Definiera Microsoft Entra-ID

  • 12 minuter

Adatum-ledningsgruppen vill se till att företagets kunder har ett tillförlitligt sätt att få säker åtkomst till de tjänster som tillhandahålls av dina program. Du tänker implementera den här funktionen genom att förlita dig på autentiserings- och auktoriseringsfunktionerna i Microsoft Entra ID. För att uppnå det här målet bestämmer du dig för att utforska kärnfunktionerna och fördelarna med Microsoft Entra ID, samtidigt som du fokuserar på de funktioner som gäller för molnbaserade program.

Autentisering avgör identiteten för ett säkerhetsobjekt, till exempel en användare eller en enhet. Auktorisering innebär att bevilja ett autentiserat säkerhetsobjekt behörighet att utföra en åtgärd eller komma åt en resurs.

Vad är Microsoft Entra-ID och vilka är dess fördelar?

Microsoft Entra ID är den molnbaserade identitets- och åtkomsthanteringstjänsten för Microsoft. Den tillhandahåller autentiseringsfunktioner och underlättar auktorisering genom dess integrering med de flesta Microsoft-molntjänster och ett brett utbud av saaS-erbjudanden (programvara som en tjänst från tredje part). Den stöder moderna autentiserings- och auktoriseringsprotokoll av branschstandard.

Kommentar

Genom integreringen med Windows Server Active Directory hjälper Microsoft Entra-ID även till att skydda interna resurser, till exempel appar i företagets nätverk och intranät, tillsammans med alla molnappar som din organisation utvecklar.

Microsoft Entra-ID fungerar som ett identitetslager, vilket ger dig möjlighet att skapa konton för din organisations användare, grupper och enheter. Det gör det också möjligt att skapa gästkonton som kan representera dina partnerorganisationers identiteter, vilket gör det enkelt att dela resurser på ett säkert sätt i B2B-scenarier (business-to-business). Du kan också använda Microsoft Entra-ID i B2C-scenarier (business-to-consumer) genom att tillåta externa användare att registrera sig för åtkomst till dina appar med sina befintliga autentiseringsuppgifter, och det stöder de vanligaste sociala identitetsprovidrar.

För vart och ett av dessa scenarier kan du implementera andra kontroller som styr skyddsnivån mot potentiella hot. Dessa kontroller omfattar inbyggt stöd för multifaktorautentisering och villkorsstyrd åtkomst.

Microsoft Entra ID organiserar sina objekt, till exempel användare, grupper och appar i containrar som kallas klientorganisationer. Varje klientorganisation representerar en administrativ gräns och en säkerhetsgräns. Du kan skapa en eller flera klienter för din organisation. Varje Azure-prenumeration är associerad med en Microsoft Entra-klientorganisation.

Vilken roll har Microsoft Entra ID i molnbaserade program?

Som apputvecklare kan du använda Microsoft Entra-ID för att autentisera och auktorisera åtkomst för dina program och deras data. Microsoft Entra ID erbjuder programmatiska metoder som hjälper dig att skapa anpassade appar. Det fungerar också som en enda plats för att lagra digital identitetsrelaterad information, inklusive stöd för programregistrering och deras respektive säkerhetsobjekt. Den här funktionen gör det möjligt att ge detaljerad åtkomst till dina internt utvecklade program till varje användare, gäst eller grupp. Det gör det också möjligt för program att fungera oberoende eller för sina användares räkning när de får åtkomst till andra Microsoft Entra-ID-skyddade resurser, tjänster och program.

Molnbaserade program förlitar sig på öppna HTTP-baserade protokoll för att autentisera säkerhetsobjekt, eftersom både klienter och program kan köras var som helst och på valfri plattform eller enhet. Microsoft Entra ID, som en molnbaserad identitetslösning, tillhandahåller den här funktionen, inklusive dess REST-baserade gränssnitt och stöd för Graph API- och OData-baserade frågor.

Med Microsoft Entra ID kan du implementera en rad scenarier som ofta uppstår när du skapar molnbaserade program, till exempel:

  • Användare som kommer åt webbprogram i en webbläsare.
  • Användare som kommer åt serverdelswebb-API:er från webbläsarbaserade appar.
  • Användare som kommer åt serverdelswebb-API:er från mobilappar.
  • Program som använder serverdelswebb-API:er utan en aktiv användare eller ett användargränssnitt med hjälp av sin egen identitet.
  • Program som interagerar med andra webb-API:er fungerar för en användares räkning med användarens delegerade autentiseringsuppgifter.

I vart och ett av dessa scenarier måste program skyddas mot obehörig användning. Det här steget kräver minst autentisering av säkerhetsobjektet som begär åtkomst till en resurs. Den här autentiseringen kan använda ett av flera vanliga protokoll, till exempel SAML (Security Assertion Markup Language) V2.0, WS-Fed eller OpenID Connect. Kommunikation med webb-API:er förlitar sig vanligtvis på OAuth2-protokollet och dess stöd för åtkomsttoken.