Sdílet prostřednictvím

Nastavení testovacího prostředí Microsoft Entra vaší aplikace

  • Článek

Pokud chcete aplikaci přesunout prostřednictvím vývojového, testovacího a produkčního životního cyklu, nastavte testovací prostředí Microsoft Entra. Testovací prostředí Microsoft Entra můžete používat v počátečních fázích vývoje aplikací a dlouhodobého testovacího prostředí.

Vyhrazený testovací tenant nebo produkční tenant Microsoft Entra?

Vaším prvním úkolem je rozhodnout se mezi použitím tenanta Microsoft Entra vyhrazeného pro testování nebo produkčního tenanta jako testovacího prostředí.

Použití produkčního tenanta může usnadnit některé aspekty testování aplikací, ale vyžaduje správnou úroveň izolace mezi testovacími a produkčními prostředky. Izolace je obzvláště důležitá pro scénáře s vysokými oprávněními.

Nepoužívejte produkčního tenanta Microsoft Entra, pokud:

  • Vaše aplikace používá nastavení, která vyžadují jedinečnost celého tenanta. Vaše aplikace může například potřebovat přístup k prostředkům tenanta jako samo o sobě, nikoli jménem uživatele, pomocí oprávnění jen pro aplikace. Přístup jen pro aplikace vyžaduje souhlas správce, který platí pro celého tenanta. Taková oprávnění je obtížné bezpečně omezit rozsah v rámci hranice tenanta.
  • Máte nízkou toleranci rizika potenciálního neoprávněného přístupu k testovacím prostředkům členy tenanta.
  • Změny konfigurace můžou negativně ovlivnit kritickou operaci vašeho produkčního prostředí.
  • V produkčním tenantovi nemůžete vytvářet uživatele ani jiná testovací data.
  • V produkčním tenantovi jsou povolené zásady, které během ověřování vyžadují interakci uživatele. Pokud je například pro všechny uživatele vyžadováno vícefaktorové ověřování, nemůžete k testování integrace použít automatizované přihlašování.
  • Přidání neprodukčních prostředků nebo úloh do produkčního tenanta by překročilo limity služby nebo omezování pro tenanta.

Pokud platí některá z těchto omezení, nastavte testovací prostředí v samostatném tenantovi.

Pokud žádná z těchto omezení neplatí, můžete v produkčním tenantovi nastavit testovací prostředí. Mějte na paměti, že uživatelé s privilegovanými rolemi ve vašem produkčním tenantovi (například Správce cloudových aplikací) mají přístup ke svým prostředkům a můžou kdykoli změnit konfiguraci. Pokud chcete zabránit přístupu k testovacím prostředkům nebo konfiguraci, umístěte tato data do samostatného tenanta.

Nastavení testovacího prostředí v samostatném tenantovi

Pokud nemůžete bezpečně omezit testovací aplikaci v produkčním tenantovi, vytvořte samostatného tenanta pro účely vývoje a testování.

Získání testovacího tenanta

Pokud ještě nemáte vyhrazeného testovacího tenanta, můžete si ho zdarma vytvořit pomocí programu Microsoft 365 Developer Program nebo si ho sami vytvořit ručně.

Vývojářský program Microsoft 365 je bezplatný a může mít testovací uživatelské účty a ukázkové datové balíčky automaticky přidané do tenanta.

  1. Klikněte na tlačítko Připojit se hned na obrazovce.
  2. Přihlaste se pomocí nového účtu Microsoft nebo použijte existující (pracovní) účet, který už máte.
  3. Na registrační stránce vyberte svou oblast, zadejte název společnosti a před kliknutím na Tlačítko Další přijměte podmínky a ujednání programu.
  4. Klikněte na Nastavit předplatné. Zadejte oblast, ve které chcete vytvořit nového tenanta, vytvořte uživatelské jméno, doménu a zadejte heslo. Tím se vytvoří nový tenant a první správce tenanta.
  5. Zadejte informace o zabezpečení, které jsou potřeba k ochraně účtu správce vašeho nového tenanta. Tím se pro účet nastaví vícefaktorové ověřování.

