Zarządzanie aplikacjami firmy Microsoft Entra i monitorowanie ich

Ukończone

Po zaimplementowaniu pierwszej zintegrowanej aplikacji firmy Microsoft Entra planujesz zapoznać się z bardziej szczegółowymi aspektami jej funkcjonalności, które koncentrują się na zadaniach zarządzania i konserwacji. Chcesz również upewnić się, że zidentyfikowasz wszelkie dodatkowe zastrzeżenia dotyczące aplikacji wielodostępnych.

Jakie są typowe zadania związane z zarządzaniem i konserwacją związane ze zintegrowanymi aplikacjami firmy Microsoft?

Implementowanie zintegrowanych aplikacji firmy Microsoft obejmuje następujące specjalne zagadnienia, z których niektóre mogą wymagać dodatkowych zadań związanych z zarządzaniem i konserwacją:

• Śledź wszystkie identyfikatory URI (Uniform Resource Identifier) przekierowania skojarzone z aplikacjami, w tym odpowiednie rekordy usługi nazw domen (DNS).

• Chroń aplikacje internetowe, zapewniając, że identyfikatory URI przekierowania odpowiadają zaszyfrowanym punktom końcowym.

• Obsługa poświadczeń dla aplikacji internetowych, internetowych interfejsów API i aplikacji demona.

• W przypadku korzystania z wpisów tajnych należy rozważyć automatyzację zarządzania, w tym rotację.

• Zastosuj zasadę najniższych uprawnień podczas konfigurowania zakresu uprawnień aplikacji. Aplikacje powinny żądać dodatkowych uprawnień tylko wtedy, gdy jest to wymagane.

• Jeśli to możliwe, użyj uprawnień delegowanych, a nie uprawnień aplikacji.

• Podczas opracowywania należy używać biblioteki Microsoft Authentication Library, a nie programować bezpośrednio względem protokołów, takich jak OAuth 2.0 i Open ID.

  Uwaga

  Biblioteka uwierzytelniania firmy Microsoft oferuje łatwe w użyciu podejście do implementowania szerokiej gamy scenariuszy uwierzytelniania, w tym dostępu warunkowego, logowania jednokrotnego dla całego urządzenia i buforowania tokenów.

  Uwaga

  Ten moduł nie ma na celu udostępnienia pełnych wskazówek i najlepszych rozwiązań dotyczących integrowania aplikacji natywnych dla chmury z identyfikatorem Microsoft Entra ID, ale ma na celu wprowadzenie koncepcji uwierzytelniania i wielodostępności firmy Microsoft.

Jakie są dodatkowe zagadnienia związane z wielodostępnym zintegrowanymi aplikacjami firmy Microsoft?

Podczas implementowania scenariuszy wielodostępnych firmy Microsoft należy skonfigurować aplikację tak, aby akceptowała logowania z dowolnej dzierżawy firmy Microsoft Entra. Użytkownicy w tych dzierżawach będą mogli uzyskiwać dostęp do aplikacji po udzieleniu odpowiedniej zgody żądanej przez aplikację.

Istnieją cztery podstawowe elementy wymagane w ramach implementowania aplikacji wielodostępnej:

• Rejestrowanie aplikacji w celu wielodostępu
• Konfigurowanie aplikacji w celu wysyłania żądań do /common endpoint
• Dodawanie kodu do zarządzania wieloma wartościami wystawcy
• Dołączanie aprowid do reagowania na zgodę użytkownika i administratora

Rejestrowanie aplikacji, która ma być wielodostępna

Aby zarejestrować aplikację jako wielodostępną:

1. Użyj pola tekstowego Wyszukaj zasoby, usługi i dokumenty , aby wyszukać pozycję Rejestracja aplikacji, a następnie na liście wyników w sekcji Usługi platformy Azure wybierz pozycję Rejestracja aplikacji.

2. Wybierz pozycję Wszystkie rejestracje i wybierz aplikację can-app.

3. Wybierz opcję Obsługiwane typy kont, a następnie w obszarze Obsługiwane typy kont w dowolnym katalogu organizacyjnym (Dowolny katalog Firmy Microsoft — wielodostępny) i wybierz pozycję Zapisz.

Identyfikator entra firmy Microsoft wymaga, aby identyfikator URI identyfikatora aplikacji był globalnie unikatowy. W przypadku aplikacji z jedną dzierżawą identyfikator URI identyfikatora aplikacji musi być unikatowy w ramach tej dzierżawy. W przypadku aplikacji wielodostępnej musi być globalnie unikatowa. Aby spełnić to wymaganie, nazwa hosta identyfikatora URI identyfikatora aplikacji musi być zgodna z zweryfikowaną domeną dzierżawy firmy Microsoft Entra.

Konfigurowanie aplikacji do wysyłania żądań do /common endpoint

W aplikacji z jedną dzierżawą żądania logowania są wysyłane do punktu końcowego logowania dzierżawy. Na przykład w przypadku contoso.com odpowiedni punkt końcowy to https://login.microsoftonline.com/contoso.com. Skutecznie żądania kierowane do tego punktu końcowego umożliwiają logowanie użytkowników lub gości do odpowiedniej dzierżawy firmy Microsoft Entra. W przypadku aplikacji wielodostępnej nie można określić wcześniej, która dzierżawa będzie używana, więc użyjesz https://login.microsoftonline.com/common punktu końcowego obsługującego wszystkie dzierżawy firmy Microsoft Entra.

Dodawanie kodu w celu zarządzania wieloma wartościami wystawcy

Aplikacje internetowe i internetowe interfejsy API muszą mieć możliwość weryfikowania tokenów z Platforma tożsamości Microsoft. Wymaga to zaimplementowania logiki, która decyduje, które wartości wystawcy są prawidłowe i które nie są oparte na części identyfikatora dzierżawy wartości wystawcy. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją, do których odwołuje się ta lekcja podsumowania tego kursu.

Dołączanie aprowidów w celu reagowania na zgodę użytkownika i administratora

W przypadku aplikacji wielodostępnej początkowa rejestracja aplikacji odbywa się w dzierżawie firmy Microsoft Entra używanej przez dewelopera aplikacji. Gdy po raz pierwszy użytkownicy z różnych dzierżaw firmy Microsoft Entra logują się do aplikacji, każdy z nich jest monitowany o zgodę na uprawnienia żądane przez aplikację. Z kolei spowodowałoby to utworzenie jednostki usługi w odpowiednich dzierżawach. Aby uzyskać szczegółowe informacje na temat aprowizuje to wymaganie, zapoznaj się z dokumentacją, do których odwołuje się ten kurs.