將應用程式與 Microsoft Entra ID 和 Microsoft 身分識別平台 整合
身為開發人員,您可以建置並整合IT專業人員在企業中可保護的應用程式。 本文可協助您瞭解如何使用 零信任 原則,安全地整合您的應用程式與 Microsoft Entra ID 和 Microsoft 身分識別平台。
Microsoft雲端式身分識別和存取管理服務,Microsoft Entra ID,為開發人員提供下列 應用程式整合 優點:
- 應用程式驗證和授權
- 使用者驗證和授權
- 使用同盟或密碼的單一登錄 (SSO)
- 使用者佈建與同步處理
- 角色型存取控制
- OAuth 授權服務
- 應用程式發佈和 Proxy
- 目錄架構擴充屬性
上圖說明支持數個身分識別和業界標準的 適用於開發人員的 Microsoft 身分識別平台 整合工具組。 您可以建置應用程式和整合身分識別與端點、連結庫、Web API、發行者驗證、使用者布建和驗證代理人。
開始使用應用程式整合
Microsoft 身分識別平台 檔案網站是您瞭解如何將應用程式與 Microsoft 身分識別平台 整合的最佳起點。 您可以在 找到開發人員研討會、工作坊材料、研討會錄製的連結,以及即將在 https://aka.ms/UpcomingIDLOBDev的實況活動的相關信息。
設計應用程式時,您需要:
- 識別應用程式需要存取的資源。
- 請考慮您的應用程式是否有互動式使用者和工作負載元件。
- 透過建置可透過許可權和存取來保護身分識別的應用程式,以存取Microsoft Entra ID 保護的資源。
您可以整合的應用程式類型
Microsoft 身分識別平台 只會針對已註冊和支援的應用程式執行身分識別和存取管理(IAM)。 若要與 Microsoft 身分識別平台整合,您的應用程式必須能夠提供網頁瀏覽器型元件,以連線到位址下 https://login.microsoftonline.com
Microsoft 身分識別平台 的授權端點。 您的應用程式會在相同的位址下呼叫令牌端點。
整合式應用程式可以從任何位置執行,包括下列範例:
- Microsoft Azure
- 其他雲端提供者
- 您自己的資料中心和伺服器
- 桌上型電腦
- 行動裝置
- 物聯網裝置。
應用程式或裝置,例如存取授權端點的網頁瀏覽器應用程式,可以原生提供需求。 中斷連線的瀏覽器與應用程式之間的合作符合需求。 例如,在電視上執行的應用程式可能會讓使用者在桌面或行動裝置上使用瀏覽器執行初始驗證。
您可以註冊用戶端應用程式(Web 或原生應用程式)或 Web API,以建立應用程式與 Microsoft 身分識別平台 之間的信任關係。 Microsoft Entra 應用程式註冊非常重要,因為應用程式的設定錯誤或失效可能會導致停機時間或危害。 請遵循 Microsoft Entra ID 中應用程式屬性的安全性最佳做法。
發佈至 Microsoft Entra 應用連結庫
Microsoft Entra 應用連結庫是Microsoft Entra ID 中軟體即服務 (SaaS) 應用程式的集合,其預先整合Microsoft Entra ID。 它包含數千個應用程式,可讓您輕鬆地部署和設定SSO和自動使用者布建。
自動使用者布建 是指在使用者需要存取的雲端應用程式中建立使用者身分識別和角色。 自動布建包括維護及移除使用者身分識別,因為狀態或角色變更。 若要將使用者布建至 SaaS 應用程式和其他系統,Microsoft Entra 布建服務會連線到應用程式廠商提供的跨網域身分識別管理 (SCIM) 2.0 使用者管理 API 端點。 這個 SCIM 端點可讓 Microsoft Entra ID 以程式設計方式建立、更新和移除使用者。
當您開發Microsoft Entra 識別碼的應用程式時,您可以使用 SCIM 2.0 使用者管理 API 來建置 SCIM 端點,以整合Microsoft Entra ID 以進行佈建。 如需詳細資訊,請參閱 在 Microsoft Entra ID 教學課程中開發及規劃 SCIM 端點的布建。
將您的應用程式 發佈至 Microsoft Entra 應用連結庫,並藉由完成下列工作,將應用程式公開提供給使用者新增至租使用者:
- 完成必要條件。
- 建立和發佈文件。
- 提交您的應用程式。
- 加入 Microsoft 合作夥伴網路。
成為已驗證的發行者
發行者驗證會提供應用程式使用者和組織系統管理員的資訊,說明發佈與 Microsoft 身分識別平台整合之應用程式的開發人員真實性。 當您是已驗證的發行者時,使用者可以更輕鬆地決定他們是否想要讓應用程式登入並存取其配置檔資訊。 他們可以根據應用程式在令牌中要求的資訊和存取權來決定。
應用程式發行者藉由將應用程式註冊與其已 驗證Microsoft合作夥伴網路 (MPN) 帳戶建立關聯,以Microsoft驗證其身分識別。 在驗證期間,Microsoft要求驗證檔。 成為已驗證的發行者之後,應用程式Microsoft Entra 同意提示和網頁中會顯示藍色已驗證徽章。
下一步
- 使用身分識別 零信任 方法來建置應用程式,提供許可權和存取最佳做法的概觀。
- 授權最佳做法 可協助您為應用程式實作最佳的授權、許可權和同意模型。
- 設定應用程式的發行者網域 可協助您瞭解多租使用者應用程式和預設發行者網域值。
- 與 Microsoft Entra ID 搭配使用的 SaaS 應用程式整合教學課程可協助您整合已啟用雲端功能的 SaaS 應用程式與 Microsoft Entra ID。
- 如果您在發行集期間收到錯誤或看到非預期的行為,請針對發行者驗證進行疑難解答的參考秘訣。