使用服务器到服务器身份验证 (S2S) 构建 Web 应用程序

 

发布日期: 2017年1月

适用于: Dynamics 365 (online)

此功能在 适用于 Microsoft Dynamics 365 的 2016 年 12 月更新(联机) 中进行了介绍。

使用服务器到服务器 (S2S) 身份验证和您的 Web 应用程序与服务,安全、无缝地与 Dynamics 365 的 2016 年 12 月更新(联机) 通信。 S2S 身份验证是 Microsoft AppSource 中注册的应用经常用于访问其订户的 Dynamics 365 数据的方法。

S2S 身份验证意味着您在连接到 Dynamics 365 租户时,无需使用付费的 Dynamics 365 用户许可证。 与 S2S 身份验证配合使用的特殊应用程序用户帐户不需要支付许可证费用。 通过 S2S 身份验证,将创建特殊的 Dynamics 365 未许可应用程序用户帐户,并且其中包含有关您在 Azure Active Directory (Azure AD) 中注册的应用程序的信息。 将根据 Dynamics 365 应用程序用户记录中存储的 Azure AD 对象 ID 值标识的服务主体,而不是用户凭据,对应用程序执行身份验证。 将把 Dynamics 365 应用程序用户与用于控制数据类型和允许应用程序执行的操作的自定义安全角色关联。

您的使用 S2S 的应用程序或服务执行的所有操作将作为您提供的应用程序用户执行,而不是作为访问您的应用程序的用户执行。 如果您希望应用程序代表特定用户(如与您的应用程序交互的用户)执行数据操作,您可以在为您的应用程序服务主体应用的自定义安全角色拥有所需权限时,您可以应用模拟。详细信息:模拟另一个用户

使用 S2S 身份验证的 Web 应用程序或服务负责控制它可以访问的数据的访问。 方法通常是使用 OpenID Connect 提供程序。详细信息:http://openid.net/connect/

服务器到服务器身份验证方案

有两种方案可以应用 S2S 身份验证。

方案

说明

多租户

这是最常见的方案,也是用于使用 Microsoft AppSource 分发的应用的方案。

每个 Dynamics 365 租户与一个 Azure AD 租户关联。 您的 Web 应用程序或服务在您的 Azure AD 租户中注册。

在此方案中,任何 Dynamics 365 租户都可能可以在授予应用程序访问其租户中的数据的许可后,使用多租户应用程序。

单租户

此方案通常适用于希望为自己的租户开发应用但不打算将这些应用分发给其他 Dynamics 365 组织的 Dynamics 365 的 2016 年 12 月更新(联机) 组织。

企业可以创建应用程序或 Web 服务连接到的Dynamics 365组织的任何组织。

在此方案中,您的 Web 应用程序或服务将只能连接到使用同一个 Azure AD 租户的 Dynamics 365 组织。

两种方案都有公用元素,但是还是有一些差别。 因为多租户是最常用方案,所以 使用多租户服务器到服务器身份验证 内容将介绍如何在此方案中使用 S2S,并且其中包含有关单租户配置选项不同之处的注释。使用单租户服务器到服务器身份验证 将提供此方案的概述,并引用多租户 S2S 身份验证内容中介绍的过程。

另请参阅

演练:多租户服务器到服务器身份验证
使用单租户服务器到服务器身份验证
Build web applications using Server-to-Server (S2S) authentication
连接到 Microsoft Dynamics 365

Microsoft Dynamics 365

© 2017 Microsoft。 保留所有权利。 版权