Utforska tjänstens huvudnamn
För att delegera identitets- och åtkomsthanteringsfunktioner till Microsoft Entra-ID måste ett program registreras med en Microsoft Entra-klientorganisation. När du registrerar ditt program med Microsoft Entra-ID skapar du en identitetskonfiguration för ditt program som gör att det kan integreras med Microsoft Entra-ID. När du registrerar en app i Azure Portal väljer du om den är:
- Enskild klient: endast tillgänglig i din klientorganisation
- Flera klientorganisationer: tillgängliga i andra klientorganisationer
Om du registrerar ett program i portalen skapas automatiskt ett programobjekt (den globalt unika instansen av appen) och ett objekt för tjänstens huvudnamn i din hemklientorganisation. Du har också ett globalt unikt ID för din app (appen eller klient-ID:t). I portalen kan du sedan lägga till hemligheter eller certifikat och omfång för att få din app att fungera, anpassa appens varumärkesanpassning i inloggningsdialogrutan med mera.
Kommentar
Du kan också skapa objekt för tjänstens huvudnamn i en klientorganisation med hjälp av Azure PowerShell, Azure CLI, Microsoft Graph och andra verktyg.
Programobjekt
Ett Microsoft Entra-program är begränsat till sitt enda programobjekt. Programobjektet finns i Microsoft Entra-klientorganisationen där programmet registrerades (kallas programmets "hem"-klientorganisation). Ett programobjekt används som en mall eller skiss för att skapa ett eller flera objekt för tjänstens huvudnamn. Ett huvudnamn för tjänsten skapas i varje klientorganisation där programmet används. På samma sätt som en klass i objektorienterad programmering har programobjektet vissa statiska egenskaper som tillämpas på alla skapade tjänsthuvudnamn (eller programinstanser).
Programobjektet beskriver tre aspekter av ett program:
- Hur tjänsten kan utfärda token för att få åtkomst till programmet.
- Resurser som programmet kan behöva komma åt.
- De åtgärder som programmet kan vidta.
Entiteten Microsoft Graph-program definierar schemat för ett programobjekts egenskaper.
Objekt för tjänstens huvudnamn
För att få åtkomst till resurser som skyddas av en Microsoft Entra-klient måste entiteten som begär åtkomst representeras av ett säkerhetsobjekt. Detta gäller både för användare (användarens huvudnamn) och program (tjänstens huvudnamn).
Säkerhetsobjektet definierar åtkomstprincipen och behörigheterna för användaren/programmet i Microsoft Entra-klientorganisationen. Detta möjliggör grundläggande funktioner som autentisering av användaren/programmet under inloggningen och auktorisering under resursåtkomst.
Det finns tre typer av tjänstens huvudnamn:
Program – Den här typen av tjänstens huvudnamn är den lokala representationen, eller programinstansen, av ett globalt programobjekt i en enda klientorganisation eller katalog. Ett huvudnamn för tjänsten skapas i varje klientorganisation där programmet används och refererar till det globalt unika appobjektet. Objektet för tjänstens huvudnamn definierar vad appen faktiskt kan göra i den specifika klientorganisationen, vem som kan komma åt appen och vilka resurser appen kan komma åt.
Hanterad identitet – Den här typen av tjänstens huvudnamn används för att representera en hanterad identitet. Hanterade identiteter tillhandahåller en identitet som program kan använda när de ansluter till resurser som stöder Microsoft Entra-autentisering. När en hanterad identitet är aktiverad skapas ett huvudnamn för tjänsten som representerar den hanterade identiteten i din klientorganisation. Tjänstens huvudnamn som representerar hanterade identiteter kan beviljas åtkomst och behörigheter, men kan inte uppdateras eller ändras direkt.
Äldre – Den här typen av tjänstens huvudnamn representerar en äldre app, som är en app som skapades innan appregistreringar introducerades eller en app som skapats via äldre upplevelser. Ett äldre huvudnamn för tjänsten kan ha:
- autentiseringsuppgifter
- namn på tjänstens huvudnamn
- svars-URL:er
- och andra egenskaper som en behörig användare kan redigera, men som inte har någon associerad appregistrering.
Relation mellan programobjekt och tjänstens huvudnamn
Programobjektet är den globala representationen av ditt program för användning i alla klienter, och tjänstens huvudnamn är den lokala representationen som ska användas i en specifik klientorganisation. Programobjektet fungerar som den mall från vilken vanliga och standardegenskaper härleds för användning vid skapande av motsvarande objekt för tjänstens huvudnamn.
Ett programobjekt har:
- En en-till-en-relation med programprogrammet och
- En en till många relationer med motsvarande objekt för tjänstens huvudnamn.
Ett huvudnamn för tjänsten måste skapas i varje klientorganisation där programmet används för att upprätta en identitet för inloggning och/eller åtkomst till resurser som skyddas av klientorganisationen. Ett program med en enda klientorganisation har bara ett huvudnamn för tjänsten (i sin hemklient), som skapats och godkänts för användning under programregistreringen. Ett program med flera klienter har också ett huvudnamn för tjänsten som skapats i varje klientorganisation där en användare från den klientorganisationen samtyckt till dess användning.