定义 Microsoft Entra ID
Adatum 管理团队希望确保公司客户能够以安全可靠的方式访问你的应用程序提供的服务。 你打算依赖 Microsoft Entra ID 的身份验证和授权功能来实现此功能。 为了实现此目标,你决定探索 Microsoft Entra ID 的核心功能和优势,同时关注适用于云原生应用程序的功能。
身份验证确定安全主体的身份,例如用户或设备。 授权涉及向经过身份验证的安全主体授予执行操作或访问资源的权限。
什么是 Microsoft Entra ID 及其优点?
Microsoft Entra ID 是 Microsoft 基于云的标识和访问管理服务。 它通过与大多数 Microsoft 云服务和各种第三方软件即服务 (SaaS) 产品集成,来提供身份验证功能和简化授权。 它支持现代的、行业标准的身份验证和授权协议。
注意
通过与 Windows Server Active Directory 集成,Microsoft Entra ID 还有助于保护内部资源,例如公司网络和 Intranet 上的应用,以及组织开发的任何云应用。
Microsoft Entra ID 充当标识存储,使你能够为组织的用户、组和设备创建帐户。 它还允许创建来宾帐户(它可以代表合作伙伴组织的身份),使得在企业到企业 (B2B) 方案中以安全的方式共享资源变得简单直接。 你还可以在企业到客户 (B2C) 方案中使用 Microsoft Entra ID,方法是允许外部用户使用其现有凭据注册访问你的应用,它支持最常见的社交标识提供者。
无论是上述哪种方案,你都可以实施其他控制措施来决定针对潜在威胁的保护程度。 这些控制措施包括对多重身份验证和条件访问的内置支持。
Microsoft Entra ID 将其对象(例如用户、组和应用)整理到称为租户的容器中。 每个租户代表一个管理和安全边界。 你可以为组织创建一个或多个租户。 每个 Azure 订阅都与一个 Microsoft Entra 租户关联。
Microsoft Entra ID 在云原生应用程序中的作用是什么?
作为应用开发人员,你可以使用 Microsoft Entra ID 对应用程序及其数据的访问进行身份验证和授权。 Microsoft Entra ID 提供有助于生成自定义应用的编程方法。 它还可用作存储数字标识相关信息的单一位置,包括对应用程序注册及其各自安全主体的支持。 借助此功能,你可以为每个用户、来宾或组提供对内部开发的应用程序的精细访问权限。 它还使应用程序能够在访问其他受 Microsoft Entra ID 保护的资源、服务和应用程序时,独立运行或代表其用户运行。
云原生应用程序依赖基于 HTTP 的开放协议对安全主体进行身份验证,因为客户端和应用程序都可以在任何平台或设备上的任何位置运行。 作为云原生标识解决方案,Microsoft Entra ID 提供了此功能,其中包括基于 REST 的接口,以及对图形 API 和基于 OData 的查询的支持。
Microsoft Entra ID 有助于实现生成云原生应用程序时常见的一系列方案,例如:
- 用户在 Web 浏览器上访问 Web 应用程序。
- 用户从基于浏览器的应用访问后端 Web API。
- 用户从移动应用访问后端 Web API。
- 应用程序使用自己的标识在没有活动用户或用户界面的情况下访问后端 Web API。
- 应用程序使用用户的委托凭据代表该用户与其他 Web API 交互。
在上述每种方案中,都需要保护应用程序免受未经授权的使用。 此步骤至少需要对请求访问资源的安全主体进行身份验证。 此身份验证可能使用多种常见协议之一,例如安全断言标记语言 (SAML) V2.0、WS-Fed 或 OpenID Connect。 与 Web API 通信通常依赖于 OAuth2 协议及其对访问令牌的支持。