met het Microsoft Identity Platform wanneer deze tokens aanvraagt. Als de app een vertrouwelijke clienttoepassing is, wordt ook het geheim of de openbare sleutel gedeeld, afhankelijk van of certificaten of geheimen zijn gebruikt.
Het Microsoft Identity Platform vertegenwoordigt toepassingen met behulp van een model dat voldoet aan twee hoofdfuncties:
- Identificeer de app door de verificatieprotocollen die worden ondersteund.
- Geef alle id's, URL's, geheimen en gerelateerde informatie op die nodig zijn om te verifiëren.
Het Microsoft Identity Platform:
- Bevat alle gegevens die vereist zijn voor de ondersteuning van verificatie tijdens runtime.
- Bevat alle gegevens voor het bepalen van de resources waartoe een app toegang moet hebben en onder welke omstandigheden een bepaalde aanvraag moet worden vervuld.
- Biedt infrastructuur voor het implementeren van app-inrichting binnen de tenant van de app-ontwikkelaar en voor elke andere Microsoft Entra-tenant.
- Verwerkt toestemming van de gebruiker tijdens het aanvragen van tokens en vereenvoudigt het dynamisch inrichten van apps tussen tenants.
toestemming is het proces waarbij een resource-eigenaar autorisatie verleent aan een clienttoepassing om toegang te krijgen tot beschermde resources, met specifieke machtigingen, namens de resource-eigenaar. Het Microsoft Identity Platform maakt het volgende mogelijk:
- Gebruikers en beheerders kunnen dynamisch beslissen of zij toestemming geven of weigeren dat de app namens hen toegang krijgt tot resources.
- Beheerders kunnen uiteindelijk bepalen welke apps mogen worden uitgevoerd en welke gebruikers specifieke apps kunnen gebruiken en hoe de adreslijstbronnen worden geopend.
Apps met meerdere tenants
Belangrijk
Multitenant-toepassingen (MTA's) werken niet over cloudgrenzen vanwege de scheiding van service-principal-instanties binnen elke cloud. Als het toepassingsobject bijvoorbeeld wordt gehost in de commerciële cloud, wordt de bijbehorende service-principal lokaal gemaakt tijdens de onboarding van de klant. Dit proces mislukt bij het overschrijden van cloudgrenzen, omdat de AUTORITEIT-URL's verschillen (bijvoorbeeld .com
versus .us
), waardoor een incompatibiliteit ontstaat.
In het Microsoft Identity Platform wordt een toepassingsobject een toepassing beschreven. Tijdens de implementatie gebruikt het Microsoft Identity Platform het toepassingsobject als blauwdruk om een service-principalte maken. Dit is een concreet exemplaar van een toepassing binnen een directory of tenant. De service-principal definieert wat de app daadwerkelijk kan doen in een specifieke doelmap, wie deze kan gebruiken, tot welke resources de app toegang heeft, enzovoort. Het Microsoft Identity Platform maakt een service-principal van een toepassingsobject via toestemming.
Het volgende diagram toont een vereenvoudigde voorzieningsstroom van het Microsoft identity platform op basis van toestemming. Er worden twee tenants weergegeven: A en B.
- Huurder A is eigenaar van de toepassing.
- Tenant B- instantieert de toepassing via een service-principal.
In dit voorzieningsproces:
- Een gebruiker van tenant B probeert zich aan te melden met de app. Het autorisatie-eindpunt vraagt een token voor de toepassing aan.
- De gebruikersreferenties worden verkregen en geverifieerd voor verificatie.
- De gebruiker wordt gevraagd toestemming te geven voor de app om toegang te krijgen tot tenant B.
- Het Microsoft Identity Platform gebruikt het toepassingsobject in tenant A als blauwdruk voor het maken van een service-principal in tenant B.
- De gebruiker ontvangt het aangevraagde token.
U kunt dit proces herhalen voor meer tenants. Tenant A behoudt de blauwdruk voor de app (toepassingsobject). Gebruikers en beheerders van alle andere tenants waarvoor de app toestemming krijgt, houden controle over wat de toepassing mag doen via het bijbehorende service-principal-object in elke tenant. Zie Toepassings- en service-principalobjecten in het Microsoft Identity Platformvoor meer informatie.
Volgende stappen
Zie de volgende artikelen voor meer informatie over verificatie en autorisatie in het Microsoft Identity Platform:
- Zie Authentication versus authorizationvoor meer informatie over de basisconcepten van verificatie en autorisatie.
- Zie Beveiligingstokensvoor meer informatie over hoe toegangstokens, vernieuwingstokens en id-tokens worden gebruikt in verificatie en autorisatie.
- Zie voor meer informatie over het aanmeldproces van web-, desktop- en mobiele apps app-aanmeldingsstroom.
- Zie Beveiligde toepassingen en API's voor informatie over juiste autorisatie door het valideren van tokenclaims
Zie de volgende artikelen voor meer informatie over het toepassingsmodel:
- Zie Hoe en waarom toepassingen worden toegevoegd aan Microsoft Entra IDvoor meer informatie over toepassingsobjecten en service-principals in het Microsoft Identity Platform.
- Zie Tenancy in Microsoft Entra IDvoor meer informatie over apps met één tenant en meerdere tenants.
- Zie Documentatie voor Azure Active Directory B2Cvoor meer informatie over hoe Microsoft Entra ID ook Azure Active Directory B2C biedt, zodat organisaties zich kunnen aanmelden bij gebruikers, meestal klanten, met behulp van sociale identiteiten zoals een Google-account.