Управление приложениями Microsoft Entra и мониторинг
Теперь, когда вы реализовали первое интегрированное приложение Microsoft Entra, вы планируете изучить более подробные аспекты его функциональности, которые сосредоточены на задачах управления и обслуживания. Вы также хотите убедиться, что учли все дополнительные предостережения в отношении мультитенантных приложений.
Каковы распространенные задачи управления и обслуживания, связанные с интегрированными приложениями Microsoft Entra?
Реализация интегрированных приложений Microsoft Entra включает следующие особые аспекты, некоторые из которых могут потребовать дополнительных задач управления и обслуживания:
Следите за всеми универсальными идентификаторами ресурсов (URI) перенаправления, связанными с вашими приложениями, включая соответствующие записи службы доменных имен (DNS).
Защитите веб-приложения, убедившись, что URI перенаправления соответствуют зашифрованным конечным точкам.
Поддерживайте порядок в учетных данных для веб-приложений, веб-API и управляющих программ.
При использовании секретов рассмотрите возможность автоматизации управления, включая их ротацию.
Применяйте принцип наименьших привилегий при настройке области разрешений для приложений. Приложения должны запрашивать дополнительные разрешения только при необходимости.
Везде, где это возможно, используйте делегированные разрешения, а не разрешения приложения.
Во время разработки используйте библиотеку проверки подлинности Майкрософт вместо непосредственного программирования для таких протоколов, как OAuth 2.0 и Open ID.
Примечание.
Библиотека проверки подлинности Майкрософт предоставляет простой в использовании подход для реализации широкого спектра сценариев проверки подлинности, включая условный доступ, единый вход на уровне устройства (SSO) и кэширование маркеров.
Примечание.
Этот модуль не предназначен для предоставления полных рекомендаций и рекомендаций по интеграции облачных приложений с идентификатором Microsoft Entra ID, но предназначен для внедрения концепций проверки подлинности и мультитенантности Microsoft Entra.
Какие дополнительные рекомендации связаны с мультитенантными интегрированными приложениями Microsoft Entra?
При реализации мультитенантных сценариев Microsoft Entra необходимо настроить приложение для принятия входов из любого клиента Microsoft Entra. Пользователи этих клиентов смогут получить доступ к приложению после предоставления соответствующего согласия, запрошенного вашим приложением.
В рамках реализации мультитенантного приложения требуются четыре основных элемента.
- Регистрация приложения в качестве мультитенантного.
- Настройка приложения для отправки запросов в конечную точку /common.
- Добавление кода для управления несколькими значениями издателя.
- Включение подготовки для реагирования на согласие пользователя и администратора.
Регистрация приложения в качестве мультитенантного
Чтобы зарегистрировать приложение как мультитенантное:
Используйте текстовое поле "Поиск ресурсов, служб и документов " для поиска регистрации приложений и в списке результатов в разделе служб Azure выберите регистрацию приложений.
Выберите все регистрации и выберите приложение can-app.
Выберите параметр "Поддерживаемые типы учетных записей", а затем в разделе "Поддерживаемые типыучетных записей" в любом каталоге организации (любой каталог Microsoft Entra — Multitenant) и нажмите кнопку "Сохранить".
Идентификатор Microsoft Entra id требует, чтобы универсальный код ресурса (URI) идентификатора приложения был глобально уникальным. Для приложения с одним клиентом URI идентификатора приложения должен быть уникальным в пределах этого клиента. Для мультитенантного приложения URI должен быть глобально уникальным. Для удовлетворения этого требования имя узла URI идентификатора приложения должно соответствовать проверенной домену клиента Microsoft Entra.
Настройка приложения для отправки запросов в конечную точку /common
В однотенантном приложении запросы на вход отправляются в конечную точку входа клиента. Например, для contoso.com соответствующая конечная точка имеет значение https://login.microsoftonline.com/contoso.com. Фактически запросы, предназначенные для этой конечной точки, разрешают вход пользователей или гостей в соответствующий клиент Microsoft Entra. С мультитенантным приложением вы не можете определить заранее, какой клиент будет использоваться, поэтому вы будете использовать конечную точку https://login.microsoftonline.com/common , которая обслуживает все клиенты Microsoft Entra.
Добавление кода для управления несколькими значениями издателя
Веб-приложения и веб-API должны иметь возможность проверки маркеров из платформы удостоверений Майкрософт. Для этого требуется реализация логики, которая решает, какие значения издателя являются допустимыми, а какие нет, в зависимости от идентификатора клиента в значении издателя. Дополнительные сведения см. в документации, указанной в разделе "Сводка" этого курса.
Включение подготовки для реагирования на согласие пользователя и администратора
Для мультитенантного приложения начальная регистрация приложения выполняется в клиенте Microsoft Entra, используемом разработчиком приложения. При первом входе отдельных пользователей из разных клиентов Microsoft Entra в приложение каждый из них будет предложено предоставить согласие на разрешения, запрошенные приложением. Это, в свою очередь, приведет к созданию субъекта-службы в соответствующих клиентах. Дополнительные сведения о подготовке, необходимой для решения этой задачи, см. в документации, указанной в разделе "Сводка" этого курса.