Hur och varför program läggs till i Microsoft Entra-ID
Det finns två representationer av program i Microsoft Entra-ID:
- Programobjekt – Även om det finns undantag kan programobjekt betraktas som definitionen av ett program.
- Tjänstens huvudnamn – Kan betraktas som en instans av ett program. Tjänstens huvudnamn refererar vanligtvis till ett programobjekt och ett programobjekt kan refereras till av flera tjänsthuvudnamn mellan kataloger.
Vad är programobjekt och varifrån kommer de?
Du kan hantera programobjekt i administrationscentret för Microsoft Entra via Appregistreringar upplevelse. Programobjekt beskriver programmet till Microsoft Entra-ID och kan betraktas som definitionen av programmet, vilket gör att tjänsten kan veta hur token utfärdas till programmet baserat på dess inställningar. Programobjektet finns bara i dess hemkatalog, även om det är ett program med flera klientorganisationer som stöder tjänstens huvudnamn i andra kataloger. Programobjektet kan innehålla (men inte begränsat till) något av följande:
- Namn, logotyp och utgivare
- Omdirigerings-URI:er
- Hemligheter (symmetriska och/eller asymmetriska nycklar som används för att autentisera programmet)
- API-beroenden (OAuth)
- Publicerade API:er/resurser/omfång (OAuth)
- Approller
- Metadata och konfiguration för enkel inloggning (SSO)
- Metadata och konfiguration för användaretablering
- Proxymetadata och konfiguration
Programobjekt kan skapas via flera vägar, inklusive:
- Programregistreringar i administrationscentret för Microsoft Entra
- Skapa ett nytt program med Visual Studio och konfigurera det för att använda Microsoft Entra-autentisering
- När en administratör lägger till ett program från appgalleriet (som också skapar ett huvudnamn för tjänsten)
- Använda Microsoft Graph API eller PowerShell för att skapa ett nytt program
- Många andra, inklusive olika utvecklarupplevelser i Azure och i API Explorer-upplevelser i utvecklarcenter
Vad är tjänstens huvudnamn och varifrån kommer de?
Du kan hantera tjänstens huvudnamn i administrationscentret för Microsoft Entra via enterprise-programupplevelsen . Tjänstens huvudnamn styr ett program som ansluter till Microsoft Entra-ID och kan betraktas som instansen av programmet i din katalog. För ett visst program kan det ha högst ett programobjekt (som är registrerat i en "hem"-katalog) och ett eller flera objekt för tjänstens huvudnamn som representerar instanser av programmet i varje katalog där det agerar.
Tjänstens huvudnamn kan innehålla:
- En referens tillbaka till ett programobjekt via program-ID-egenskapen
- Poster för tilldelningar av lokala användare och gruppprogramroller
- Poster med behörigheter för lokal användare och administratör som beviljats programmet
- Till exempel: behörighet för programmet att komma åt en viss användares e-post
- Poster för lokala principer, inklusive princip för villkorsstyrd åtkomst
- Poster med alternativa lokala inställningar för ett program
- Regler för anspråkstransformering
- Attributmappningar (användaretablering)
- Katalogspecifika approller (om programmet stöder anpassade roller)
- Katalogspecifikt namn eller logotyp
Precis som programobjekt kan tjänstens huvudnamn också skapas via flera vägar, inklusive:
- När användare loggar in på ett program från tredje part integrerat med Microsoft Entra-ID
- Under inloggningen uppmanas användarna att ge programmet behörighet att komma åt sin profil och andra behörigheter. Den första personen som ger sitt medgivande gör att ett huvudnamn för tjänsten som representerar programmet läggs till i katalogen.
- När användare använder eller loggar in på Microsoft onlinetjänster som Microsoft 365, Microsoft Entra ID eller Microsoft Azure.
- När du först använder en Microsoft-tjänst kan ett eller flera tjänsthuvudnamn skapas i katalogen som representerar de olika Microsoft-tjänstidentiteter som används för att leverera tjänsten. Den här "just-in-time"-etableringen kan ske när som helst, ofta som en del av en bakgrundsprocess. I sällsynta fall kan microsofts tjänsthuvudnamn som skapas också tilldelas en katalogroll, till exempel "Katalogläsare".
- Vissa Microsoft-tjänster som SharePoint Online skapar tjänstens huvudnamn kontinuerligt för att möjliggöra säker kommunikation mellan komponenter, inklusive arbetsflöden.
- När en administratör lägger till ett program från appgalleriet (detta skapar också ett underliggande appobjekt)
- Lägga till ett program för att använda Microsoft Entra-programproxyn
- Ansluta ett program för enkel inloggning med hjälp av SAML eller lösenords-SSO
- Programmatiskt via Microsoft Graph API eller PowerShell
Hur är programobjekt och tjänstens huvudnamn relaterade till varandra?
Ett program har ett programobjekt i sin hemkatalog som refereras av ett eller flera tjänsthuvudnamn i var och en av de kataloger där det fungerar (inklusive programmets hemkatalog).
