Определение идентификатора Microsoft Entra

  • 12 мин

Управленческая команда компании Adatum хочет, чтобы у их клиентов был надежный способ безопасного доступа к службам, предоставляемым вашими приложениями. Вы планируете реализовать эту функцию, опираясь на возможности проверки подлинности и авторизации идентификатора Microsoft Entra. Чтобы достичь этой цели, вы решили изучить основные функции и преимущества идентификатора Microsoft Entra, а также сосредоточиться на функциях, применимых к облачным приложениям.

Проверка подлинности определяет удостоверение субъекта безопасности, например пользователя или устройства. Авторизация включает предоставление прошедшему проверку подлинности разрешения субъекта безопасности для выполнения действия или доступа к ресурсу.

Что такое идентификатор Microsoft Entra и каковы его преимущества?

Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом для Майкрософт. Она предоставляет возможности аутентификации и упрощает авторизацию благодаря интеграции с большинством облачных служб Майкрософт и широкому спектру предложений сторонних поставщиков программного обеспечения как услуги (SaaS). Azure AD поддерживает современные протоколы аутентификации и авторизации, являющиеся отраслевыми стандартами.

Примечание.

Благодаря интеграции с Windows Server Active Directory идентификатор Microsoft Entra также помогает защитить внутренние ресурсы, такие как приложения в корпоративной сети и интрасети, а также любые облачные приложения, которые разрабатывает ваша организация.

Идентификатор Microsoft Entra служит хранилищем удостоверений, предоставляя возможность создавать учетные записи для пользователей, групп и устройств вашей организации. Он также позволяет создавать гостевые учетные записи, которые могут представлять удостоверения ваших партнерских организаций, что упрощает совместное использование ресурсов в сценариях "бизнес—бизнес" (B2B). Вы также можете использовать идентификатор Microsoft Entra в сценариях "бизнес-потребитель" (B2C), позволяя внешним пользователям зарегистрироваться для доступа к приложениям с существующими учетными данными, и он поддерживает наиболее распространенных поставщиков удостоверений социальных сетей.

Для каждого из этих сценариев можно реализовать другие средства управления, определяющие уровень защиты от потенциальных угроз. Эти средства управления включают встроенную поддержку многофакторной проверки подлинности и условного доступа.

Идентификатор Microsoft Entra упорядочивает свои объекты, такие как пользователи, группы и приложения в контейнеры, называемые клиентами. Каждый клиент представляет собой границу администрирования и безопасности. Для организации можно создать один клиент или несколько. Каждая подписка Azure связана с клиентом Microsoft Entra.

Какова роль идентификатора Microsoft Entra в облачных приложениях?

Разработчиком приложений можно использовать идентификатор Microsoft Entra для проверки подлинности и авторизации доступа для приложений и их данных. Идентификатор Microsoft Entra предлагает программные методы, помогающие создавать пользовательские приложения. Он также служит одним расположением для хранения информации, связанной с цифровыми удостоверениями, включая поддержку регистрации приложений и соответствующих субъектов безопасности. Эта возможность позволяет предоставлять детализированный доступ к приложениям, разрабатываемым внутри компании, для каждого пользователя, гостя или группы. Он также позволяет приложениям работать независимо или от имени своих пользователей при доступе к другим ресурсам, службам и приложениям, защищенным идентификатором Майкрософт.

Облачные приложения для аутентификации субъектов безопасности используют открытые протоколы на основе HTTP, так как клиенты и приложения могут работать где угодно и на любой платформе или устройстве. Идентификатор Microsoft Entra в качестве облачного решения для удостоверений предоставляет эту функцию, включая интерфейс REST, а также поддержку API Graph и запросов на основе OData.

Идентификатор Microsoft Entra упрощает реализацию ряда сценариев, часто возникающих при создании облачных приложений, таких как:

  • Пользователи, обращающиеся к веб-приложениям в веб-браузере.
  • Пользователи, обращающиеся к серверным веб-API из приложений на основе браузера.
  • Пользователи, обращающиеся к серверным веб-API из мобильных приложений.
  • Приложения, обращающиеся к серверным веб-API без активного пользователя или пользовательского интерфейса и использующие собственное удостоверение.
  • Приложения взаимодействуют с другими веб-API, действуя от имени пользователя с делегированными учетными данными этого пользователя.

В каждом из этих сценариев приложения должны быть защищены от несанкционированного использования. Как минимум для выполнения этого шага требуется проверка аутентификация безопасности, запрашивающего доступ к ресурсу. Эта проверка подлинности может использовать один из нескольких распространенных протоколов, таких как язык разметки заявлений системы безопасности (SAML) версии 2.0, WS-Fed или OpenID Connect. Взаимодействие с веб-API обычно зависит от протокола OAuth2 и его поддержки для маркеров доступа.