Prozkoumání instančních objektů

  • 3 min

Pokud chcete delegovat funkce správy identit a přístupu na ID Microsoft Entra, musí být aplikace zaregistrovaná v tenantovi Microsoft Entra. Při registraci aplikace pomocí Microsoft Entra ID vytváříte konfiguraci identity pro vaši aplikaci, která umožňuje integraci s Microsoft Entra ID. Když zaregistrujete aplikaci na webu Azure Portal, zvolíte, jestli se jedná o:

  • Jeden tenant: Přístup pouze ve vašem tenantovi
  • Více tenantů: Přístupné v jiných tenantech

Pokud aplikaci zaregistrujete na portálu, objekt aplikace (globálně jedinečná instance aplikace) a instanční objekt se automaticky vytvoří ve vašem domovském tenantovi. Máte také globálně jedinečné ID aplikace (id aplikace nebo klienta). Na portálu pak můžete přidat tajné kódy nebo certifikáty a obory, aby vaše aplikace fungovala, přizpůsobila branding aplikace v dialogovém okně pro přihlášení a další možnosti.

Poznámka:

Instanční objekty můžete v tenantovi vytvářet také pomocí Azure PowerShellu, Azure CLI, Microsoft Graphu a dalších nástrojů.

Objekt aplikace

Aplikace Microsoft Entra je vymezena na jeho jeden a jediný objekt aplikace. Objekt aplikace se nachází v tenantovi Microsoft Entra, ve kterém byla aplikace zaregistrovaná (označuje se jako "domovský" tenant aplikace). Objekt aplikace se používá jako šablona nebo podrobný plán k vytvoření jednoho nebo více objektů instančního objektu. Instanční objekt se vytvoří v každém tenantovi, ve kterém se aplikace používá. Podobně jako u třídy v objektově orientovaném programování má objekt aplikace některé statické vlastnosti, které se použijí na všechny vytvořené instanční objekty (nebo instance aplikace).

Objekt aplikace popisuje tři aspekty aplikace:

  • Jak může služba vydávat tokeny pro přístup k aplikaci.
  • Prostředky, ke kterým může aplikace potřebovat přístup.
  • Akce, které může aplikace provést.

Entita aplikace Microsoft Graph definuje schéma vlastností objektu aplikace.

Instanční objekt

Pokud chcete získat přístup k prostředkům zabezpečeným tenantem Microsoft Entra, musí být entita, která žádá o přístup, reprezentována objektem zabezpečení. To platí pro uživatele (instanční objekt) i aplikace (instanční objekt).

Objekt zabezpečení definuje zásady přístupu a oprávnění pro uživatele nebo aplikaci v tenantovi Microsoft Entra. To umožňuje základní funkce, jako je ověřování uživatele nebo aplikace během přihlašování a autorizace během přístupu k prostředkům.

Existují tři typy instančního objektu:

  • Aplikace – Tento typ instančního objektu je místní reprezentace nebo instance aplikace globálního objektu aplikace v jednom tenantovi nebo adresáři. Instanční objekt se vytvoří v každém tenantovi, kde se aplikace používá, a odkazuje na globálně jedinečný objekt aplikace. Instanční objekt definuje, co může aplikace ve skutečnosti dělat v konkrétním tenantovi, kdo má přístup k aplikaci a k jakým prostředkům má aplikace přístup.

  • Spravovaná identita – Tento typ instančního objektu se používá k reprezentaci spravované identity. Spravované identity poskytují identitu pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra. Pokud je povolená spravovaná identita, vytvoří se ve vašem tenantovi instanční objekt představující tuto spravovanou identitu. Instanční objekty představující spravované identity můžou mít udělený přístup a oprávnění, ale nedají se aktualizovat ani upravovat přímo.

  • Starší verze – Tento typ instančního objektu představuje starší verzi aplikace, což je aplikace vytvořená před zavedením registrace aplikace nebo aplikací vytvořenou prostřednictvím starších verzí prostředí. Starší verze instančního objektu může mít:

    • přihlašovací údaje
    • instanční názvy
    • Adresy URL odpovědí
    • a další vlastnosti, které může autorizovaný uživatel upravovat, ale nemá přidruženou registraci aplikace.

Vztah mezi objekty aplikace a instančními objekty

Objekt aplikace je globální reprezentace vaší aplikace pro použití ve všech tenantech a instanční objekt je místní reprezentace pro použití v konkrétním tenantovi. Objekt aplikace slouží jako šablona, ze které jsou odvozeny běžné a výchozí vlastnosti pro použití při vytváření odpovídajících objektů instančního objektu.

Objekt aplikace má:

  • Vztah 1:1 se softwarovou aplikací a
  • Jedna k mnoha relacím s odpovídajícími objekty instančního objektu.

Instanční objekt musí být vytvořen v každém tenantovi, kde se aplikace používá k vytvoření identity pro přihlášení nebo přístup k prostředkům zabezpečeným tenantem. Aplikace s jedním tenantem má pouze jeden instanční objekt (ve svém domovském tenantovi) vytvořený a odsouhlasený pro použití při registraci aplikace. Víceklientní aplikace má také instanční objekt vytvořený v každém tenantovi, kde uživatel z daného tenanta souhlasil s jeho použitím.