Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph
Microsoft Entra ID — это система управления удостоверениями и доступом (IAM). Основной частью его функциональности является платформа удостоверений Майкрософт, которая предоставляет службы проверки подлинности и авторизации для зарегистрированных приложений. API Microsoft Graph позволяют регистрировать приложения и управлять ими программными средствами, позволяя использовать возможности IAM Корпорации Майкрософт.
Приложения и субъекты-службы
В Microsoft Entra приложение определяется объектом приложения и объектом субъекта-службы. Существует только один объект приложения для приложения в Microsoft Entra, но для приложения может быть несколько объектов субъекта-службы.
Объект приложения находится в клиенте, где было зарегистрировано приложение. Субъект-служба создается в каждом клиенте, где установлено и используется приложение, включая клиент, в котором зарегистрировано приложение. Дополнительные сведения см. в статье Объекты приложений и субъектов-служб в Microsoft Entra ID.
В Microsoft Graph приложение представлено типом ресурса приложения , а субъект-служба — типом ресурса servicePrincipal. Сведения о двух объектах можно получить на Центр администрирования Microsoft Entra с помощью менюПриложения>удостоверений>Регистрация приложений иПриложения>удостоверений>Корпоративные приложения соответственно.
Варианты использования API для управления приложениями
Следующие варианты использования API поддерживаются для управления приложениями с помощью типа ресурса приложения в Microsoft Graph.
| Варианты использования | Операции API |
|---|---|
| Регистрация приложения и настройка его основных свойств | Создание приложения |
| Настройте свойства для зарегистрированного приложения, в том числе: |
Обновление приложения |
| Удаление приложения | Удаление приложения |
| Управление удаленными приложениями | |
| Управление учетными данными паролей для приложения | |
| Управление учетными данными федеративного удостоверения для приложения | Начало управления учетными данными федеративного удостоверения с помощью Microsoft Graph |
| Управление учетными данными на основе сертификатов для приложения | |
| Управление расширениями каталогов в приложениях | |
| Отслеживание изменений в приложении | ..?$filter=isof('microsoft.graph.application') |
| Управление владельцами | |
| Управление проверкой издателя |
Варианты использования API для управления субъектами-службами
Следующие варианты использования API поддерживаются для управления субъектами-службами с помощью типа ресурса servicePrincipal в Microsoft Graph.
| Варианты использования | Операции API |
|---|---|
| Регистрация субъекта-службы | Создать servicePrincipal |
| Настройте свойства для субъекта-службы, в том числе: |
Обновить servicePrincipal |
| Удаление субъекта-службы | Удалить servicePrincipal |
| Управление удаленными субъектами-службами (просмотр, восстановление или окончательное удаление) | |
| Управление учетными данными паролей для субъекта-службы | |
| Управление учетными данными на основе сертификатов для субъекта-службы | |
| Добавление сертификата подписи токена SAML | |
| Отслеживание изменений в субъекте-службе | ..?$filter=isof('microsoft.graph.servicePrincipal') |
| Управление владельцами |
Шаблоны приложений
Шаблоны приложений — это приложения, доступные в коллекции приложений Microsoft Entra. Используйте тип ресурса applicationTemplate и связанные с ним методы , чтобы:
- Определение приложений из коллекции приложений
- Определение приложений по режиму единого входа, который они поддерживают
- Создание экземпляра приложения и субъекта-службы из коллекции приложений
Политики, применимые к приложениям и субъектам-службам
| Описание политики | Операции API | Сфера применения |
|---|---|---|
| Управление протоколом проверки подлинности служб удаленных рабочих столов (RDS) Microsoft Entra ID | Тип ресурса remoteDesktopSecurityConfiguration и связанные с ним методы | Субъекты-службы |
| Настройка политики токенов SAML | тип ресурса tokenIssuancePolicy и связанные с ним методы | Приложения Субъекты-службы |
| Настройка политик для доступа, SAML и маркеров идентификаторов | Политика времени существования маркера — тип ресурса tokenLifetimePolicy и связанные с ним методы Политика выдачи маркеров — тип ресурса tokenIssuancePolicy и связанные с ним методы |
Приложения Субъекты-службы |
| Управление временем ожидания сеанса простоя для веб-приложений Microsoft 365 для всех типов устройств Примечание: Чтобы активировать политику только для неуправляемых устройств, необходимо также добавить политику условного доступа. |
Тип ресурса activityBasedTimeoutPolicy и связанные с ним методы | Веб-приложения Microsoft 365 |
| Управление политиками для использования сертификатов и секретов паролей в организации. Создание политик на уровне клиента или политик для конкретных приложений, таких как блокирование или ограничение времени существования секретов паролей или симметричного ключа, а также применение доверенных центров сертификации | Политики методов проверки подлинности приложений | Приложения |
| Управление политиками сопоставления утверждений для протоколов WS-Fed, SAML, OAuth 2.0 и OpenID Connect, а также приложений, к которым применяются политики | Тип ресурса claimsMappingPolicy и связанные с ним методы | Субъекты-службы |
| Управление обнаружением домашней области (HRD) для клиента и назначение политики субъекту-службе | Тип ресурса homeRealmDiscoveryPolicy и связанные с ним методы | Субъекты-службы |
Синхронизация удостоверений (подготовка)
API-интерфейсы подготовки в Microsoft Graph позволяют автоматизировать подготовку и отзыв удостоверений и управлять ими в следующих сценариях:
- От локальная служба Active Directory до Microsoft Entra ID
- Из других облачных каталогов в Microsoft Entra ID
- От Microsoft Entra ID до облачных приложений, таких как Dropbox, Salesforce, ServiceNow и т. д.
Дополнительные сведения см. в статье Общие сведения об API синхронизации Microsoft Entra.