Anwendungsmodell

Anwendungen können sich selbst anmelden oder die Anmeldung an einen Identitätsanbieter delegieren. In diesem Artikel werden die Schritte erläutert, die zum Registrieren einer Anwendung bei der Microsoft Identity Platform erforderlich sind.

Registrieren einer Anwendung

Damit ein Identitätsanbieter weiß, dass ein Benutzer Zugriff auf eine bestimmte App hat, muss sowohl der Benutzer als auch die Anwendung beim Identitätsanbieter registriert werden. Wenn Sie Ihre Anwendung bei Microsoft Entra ID registrieren, stellen Sie eine Identitätskonfiguration für Ihre Anwendung bereit, mit der sie in die Microsoft Identity Platform integriert werden kann. Durch die Registrierung der App können Sie außerdem folgende Aktionen ausführen:

• Passen Sie das Branding Ihrer Anwendung im Anmeldedialogfeld an. Dieses Branding ist wichtig, da die Anmeldung die erste Erfahrung ist, die ein Benutzer mit Ihrer App hat.
• Entscheiden Sie, ob Sie zulassen möchten, dass sich Benutzer nur anmelden können, wenn sie zu Ihrer Organisation gehören. Diese Architektur wird als Einzelmandantenanwendung bezeichnet. Sie können auch zulassen, dass sich Benutzer mit jedem Geschäfts-, Schul- oder Unikonto anmelden, das als mehrinstanzenfähige Anwendung bezeichnet wird. Sie können auch persönliche Microsoft-Konten oder ein soziales Konto von LinkedIn, Google usw. zulassen.
• Bereichsberechtigungen anfordern. Sie können z. B. den Bereich "user.read" anfordern, der die Berechtigung zum Lesen des Profils des angemeldeten Benutzers gewährt.
• Definieren Sie Bereiche, die den Zugriff auf Ihre Web-API definieren. Wenn eine App in der Regel auf Ihre API zugreifen möchte, muss sie Berechtigungen für die von Ihnen definierten Bereiche anfordern.
• Teilen Sie ein Geheimnis mit der Microsoft Identity Platform, die die Identität der App nachweist. Die Verwendung eines geheimen Schlüssels ist für den Fall relevant, dass es sich bei der App um eine vertrauliche Clientanwendung handelt. Eine vertrauliche Clientanwendung ist eine Anwendung, die Anmeldeinformationen sicher speichern kann, z. B. ein Webclient-. Zum Speichern der Anmeldeinformationen ist ein vertrauenswürdiger Back-End-Server erforderlich.

Nachdem die App registriert wurde, erhält sie einen eindeutigen Bezeichner, der für die Microsoft Identity Platform freigegeben wird, wenn sie Token anfordert. Wenn es sich bei der App um eine vertrauliche Clientanwendung handelt, wird auch der geheime Schlüssel oder der öffentliche Schlüssel freigegeben, je nachdem, ob Zertifikate oder geheime Schlüssel verwendet wurden.

Die Microsoft Identity Platform stellt Anwendungen mithilfe eines Modells dar, das zwei Hauptfunktionen erfüllt:

• Identifizieren Sie die App anhand der unterstützten Authentifizierungsprotokolle.
• Stellen Sie alle Bezeichner, URLs, geheimen Schlüssel und zugehörigen Informationen bereit, die für die Authentifizierung erforderlich sind.

Die Microsoft Identity Platform:

• Enthält alle Daten, die zur Unterstützung der Authentifizierung zur Laufzeit erforderlich sind.
• Enthält alle Daten für die Entscheidung, auf welche Ressourcen eine App zugreifen muss, und unter welchen Umständen eine bestimmte Anforderung erfüllt werden sollte.
• Stellt Infrastruktur für das Implementieren der App-Bereitstellung innerhalb des Mandanten des App-Entwicklers/der App-Entwicklerin und für andere Microsoft Entra-Mandanten bereit
• Verarbeitet die Benutzereinwilligung während der Tokenanforderung und vereinfacht die dynamische mandantenübergreifende Bereitstellung von Apps.

Zustimmung ist der Prozess eines Ressourcenbesitzers, der eine Autorisierung für eine Clientanwendung für den Zugriff auf geschützte Ressourcen unter bestimmten Berechtigungen im Namen des Ressourcenbesitzers gewährt. Die Microsoft Identity Platform ermöglicht Folgendes:

• Benutzer und Administratoren können der App dynamisch die Zustimmung erteilen oder verweigern, um in ihrem Namen auf Ressourcen zuzugreifen.
• Administratoren können letztendlich entscheiden, welche Apps möglich sind und welche Benutzer bestimmte Apps verwenden können und wie auf die Verzeichnisressourcen zugegriffen wird.

