Модель приложения
Приложения могут выполнять вход для пользователей самостоятельно или делегировать его поставщику удостоверений. В этой статье рассматриваются шаги, необходимые для регистрации приложения на платформе удостоверений Майкрософт.
Регистрация приложения
Чтобы поставщик удостоверений знал, что у пользователя есть доступ к конкретному приложению, и пользователь, и приложение должны быть зарегистрированы у поставщика удостоверений. При регистрации приложения с помощью идентификатора Microsoft Entra вы предоставляете конфигурацию удостоверений для приложения, которая позволяет интегрировать его с платформой удостоверений Майкрософт. Регистрация приложения также позволяет:
- Настройка фирменной символики приложения в диалоговом окне входа. Эта фирменная символика важна, так как вход — это первый опыт, который пользователь будет иметь с приложением.
- Решите, следует ли разрешить пользователям вход только в том случае, если они принадлежат вашей организации. Эта архитектура называется однотенантным приложением. Кроме того, вы можете разрешить пользователям входить с помощью любой рабочей или учебной учетной записи, и это называется мультитенантным приложением. Вы также можете разрешить личные учетные записи Майкрософт или социальные учетные записи из LinkedIn, Google и т. д.
- Разрешения области запроса. Например, можно запросить область "user.read", которая предоставляет разрешение на чтение профиля вошедшего пользователя.
- Определите области, определяющие доступ к веб-API. Как правило, если приложение хочет получить доступ к API, необходимо запросить разрешения для заданных областей.
- Поделитесь секретом с платформой удостоверений Майкрософт, которая удостоверяет приложение. Использование секрета имеет значение в случае, когда приложение является конфиденциальным клиентским приложением. Конфиденциальное клиентское приложение — это приложение, которое может безопасно хранить учетные данные, например веб-клиент. Для хранения учетных данных требуется доверенный сервер серверной части.
После регистрации приложения ему назначается уникальный идентификатор, который он передает платформе идентификации Microsoft при запросе токенов. Если приложение является конфиденциальным клиентским приложением, оно также будет предоставлять общий доступ к секрету или открытому ключу в зависимости от того, использовались ли сертификаты или секреты.
Платформа удостоверений Майкрософт представляет приложения с помощью модели, которая выполняет две основные функции:
- Определите приложение по протоколам проверки подлинности, которые он поддерживает.
- Укажите все идентификаторы, URL-адреса, секреты и связанные сведения, необходимые для проверки подлинности.
Платформа удостоверений Майкрософт:
- Содержит все данные, необходимые для поддержки проверки подлинности во время выполнения.
- Содержит все данные для принятия решения о том, какие ресурсы может потребоваться приложению для доступа, и в каких обстоятельствах должен выполняться заданный запрос.
- Предоставляет инфраструктуру для реализации подготовки приложений в клиенте разработчика приложений и любого другого клиента Microsoft Entra.
- Обрабатывает согласие пользователя во время запроса токена и обеспечивает динамическое размещение приложений для нескольких арендаторов.
согласие — это процесс предоставления владельца ресурса авторизации клиентскому приложению для доступа к защищенным ресурсам в соответствии с определенными разрешениями от имени владельца ресурса. Платформа удостоверений Майкрософт включает следующее:
- Пользователи и администраторы могут динамически предоставлять или запрещать приложению доступ к ресурсам от их имени.
- Администраторы определяют, какие действия разрешено выполнять приложениям, какие пользователи могут использовать конкретные приложения и как осуществляется доступ к ресурсам каталога.
Мультитенантные приложения
Важный
Мультитенантные приложения (MTAs) не работают по границам облака из-за разделения субъектов-служб в каждом облаке. Например, если объект приложения размещается в коммерческом облаке, связанный субъект-служба создается локально во время подключения клиента. Этот процесс завершается ошибкой при пересечении границ облака, так как URL-адреса полномочий различаются (например, .com и .us), что приводит к несовместимости.
На платформе идентификации Microsoft объект приложения описывает приложение. Во время развертывания платформа удостоверений Майкрософт использует объект приложения в качестве схемы для создания субъекта-службы, представляющего конкретный экземпляр приложения в каталоге или клиенте. Субъект-служба определяет, что приложение может сделать в определенном целевом каталоге, который может использовать его, какие ресурсы у него есть доступ и т. д. Платформа удостоверений Майкрософт создает субъект-службу из объекта приложения с помощью согласия.
На следующей схеме показан упрощенный поток подготовки платформы удостоверений Майкрософт, управляемый согласием. В нем показаны два арендатора: A и B.
- арендатор A владеет приложением.
- арендатор B создает экземпляр приложения с помощью служебного принципала.
В этом процессе настройки:
- Пользователь из клиента B пытается войти в приложение. Конечная точка авторизации запрашивает маркер для приложения.
- Учетные данные пользователя получаются и проверяются для проверки подлинности.
- Пользователю предлагается предоставить согласие приложению на получение доступа к клиенту B.
- Платформа идентификации Microsoft использует объект приложения в клиенте A в качестве шаблона для создания учетной записи службы в клиенте B.
- Пользователь получает запрошенный маркер.
Этот процесс можно повторить для дополнительных клиентов. Арендатор A сохраняет план для программного обеспечения (объект приложения). Пользователи и администраторы всех остальных арендаторов, где приложению предоставляется согласие, сохраняют контроль над тем, что приложение разрешено делать, с помощью соответствующего объекта основного обслуживания в каждом арендаторе. Дополнительные сведения см. в разделе Объекты приложения и учетной записи службы на платформе удостоверений Microsoft.
Дальнейшие действия
Дополнительные сведения о проверке подлинности и авторизации на платформе удостоверений Майкрософт см. в следующих статьях:
- Сведения об основных понятиях проверки подлинности и авторизации см. в разделе Аутентификация и авторизация.
- Чтобы узнать, как используются токены доступа, обновления и идентификационные токены в аутентификации и авторизации, см. токены безопасности.
- Сведения о потоке входа в веб-приложения, настольные приложения и мобильные приложения см. в разделе Поток входа в приложение.
- Сведения о правильной авторизации с помощью утверждений токенов см. в статье Безопасные приложения и API, проверяя утверждения
Дополнительные сведения о модели приложения см. в следующих статьях:
- Дополнительные сведения об объектах приложений и служебных принципалах на платформе удостоверений Microsoft см. в статье Как и почему приложения добавляются в Microsoft Entra ID.
- Дополнительные сведения о приложениях с одним клиентом и мультитенантных приложениях см. в разделе Тенантность в идентификаторе Microsoft Entra ID.
- Дополнительную информацию о том, как Microsoft Entra ID также предоставляет Azure Active Directory B2C, чтобы организации могли выполнять вход пользователей, обычно клиентов, с использованием социальных учетных записей, таких как учетная запись Google, см. в документации по Azure Active Directory B2C .