Registrera program
Den Microsofts identitetsplattform appregistreringsportalen är den primära startpunkten för program som använder plattformen för autentisering och tillhörande behov. När du som utvecklare registrerar och konfigurerar dina appar kan du välja enhet och påverka hur väl programmet uppfyller Nolltillit principer. Effektiv appregistrering tar särskilt hänsyn till principerna för användning av minst privilegierad åtkomst och förutsätter intrång. Den här artikeln hjälper dig att lära dig mer om programregistreringsprocessen och dess krav för att säkerställa att dina appar följer en Nolltillit metod för säkerhet.
Programhantering i Microsoft Entra ID (Microsoft Entra ID) är en process för att på ett säkert sätt skapa, konfigurera, hantera och övervaka program i molnet. När du registrerar ditt program i en Microsoft Entra-klientorganisation konfigurerar du säker användaråtkomst.
Microsoft Entra ID representerar program efter programobjekt och tjänstens huvudnamn. Med vissa undantag är program programobjekt. Tänk på tjänstens huvudnamn som en instans av ett program som refererar till ett programobjekt. Flera tjänsthuvudnamn mellan kataloger kan referera till ett enda programobjekt.
Du kan konfigurera ditt program så att det använder Microsoft Entra-ID via tre metoder: i Visual Studio, med hjälp av Microsoft Graph-API:et eller med hjälp av PowerShell. Det finns utvecklarupplevelser i Azure och i API Explorer i utvecklarcenter. Referera till de beslut och uppgifter som krävs för utvecklar- och IT Pro-rollerna för att skapa och distribuera säkra program i Microsofts identitetsplattform.
Vem kan lägga till och registrera program
Administratörer och, om det tillåts av klientorganisationen, kan användare och utvecklare skapa programobjekt genom att registrera program i Azure Portal. Som standard kan alla användare i en katalog registrera programobjekt som de utvecklar. Programobjektutvecklare bestämmer vilka program som delar och ger åtkomst till organisationsdata genom medgivande.
När den första användaren i en katalog loggar in på ett program och beviljar medgivande skapar systemet ett huvudnamn för tjänsten i klientorganisationen som lagrar all information om användarmedgivande. Microsoft Entra-ID skapar automatiskt ett huvudnamn för tjänsten för en nyligen registrerad app i klientorganisationen innan en användare autentiseras.
De som tilldelats rollen Programadministratör eller Molnprogramadministratör kan utföra specifika programuppgifter (till exempel att lägga till program från appgalleriet och konfigurera program för att använda programproxy).
Registrera programobjekt
Som utvecklare registrerar du dina appar som använder Microsofts identitetsplattform. Registrera dina appar i Azure Portal eller genom att anropa API:er för Microsoft Graph-program. När du har registrerat din app kommunicerar den med Microsofts identitetsplattform genom att skicka begäranden till slutpunkten.
Du kanske inte har behörighet att skapa eller ändra en programregistrering. När administratörer inte ger dig behörighet att registrera dina program frågar du dem hur du kan förmedla nödvändig appregistreringsinformation till dem.
Egenskaperna för programregistrering kan innehålla följande komponenter.
- Namn, logotyp och utgivare
- Omdirigera URI (Uniform Resource Identifiers)
- Hemligheter (symmetriska och/eller asymmetriska nycklar som används för att autentisera programmet)
- API-beroenden (OAuth)
- Publicerade API:er/resurser/omfång (OAuth)
- Approller för rollbaserad åtkomstkontroll
- Metadata och konfiguration för enkel inloggning (SSO), användaretablering och proxy
En nödvändig del av appregistreringen är ditt val av kontotyper som stöds för att definiera vem som kan använda din app baserat på användarens kontotyp. Microsoft Entra-administratörer följer programmodellen för att hantera programobjekt i Azure Portal via Appregistreringar och definiera programinställningar som talar om för tjänsten hur token ska utfärdas till programmet.
Under registreringen får du identiteten för ditt program: programmets (klient)-ID. Din app använder sitt klient-ID varje gång den utför en transaktion via Microsofts identitetsplattform.
Metodtips för appregistrering
Följ rekommenderade säkerhetsmetoder för programegenskaper när du registrerar ditt program i Microsoft Entra-ID som en viktig del av dess affärsanvändning. Syftet är att förhindra driftstopp eller kompromisser som kan påverka hela organisationen. Följande rekommendationer hjälper dig att utveckla ditt säkra program kring Nolltillit principer.
- Använd checklistan för Microsofts identitetsplattform integrering för att säkerställa hög kvalitet och säker integrering. Upprätthålla appens kvalitet och säkerhet.
- Definiera omdirigerings-URL:er korrekt. Referera till begränsningar och begränsningar för omdirigerings-URI (svars-URL) för att undvika kompatibilitets- och säkerhetsproblem.
- Kontrollera omdirigerings-URI:er i din appregistrering för ägarskap för att undvika domänövertaganden. Omdirigerings-URL:er bör finnas på domäner som du känner till och äger. Granska och ta bort onödiga och oanvända URI:er regelbundet. Använd inte icke-https-URI:er i produktionsappar.
- Definiera och underhålla alltid ägare av app- och tjänstens huvudnamn för dina registrerade appar i din klientorganisation. Undvik överblivna appar (appar och tjänstens huvudnamn utan tilldelade ägare). Se till att IT-administratörer enkelt och snabbt kan identifiera appägare under en nödsituation. Håll antalet appägare litet. Gör det svårt för ett komprometterat användarkonto att påverka flera program.
- Undvik att använda samma appregistrering för flera appar. Genom att separera appregistreringar kan du aktivera åtkomst med minst privilegier och minska påverkan under ett intrång.
- Använd separata appregistreringar för appar som loggar in användare och appar som exponerar data och åtgärder via API (om de inte är nära kopplade). Den här metoden tillåter behörigheter för ett högre privilegierat API, till exempel Microsoft Graph och autentiseringsuppgifter (till exempel hemligheter och certifikat), på avstånd från appar som loggar in och interagerar med användare.
- Använd separata appregistreringar för webbappar och API:er. Den här metoden hjälper till att säkerställa att klientappen inte ärver dem om webb-API:et har en högre uppsättning behörigheter.
- Definiera ditt program som en app för flera klientorganisationer endast när det behövs. Appar med flera klienter tillåter etablering i andra klientorganisationer än dina. De kräver mer hanteringskostnader för att filtrera oönskad åtkomst. Om du inte tänker utveckla din app som en app med flera klientorganisationer börjar du med ett SignInAudience-värde för AzureADMyOrg.
Nästa steg
- Referera till Microsofts identitetsplattform dokumentationen för att lära dig hur du registrerar programtyper. Exempel på apptyper är ensidesappar (SPA), webbappar, webb-API:er, skrivbordsappar, mobilappar och bakgrundstjänster, daemoner och skript.
- Den nya Appregistreringar för Azure Active Directory B2C-artikeln hjälper dig att bekanta dig med den nya upplevelsen som ersätter den äldre upplevelsen.
- Integrera program med Microsoft Entra-ID och Microsofts identitetsplattform hjälper utvecklare att skapa och integrera appar som IT-proffs kan skydda i företaget.
- Med auktorisering för åtkomst till resurser kan du förstå hur du bäst kan se till att Nolltillit när du hämtar behörigheter för resursåtkomst för ditt program.
- Metodtips för auktorisering hjälper dig att implementera de bästa auktoriserings-, behörighets- och medgivandemodellerna för dina program.