Jak a proč se aplikace přidávají do Microsoft Entra ID
Existují dvě reprezentace aplikací v Microsoft Entra ID:
- Aplikační objekty – I když existují výjimky, lze objekty aplikace považovat za definici aplikace.
- Instanční objekty – lze považovat za instanci aplikace. Instanční objekty obecně odkazují na objekt aplikace a jeden objekt aplikace může být odkazován více instančními objekty napříč adresáři.
Co jsou aplikační objekty a odkud pocházejí?
Objekty aplikací můžete spravovat v Centru pro správu Microsoft Entra prostřednictvím Registrace aplikací prostředí. Objekty aplikace popisují aplikaci microsoft Entra ID a lze ji považovat za definici aplikace, což službě umožňuje zjistit, jak v aplikaci vydávat tokeny na základě jeho nastavení. Objekt aplikace bude existovat pouze v jeho domovském adresáři, i když se jedná o aplikaci s více tenanty podporující instanční objekty v jiných adresářích. Objekt aplikace může obsahovat (mimo jiné) některou z následujících možností:
- Název, logo a vydavatel
- Identifikátory URI pro přesměrování
- Tajné kódy (symetrické nebo asymetrické klíče používané k ověření aplikace)
- Závislosti rozhraní API (OAuth)
- Publikovaná rozhraní API, prostředky/ obory (OAuth)
- Role aplikací
- Metadata a konfigurace jednotného přihlašování
- Metadata a konfigurace zřizování uživatelů
- Metadata a konfigurace proxy serveru
Objekty aplikace je možné vytvořit prostřednictvím několika cest, včetně:
- Registrace aplikací v Centru pro správu Microsoft Entra
- Vytvoření nové aplikace pomocí sady Visual Studio a její konfigurace pro použití ověřování Microsoft Entra
- Když správce přidá aplikaci z galerie aplikací (čímž se vytvoří také instanční objekt)
- Vytvoření nové aplikace pomocí rozhraní Microsoft Graph API nebo PowerShellu
- Mnoho dalších, včetně různých prostředí pro vývojáře v Azure a v prostředích průzkumníka rozhraní API napříč vývojářskými centry
Jaké jsou instanční objekty a odkud pocházejí?
Instanční objekty můžete spravovat v Centru pro správu Microsoft Entra prostřednictvím prostředí podnikových aplikací. Instanční objekty jsou to, co řídí aplikaci připojující se k Microsoft Entra ID a lze ji považovat za instanci aplikace ve vašem adresáři. U každé dané aplikace může mít maximálně jeden objekt aplikace (který je zaregistrovaný v "domovském" adresáři) a jeden nebo více instančních objektů představujících instance aplikace v každém adresáři, ve kterém funguje.
Instanční objekt může zahrnovat:
- Odkaz zpět na objekt aplikace prostřednictvím vlastnosti ID aplikace
- Záznamy přiřazení místních uživatelů a skupinových rolí aplikací
- Záznamy oprávnění místního uživatele a správce udělené aplikaci
- Například: oprávnění pro aplikaci pro přístup k e-mailu konkrétního uživatele
- Záznamy místních zásad, včetně zásad podmíněného přístupu
- Záznamy alternativních místních nastavení pro aplikaci
- Pravidla transformace deklarací identity
- Mapování atributů (zřizování uživatelů)
- Role aplikací specifické pro adresář (pokud aplikace podporuje vlastní role)
- Název nebo logo specifické pro adresář
Podobně jako u aplikačních objektů je možné instanční objekty vytvořit také prostřednictvím několika cest, mezi které patří:
- Když se uživatelé přihlásí k aplikaci třetí strany, která je integrovaná s ID Microsoft Entra
- Během přihlašování se uživatelům zobrazí výzva k udělení oprávnění aplikaci pro přístup ke svému profilu a dalším oprávněním. První osoba, která udělí souhlas, způsobí přidání instančního objektu, který představuje aplikaci do adresáře.
- Když se uživatelé používají k Microsoftu online služby jako Microsoft 365, Microsoft Entra ID nebo Microsoft Azure nebo se k tomu přihlašují.
- Při prvním použití služby Microsoftu může být v adresáři vytvořen jeden nebo více instančních objektů představujících různé identity služeb Společnosti Microsoft, které se používají k poskytování služby. K tomuto zřizování "za běhu" může dojít kdykoli, často jako součást procesu na pozadí. Ve výjimečných případech může být instanční objekt Microsoftu, který se vytvoří, přiřazen také roli adresáře, například Čtenáři adresáře.
- Některé služby Microsoft, jako je SharePoint Online, průběžně vytvářejí instanční objekty, které umožňují zabezpečenou komunikaci mezi komponentami včetně pracovních postupů.
- Když správce přidá aplikaci z galerie aplikací (vytvoří se také základní objekt aplikace).
- Přidání aplikace pro použití proxy aplikace Microsoft Entra
- Připojení aplikace pro jednotné přihlašování pomocí SAML nebo jednotného přihlašování pomocí hesla
- Programově prostřednictvím rozhraní Microsoft Graph API nebo PowerShellu
Jak spolu objekty aplikace a instanční objekty vzájemně souvisejí?
Aplikace má jeden objekt aplikace ve svém domovském adresáři, na který odkazuje jeden nebo více instančních objektů v každém adresáři, kde funguje (včetně domovského adresáře aplikace).
V předchozím diagramu společnost Microsoft interně udržuje dva adresáře (zobrazené na levé straně), které používá k publikování aplikací:
- One pro Microsoft Apps (adresář služby Microsoft)
- Jedna pro předem integrované aplikace třetích stran (adresář galerie aplikací)
Vydavatelé aplikací nebo dodavatelé, kteří se integrují s MICROSOFT Entra ID, musí mít adresář publikování (zobrazený vpravo jako adresář "Nějaký software jako služba (SaaS).