I föregående diagram underhåller Microsoft två kataloger internt (visas till vänster) som används för att publicera program:
- En för Microsoft Apps (Microsoft-tjänster-katalog)
- En för förintegrerade program från tredje part (appgallerikatalog)
Programutgivare/leverantörer som integreras med Microsoft Entra-ID måste ha en publiceringskatalog (visas till höger som "Viss saaS-katalog (programvara som en tjänst").
Program som du lägger till själv (representeras som App (din) i diagrammet) inkluderar:
- Appar som du har utvecklat (integrerade med Microsoft Entra-ID)
- Appar som du har anslutit för enkel inloggning
- Appar som du publicerade med hjälp av Microsoft Entra-programproxyn
Anteckningar och undantag
- Alla tjänstens huvudnamn pekar inte tillbaka på ett programobjekt. När Microsoft Entra-ID:t ursprungligen skapades var tjänsterna som tillhandahölls till program mer begränsade och tjänstens huvudnamn var tillräckligt för att upprätta en programidentitet. Det ursprungliga tjänstens huvudnamn var närmare i form till Windows Server Active Directory-tjänstkontot. Därför är det fortfarande möjligt att skapa tjänstens huvudnamn via olika vägar, till exempel att använda Microsoft Graph PowerShell, utan att först skapa ett programobjekt. Microsoft Graph API kräver ett programobjekt innan du skapar ett huvudnamn för tjänsten.
- All information som beskrivs ovan exponeras för närvarande inte programmatiskt. Följande är endast tillgängliga i användargränssnittet:
- Regler för anspråkstransformering
- Attributmappningar (användaretablering)
- Mer detaljerad information om tjänstens huvudnamn och programobjekt finns i referensdokumentationen för Microsoft Graph API:
Varför integreras program med Microsoft Entra-ID?
Program läggs till i Microsoft Entra-ID för att använda en eller flera av de tjänster som det tillhandahåller, inklusive:
- Programautentisering och auktorisering
- Användarautentisering och auktorisering
- Enkel inloggning med federation eller lösenord
- Användaretablering och synkronisering
- Rollbaserad åtkomstkontroll (RBAC) – Använd katalogen för att definiera programroller för att utföra rollbaserade auktoriseringskontroller i ett program
- OAuth-auktoriseringstjänster – Används av Microsoft 365 och andra Microsoft-program för att auktorisera åtkomst till API:er/resurser
- Programpublicering och proxy – Publicera ett program från ett privat nätverk till Internet
- Attribut för katalogschematillägg – Utöka schemat för tjänstens huvudnamn och användarobjekt för att lagra ytterligare data i Microsoft Entra-ID
Vem har behörighet att lägga till program i min Microsoft Entra-instans?
Som standard har alla användare i din katalog behörighet att registrera programobjekt som de utvecklar och efter eget gottfinnande över vilka program de delar/ger åtkomst till sina organisationsdata genom medgivande. Om en person är den första användaren i din katalog som loggar in på ett program och beviljar medgivande skapar det ett huvudnamn för tjänsten i din klientorganisation. I annat fall lagras informationen om beviljande av medgivande på det befintliga tjänstens huvudnamn.
Att tillåta användare att registrera sig och samtycka till program kan till en början låta oroande, men ha följande skäl i åtanke:
- Program har kunnat använda Windows Server Active Directory för användarautentisering i många år utan att programmet måste registreras eller registreras i katalogen. Nu har organisationen bättre insyn i exakt hur många program som använder katalogen och i vilket syfte.
- Om du delegerar dessa ansvarsområden till användare negerar du behovet av en administratörsdriven programregistrerings- och publiceringsprocess. Med Active Directory Federation Services (AD FS) (ADFS) var det troligt att en administratör var tvungen att lägga till ett program som en förlitande part för sina utvecklares räkning. Nu kan utvecklare självbetjäning.
- Användare som loggar in på program som använder sina organisationskonton i affärssyfte är bra. Om de därefter lämnar organisationen förlorar de automatiskt åtkomsten till sitt konto i programmet som de använde.
- Att ha en post med vilka data som delades med vilket program är bra. Data är mer transportbara än någonsin och det är bra att ha en tydlig information om vem som delade vilka data med vilka program.
- API-ägare som använder Microsoft Entra-ID för OAuth bestämmer exakt vilka behörigheter användarna kan bevilja program och vilka behörigheter som en administratör måste godkänna. Endast administratörer kan godkänna större omfång och mer betydande behörigheter, medan användarens medgivande begränsas till användarnas egna data och funktioner.
- När en användare lägger till eller tillåter att ett program får åtkomst till sina data kan händelsen granskas så att du kan visa granskningsrapporterna i administrationscentret för Microsoft Entra för att avgöra hur ett program har lagts till i katalogen.
Om du fortfarande vill förhindra att användare i katalogen registrerar program och loggar in i program utan administratörsgodkännande, finns det två inställningar som du kan ändra för att inaktivera dessa funktioner:
Information om hur du ändrar inställningarna för användarmedgivande i din organisation finns i Konfigurera hur användarna godkänner program.
Så här hindrar du användare från att registrera sina egna program:
- I administrationscentret för Microsoft Entra bläddrar du till Användarinställningar för identitetsanvändare>>.
- Ändra Användare kan registrera program till Nej.