Ruční vytvoření tenanta

Tenanta můžete vytvořit ručně, který bude při vytváření prázdný a bude nutné ho nakonfigurovat s testovacími daty.

Naplnění tenanta uživateli

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pro usnadnění přístupu můžete chtít pozvat sebe a další členy vývojového týmu, aby v tenantovi byly uživateli typu host. Tím se vytvoří samostatné objekty hosta v testovacím tenantovi, ale znamená to, že stačí spravovat jenom jednu sadu přihlašovacích údajů pro podnikový účet a testovací účet.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. Vyberte Možnost Pozvat externího uživatele> a pozvěte e-mailovou adresu pracovního účtu.
  4. Opakujte postup pro ostatní členy vývojového a/nebo testovacího týmu pro vaši aplikaci.

V testovacím tenantovi můžete také vytvořit testovací uživatele. Pokud jste použili jeden z ukázkových balíčků Microsoft 365, možná už máte v tenantovi několik testovacích uživatelů. Pokud ne, měli byste být schopni vytvořit některé sami jako správce tenanta.

  1. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  2. Vyberte Nový uživatel Vytvořit nového uživatele> a vytvořte v adresáři nové testovací uživatele.

Získání předplatného Microsoft Entra (volitelné)

Pokud chcete plně otestovat funkce Microsoft Entra ID P1 nebo P2 ve vaší aplikaci, budete si muset zaregistrovat tenanta pro licenci Premium P1 nebo Premium P2.

Pokud jste se zaregistrovali pomocí programu Microsoft 365 Developer, váš testovací tenant bude mít licence Microsoft Entra ID P2. Pokud ne, můžete povolit bezplatnou zkušební verzi Microsoft Entra ID P1 nebo P2 na jeden měsíc.

Vytvoření a konfigurace registrace aplikace

Budete muset vytvořit registraci aplikace, která se použije ve vašem testovacím prostředí. Tato registrace by měla být oddělená od registrace konečné produkční aplikace, aby se zachovala izolace zabezpečení mezi testovacím prostředím a produkčním prostředím. Způsob konfigurace aplikace závisí na typu aplikace, kterou vytváříte. Další informace najdete v postupu registrace aplikace pro váš scénář aplikace v levém navigačním podokně, jako je tento článek pro registraci webové aplikace.

Naplnění tenanta zásadami

Pokud vaše aplikace bude primárně používat jedna organizace (běžně označovaná jako jeden tenant) a máte přístup k ho produkčnímu tenantovi, měli byste se pokusit replikovat nastavení produkčního tenanta, které můžou ovlivnit chování vaší aplikace. Tím se sníží pravděpodobnost neočekávaných chyb při provozu v produkčním prostředí.

Zásady podmíněného přístupu

Replikace zásad podmíněného přístupu zajišťuje, že při přesunu do produkčního prostředí nenarazíte na neočekávaný blokovaný přístup a vaše aplikace dokáže správně zpracovat chyby, které pravděpodobně obdrží.

Zobrazení zásad podmíněného přístupu pro produkčního tenanta může být potřeba provést správcem podmíněného přístupu.

  1. Přejděte do podmíněného přístupu k podnikovým>aplikacím>identit.>
  2. Zobrazte si seznam zásad ve vašem tenantovi. Klikněte na první.
  3. Přejděte do cloudových aplikací nebo akcí.
  4. Pokud se zásady vztahují jenom na skupinu vybraných aplikací, přejděte na další zásadu. Pokud ne, bude pravděpodobně platit i pro vaši aplikaci při přechodu do produkčního prostředí. Zásady byste měli zkopírovat do testovacího tenanta.

V nové kartě nebo relaci prohlížeče se přihlaste do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu pro přístup k testovacímu tenantovi.