Aplikace, které přidáte sami (reprezentované jako aplikace (vaše) v diagramu), zahrnují:
- Aplikace, které jste vytvořili (integrované s Microsoft Entra ID)
- Aplikace, které jste připojili pro jednotné přihlašování
- Aplikace, které jste publikovali pomocí proxy aplikace Microsoft Entra
Poznámky a výjimky
- Ne všechny instanční objekty odkazují zpět na objekt aplikace. Když bylo ID Microsoft Entra původně vytvořeno, služby poskytované aplikací byly omezenější a instanční objekt byl dostačující pro vytvoření identity aplikace. Původní instanční objekt byl blíže v obrazci s účtem služby Windows Server Active Directory. Z tohoto důvodu je stále možné vytvářet instanční objekty prostřednictvím různých cest, jako je použití Prostředí Microsoft Graph PowerShell, aniž byste nejprve vytvořili objekt aplikace. Rozhraní Microsoft Graph API vyžaduje objekt aplikace před vytvořením instančního objektu.
- Ne všechny výše popsané informace jsou aktuálně zpřístupněny prostřednictvím kódu programu. Následující možnosti jsou k dispozici pouze v uživatelském rozhraní:
- Pravidla transformace deklarací identity
- Mapování atributů (zřizování uživatelů)
- Podrobnější informace o instančním objektu a objektech aplikací najdete v referenční dokumentaci k rozhraní Microsoft Graph API:
Proč se aplikace integrují s Microsoft Entra ID?
Aplikace se přidají do Microsoft Entra ID pro použití jedné nebo více služeb, které poskytuje, včetně:
- Ověřování a autorizace aplikací
- Ověřování a autorizace uživatelů
- Jednotné přihlašování pomocí federace nebo hesla
- Zřizování a synchronizace uživatelů
- Řízení přístupu na základě role (RBAC) – Pomocí adresáře můžete definovat role aplikací k provádění kontrol autorizace na základě rolí v aplikaci.
- Autorizační služby OAuth – Používá microsoft 365 a další aplikace Microsoftu k autorizaci přístupu k rozhraním API/prostředkům
- Publikování a proxy aplikace – Publikování aplikace z privátní sítě na internet
- Atributy rozšíření schématu adresáře – Rozšíření schématu instančního objektu a objektů uživatele za účelem uložení dalších dat v Microsoft Entra ID
Kdo má oprávnění přidávat aplikace do mé instance Microsoft Entra?
Ve výchozím nastavení mají všichni uživatelé ve vašem adresáři práva registrovat objekty aplikace, které vyvíjejí a podle vlastního uvážení, které aplikace sdílejí nebo udělují přístup k datům organizace prostřednictvím souhlasu. Pokud je osoba prvním uživatelem ve vašem adresáři, který se přihlásí k aplikaci a udělí souhlas, vytvoří instanční objekt ve vašem tenantovi. V opačném případě budou informace o udělení souhlasu uloženy na existujícím instančním objektu.
Povolení registrace a souhlasu uživatelů s aplikacemi může zpočátku znít, ale mějte na paměti následující důvody:
- Aplikace byly schopny používat službu Windows Server Active Directory pro ověřování uživatelů po mnoho let, aniž by vyžadovaly registraci nebo zaznamenání aplikace v adresáři. Organizace teď bude mít lepší přehled o tom, kolik aplikací adresář používá a pro jaký účel.
- Delegování těchto zodpovědností uživatelům neguje potřebu registrace a procesu publikování aplikací řízeného správcem. S Active Directory Federation Services (AD FS) (ADFS) bylo pravděpodobné, že správce musel přidat aplikaci jako přijímající stranu jménem svých vývojářů. Vývojáři teď můžou samoobslužné služby.
- Uživatelé, kteří se přihlašují k aplikacím pomocí svých organizačních účtů pro obchodní účely, je dobrá věc. Pokud následně opustí organizaci, automaticky ztratí přístup ke svému účtu v aplikaci, kterou používali.
- Záznam o datech, která byla sdílena s aplikací, je dobrá věc. Data jsou přenosnější než kdy dřív a je užitečné mít jasný záznam o tom, kdo sdílí data s aplikacemi.
- Vlastníci rozhraní API, kteří používají Microsoft Entra ID pro OAuth, rozhodují přesně o tom, jaká oprávnění můžou uživatelé udělit aplikacím a která oprávnění vyžadují, aby správce souhlasil. Souhlas uživatelů s většími obory a významnějšími oprávněními můžou souhlasit pouze správci, zatímco souhlas uživatele se vztahuje na vlastní data a možnosti uživatelů.
- Když uživatel přidá nebo povolí aplikaci přístup ke svým datům, událost se dá auditovat, abyste mohli zobrazit sestavy auditu v Centru pro správu Microsoft Entra a zjistit, jak se aplikace přidala do adresáře.
Pokud chcete uživatelům ve vašem adresáři zabránit v registraci aplikací a přihlášení k aplikacím bez schválení správcem, můžete tyto funkce vypnout dvěma nastaveními:
Pokud chcete změnit nastavení souhlasu uživatele ve vaší organizaci, přečtěte si téma Konfigurace způsobu vyjádření souhlasu uživatelů s aplikacemi.
Pokud chcete uživatelům zabránit v registraci vlastních aplikací:
- V Centru pro správu Microsoft Entra přejděte do nastavení uživatelů identity>>.
- Změnit uživatele mohou registrovat aplikace na ne.