Hantera och övervaka Microsoft Entra-appar

Slutförd

Nu när du har implementerat ditt första Microsoft Entra-integrerade program planerar du att utforska mer djupgående aspekter av dess funktioner som fokuserar på hanterings- och underhållsaktiviteter. Du vill också se till att du identifierar eventuella ytterligare varningar om program med flera klienter.

Vilka är vanliga hanterings- och underhållsaktiviteter relaterade till Microsoft Entra-integrerade appar?

Implementering av Microsoft Entra-integrerade appar innehåller följande särskilda överväganden, varav vissa kan kräva ytterligare hanterings- och underhållsaktiviteter:

• Håll reda på alla omdirigerings-URI:er (Uniform Resource Identifiers) som är associerade med dina program, inklusive motsvarande DNS-poster (Domain Name Service).

• Skydda webbappar genom att se till att omdirigerings-URI:er motsvarar krypterade slutpunkter.

• Underhåll autentiseringsuppgifter för webbappar, webb-API:er och daemonappar.

• När du använder hemligheter bör du överväga att automatisera deras hantering, inklusive deras rotation.

• Tillämpa principen om lägsta behörighet när du konfigurerar behörighetsomfånget för dina program. Program bör endast begära ytterligare behörigheter när det behövs.

• Använd delegerade behörigheter i stället för programbehörigheter när det är möjligt.

• Under utvecklingen använder du Microsofts autentiseringsbibliotek i stället för att programmera direkt mot protokoll som OAuth 2.0 och Open ID.

  Kommentar

  Microsofts autentiseringsbibliotek erbjuder en lättanvänd metod för att implementera en mängd olika autentiseringsscenarier, inklusive villkorlig åtkomst, enhetsomfattande enkel inloggning (SSO) och tokencachelagring.

  Kommentar

  Den här modulen är inte avsedd att ge fullständig vägledning och bästa praxis för integrering av molnbaserade program med Microsoft Entra-ID, utan är snarare avsedd att introducera begrepp för Microsoft Entra-autentisering och flera klientorganisationer.

Vilka ytterligare överväganden gäller för microsoft Entra-integrerade appar med flera klienter?

När du implementerar Microsoft Entra-scenarier för flera klienter måste du konfigurera programmet så att det accepterar inloggningar från alla Microsoft Entra-klienter. Användare i dessa klienter kommer att kunna komma åt appen när de har beviljat relevant medgivande som begärs av din app.

Det finns fyra primära element som krävs som en del av implementeringen av en app med flera klientorganisationer:

• Registrera appen som multitenant
• Konfigurera appen för att skicka begäranden till /common-slutpunkten
• Lägga till kod för att hantera flera utfärdarvärden
• Inklusive bestämmelser för att svara på användar- och administratörsmedgivande

Registrera appen som multitenant

Så här registrerar du din app som multitenant:

1. Använd textrutan Sök efter resurser, tjänster och dokument för att söka efter Appregistrering och i resultatlistan väljer du Appregistrering i avsnittet Azure-tjänster.

2. Välj Alla registreringar och välj can-app.

3. Välj alternativet Kontotyper som stöds och välj sedan Spara under Kontotyper som stöds i valfri organisationskatalog (Valfri Microsoft Entra-katalog – Multitenant).

Microsoft Entra-ID kräver att appens app-ID-URI är globalt unik. För en app med en enda klientorganisation måste app-ID-URI:n vara unik i den klientorganisationen. För en app med flera klientorganisationer måste den vara globalt unik. För att uppfylla detta krav måste värdnamnet för app-ID-URI:n matcha en verifierad domän för Microsoft Entra-klientorganisationen.

Konfigurera appen för att skicka begäranden till /common-slutpunkten

I en app för en enda klientorganisation skickas inloggningsbegäranden till klientorganisationens inloggningsslutpunkt. För contoso.com är https://login.microsoftonline.com/contoso.comtill exempel motsvarande slutpunkt . I praktiken tillåter begäranden som riktar sig till slutpunkten inloggning av användare eller gäster till motsvarande Microsoft Entra-klientorganisation. Med en app med flera klienter kan du inte fastställa i förväg vilken klientorganisation som ska användas, så du använder https://login.microsoftonline.com/common slutpunkten, som hanterar alla Microsoft Entra-klienter.

Lägga till kod för att hantera flera utfärdarvärden

Webbprogram och webb-API:er måste kunna verifiera token från Microsofts identitetsplattform. Detta kräver implementeringslogik som avgör vilka utfärdarvärden som är giltiga och vilka som inte är det, baserat på klient-ID-delen av utfärdarvärdet. Mer information finns i dokumentationen som refereras till i sammanfattningsenheten för den här kursen.

Inkludera bestämmelser för att svara på användar- och administratörsmedgivande

För ett program med flera klienter sker den första registreringen av en app i Microsoft Entra-klientorganisationen som används av apputvecklaren. När enskilda användare från olika Microsoft Entra-klienter loggar in på appen för första gången uppmanas var och en av dem att samtycka till de behörigheter som programmet begär. Detta skulle i sin tur leda till att ett huvudnamn för tjänsten skapas i respektive klientorganisation. Mer information om bestämmelser för att uppfylla detta krav finns i dokumentationen som refereras till i sammanfattningsenheten för den här kursen.