  1. Přejděte k podmíněnému přístupu k ochraně>.
  2. Výběr možnosti Vytvořit novou zásadu
  3. Zkopírujte nastavení ze zásad produkčního tenanta identifikovaných v předchozích krocích.

Zásady udělení oprávnění

Replikace zásad udělení oprávnění zajišťuje, že při přechodu do produkčního prostředí nenarazíte na neočekávané výzvy k vyjádření souhlasu správce.

Přejděte na Nastavení souhlasu a oprávnění>uživatele k vyjádření souhlasu podnikových>aplikací>identit.> Zkopírujte nastavení do testovacího tenanta.

Zásady životnosti tokenů

Replikace zásad životnosti tokenů zajišťuje, že platnost tokenů vydaných vaší aplikaci neočekávaně nevyprší v produkčním prostředí.

Zásady životnosti tokenů se v současné době dají spravovat jenom prostřednictvím PowerShellu. Přečtěte si o konfigurovatelných životnostech tokenů a zjistěte, jak identifikovat všechny zásady životnosti tokenů , které platí pro celou produkční organizaci. Tyto zásady zkopírujte do testovacího tenanta.

Nastavení testovacího prostředí v produkčním tenantovi

Pokud můžete bezpečně omezit testovací aplikaci v produkčním tenantovi, pokračujte a nastavte tenanta pro účely testování.

Vytvoření a konfigurace registrace aplikace

Budete muset vytvořit registraci aplikace, která se použije ve vašem testovacím prostředí. Tato registrace by měla být oddělená od registrace konečné produkční aplikace, aby se zachovala izolace zabezpečení mezi testovacím prostředím a produkčním prostředím. Způsob konfigurace aplikace závisí na typu aplikace, kterou vytváříte. Další informace najdete v postupu registrace aplikace pro váš scénář aplikace v levém navigačním podokně.

Vytvoření některých testovacích uživatelů

Při testování vašich scénářů budete muset vytvořit testovací uživatele s přidruženými testovacími daty. Tento krok může být potřeba provést správcem.

  1. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  2. Vyberte Nový uživatel Vytvořit nového uživatele> a vytvořte v adresáři nové testovací uživatele.

Přidání testovacích uživatelů do skupiny (volitelné)

Pro usnadnění práce můžete přiřadit všechny tyto uživatele ke skupině, což usnadňuje jiné operace přiřazení.

  1. Přejděte do skupin>identit>Všechny skupiny.
  2. Vyberte Nová skupina.
  3. Jako typ skupiny vyberte Zabezpečení nebo Microsoft 365.
  4. Pojmenujte skupinu.
  5. Přidejte testovací uživatele vytvořené v předchozím kroku.

Omezení testovací aplikace na konkrétní uživatele

Uživatele ve vašem tenantovi, kteří můžou testovací aplikaci používat, můžete omezit na konkrétní uživatele nebo skupiny prostřednictvím přiřazení uživatele. Když jste aplikaci vytvořili prostřednictvím Registrace aplikací, vytvořila se také reprezentace aplikace v podnikových aplikacích. Pomocí nastavení podnikových aplikací omezte, kdo může aplikaci používat ve vašem tenantovi.

Důležité

Pokud je vaše aplikace aplikace s více tenanty, tato operace neomezí uživatele v jiných tenantech, aby se k aplikaci přihlásili a používali. Omezí jenom uživatele v tenantovi, ve které je nakonfigurované přiřazení uživatele.

Podrobné pokyny k omezení aplikace konkrétním uživatelům v tenantovi najdete v části Omezení aplikace na sadu uživatelů.

Další kroky

Přečtěte si informace o omezeních využití Microsoft Entra a omezeních služeb, na které můžete narazit. Obecné limity, kvóty a omezení předplatného a služeb Azure najdete tady.

Podrobnější informace o testovacích prostředích najdete v tématu Zabezpečení prostředí Azure pomocí Microsoft Entra ID.