Mehrinstanzenfähige Apps

Wichtig

Multitenant-Anwendungen (MTAs) funktionieren aufgrund der Trennung von Dienstprinzipalbehörden in jeder Cloud nicht über Cloudgrenzen hinweg. Wenn das Anwendungsobjekt beispielsweise in der kommerziellen Cloud gehostet wird, wird der zugeordnete Dienstprinzipal während des Kunden-Onboardings lokal erstellt. Dieser Vorgang schlägt fehl, wenn Cloudgrenzen überschritten werden, da sich die Autoritäts-URLs unterscheiden (z. B. .com vs. .us), was zu einer Inkompatibilität führt.

In der Microsoft Identity Platform beschreibt ein Anwendungsobjekt eine Anwendung. Zum Zeitpunkt der Bereitstellung verwendet die Microsoft Identity Platform das Anwendungsobjekt als Vorlage, um einen Dienstprinzipalzu erstellen, der eine konkrete Instanz einer Anwendung innerhalb eines Verzeichnisses oder Mandanten darstellt. Der Dienstprinzipal definiert, was die App tatsächlich in einem bestimmten Zielverzeichnis tun kann, wer sie verwenden kann, auf welche Ressourcen sie zugreifen kann usw. Die Microsoft Identity Platform erstellt einen Dienstprinzipal aus einem Anwendungsobjekt mithilfe der Zustimmung.

Das folgende Diagramm zeigt einen vereinfachten Bereitstellungsablauf der Microsoft Identity Platform, der durch Zustimmung gesteuert wird. Es werden zwei Mieter angezeigt: A und B.

• Mieter A besitzt die Anwendung.
• Mandant B instanziiert die Anwendung über einen Dienstprinzipal.

In diesem Bereitstellungsprozess:

1. Ein Benutzer von Mandant B versucht, sich mit der App anzumelden. Der Autorisierungsendpunkt fordert ein Token für die Anwendung an.
2. Die Benutzeranmeldeinformationen werden für die Authentifizierung erworben und überprüft.
3. Der Benutzer wird aufgefordert, der App die Zustimmung zu erteilen, um Zugriff auf Mandanten B zu erhalten.
4. Die Microsoft Identity Platform verwendet das Anwendungsobjekt in Mandant A als Blaupause für die Erstellung eines Dienstprinzipals in Mandant B.
5. Der Benutzer empfängt das angeforderte Token.

Sie können diesen Vorgang für weitere Mandanten wiederholen. Der Mandant A enthält die Blaupause für die App (Anwendungsobjekt). Benutzer und Administratoren aller anderen Mandanten, in denen der App eine Zustimmung erteilt wurde, behalten die Kontrolle darüber, was die Anwendung über das entsprechende Dienstprinzipalobjekt in jedem Mandanten tun darf. Weitere Informationen finden Sie unter Anwendungs- und Dienstprinzipalobjekte in der Microsoft Identity Platform.

Nächste Schritte

Weitere Informationen zur Authentifizierung und Autorisierung in der Microsoft Identity Platform finden Sie in den folgenden Artikeln:

• Informationen zu den grundlegenden Konzepten der Authentifizierung und Autorisierung finden Sie unter Authentifizierung im Vergleich zur Autorisierung.
• Informationen dazu, wie Zugriffstoken, Aktualisierungstoken und ID-Token in Authentifizierung und Autorisierung verwendet werden, finden Sie unter Sicherheitstoken.
• Informationen zum Anmeldefluss von Web-, Desktop- und mobilen Apps finden Sie unter App-Anmeldeablauf.
• Informationen zur ordnungsgemäßen Autorisierung mithilfe von Tokenansprüchen finden Sie unter Sichere Anwendungen und APIs durch Überprüfen von Ansprüchen

Weitere Informationen zum Anwendungsmodell finden Sie in den folgenden Artikeln:

• Weitere Informationen zu Anwendungsobjekten und Dienstprinzipalen in der Microsoft-Identitätsplattform finden Sie unter Wie und warum Anwendungen zu Microsoft Entra ID hinzugefügt werden.
• Weitere Informationen zu Einzelinstanz-Apps und mehrinstanzenfähigen Apps finden Sie unter Mandanten in Microsoft Entra ID.
• Weitere Informationen dazu, wie Microsoft Entra ID auch Azure Active Directory B2C bereitstellt, damit Organisationen Benutzer anmelden können, in der Regel Kunden, indem Sie soziale Identitäten wie ein Google-Konto verwenden, finden Sie in Azure Active Directory B2C-Dokumentation.