Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Portal rejestracji aplikacji Platforma tożsamości Microsoftjest podstawowym punktem wejścia dla aplikacji korzystających z platformy do uwierzytelniania i skojarzonych potrzeb. Jako deweloper, gdy zarejestrujesz i skonfigurujesz aplikacje, wybór będzie mieć wpływ na to, jak dobrze aplikacja spełnia zasady Zero Trust. Skuteczna rejestracja aplikacji uwzględnia zasady korzystania z najmniej uprzywilejowanego dostępu oraz przyjmuje założenie naruszenia. Ten artykuł ułatwia zapoznanie się z procesem rejestracji aplikacji i jej wymaganiami w celu zapewnienia, że aplikacje są zgodne z podejściem Zero Trust do zabezpieczeń.
Zarządzanie aplikacjami w usłudze Microsoft Entra ID (Microsoft Entra ID) ułatwia bezpieczne tworzenie, konfigurowanie i monitorowanie aplikacji w chmurze oraz zarządzanie nimi. Podczas rejestrowania aplikacji w dzierżawie Microsoft Entra skonfigurujesz bezpieczny dostęp użytkownika.
Identyfikator Entra firmy Microsoft reprezentuje aplikacje według obiektów aplikacji i jednostek usługi. Z pewnymi wyjątkami aplikacje są obiektami aplikacji. Principał usługi można traktować jako wystąpienie aplikacji, które odwołuje się do obiektu aplikacji. Wiele jednostek usługi w różnych katalogach może odwoływać się do pojedynczego obiektu aplikacji.
Aplikację można skonfigurować tak, aby korzystała z identyfikatora Entra firmy Microsoft za pomocą trzech metod: w programie Visual Studio z interfejsem API programu Microsoft Graph lub za pomocą programu PowerShell. Istnieją doświadczenia deweloperskie na platformie Azure i w API Explorer w centrum deweloperów. Odnoś się do decyzji i zadań, które muszą zostać podjęte przez role deweloperów i specjalistów IT w celu budowania i wdrażania bezpiecznych aplikacji na platformie tożsamości Microsoft.
Kto może dodawać i rejestrować aplikacje
Administratorzy mogą tworzyć obiekty aplikacji podczas rejestrowania aplikacji w portalu Azure, jeśli dzierżawa na to zezwala użytkownikom i deweloperom. Domyślnie wszyscy użytkownicy w katalogu mogą rejestrować obiekty aplikacji, które tworzą. Deweloperzy obiektów aplikacji decydują, które aplikacje udostępniają dane i zapewniają dostęp do danych organizacyjnych za pośrednictwem zgody.
Gdy pierwszy użytkownik w katalogu loguje się do aplikacji i udziela zgody, system tworzy główny element usługi w dzierżawie, który przechowuje wszystkie informacje o zgodach użytkownika. Microsoft Entra ID automatycznie tworzy jednostkę usługi dla nowo zarejestrowanej aplikacji w dzierżawie przed uwierzytelnieniem użytkownika.
Użytkownicy z co najmniej administratorem aplikacji lub administratorem aplikacji w chmurze mogą wykonywać określone zadania aplikacji (takie jak dodawanie aplikacji z galerii aplikacji i konfigurowanie aplikacji do korzystania z serwera proxy aplikacji).
Rejestrowanie obiektów aplikacji
Jako deweloper rejestrujesz aplikacje korzystające z Platforma tożsamości Microsoft. Zarejestruj swoje aplikacje w portalu Azure lub wywołując API aplikacji Microsoft Graph. Po zarejestrowaniu aplikacji komunikuje się z Platforma tożsamości Microsoft, wysyłając żądania do punktu końcowego.
Być może nie masz uprawnień do tworzenia lub modyfikowania rejestracji aplikacji. Gdy administratorzy nie dają ci uprawnień do rejestrowania aplikacji, zapytaj ich, w jaki sposób można przekazać do nich niezbędne informacje o rejestracji aplikacji.
Właściwości rejestracji aplikacji mogą zawierać następujące składniki.
- Nazwa, logo i wydawca
- Przekierowywanie jednolitych identyfikatorów zasobów (URI)
- Wpisy tajne (symetryczne i/lub klucze asymetryczne używane do uwierzytelniania aplikacji)
- Zależności interfejsu API (OAuth)
- Opublikowane interfejsy API/zasoby/zakresy (OAuth)
- Role aplikacji dla kontroli dostępu opartej na rolach
- Metadane i konfiguracja logowania jednokrotnego ,aprowizowanie użytkowników i serwer proxy
Wymagana część rejestracji aplikacji to wybór obsługiwanych typów kont w celu zdefiniowania, kto może używać aplikacji na podstawie typu konta użytkownika. Administratorzy firmy Microsoft Entra postępują zgodnie z modelem aplikacji, aby zarządzać obiektami aplikacji w witrynie Azure Portal za pośrednictwem środowiska Rejestracje aplikacji i definiować ustawienia aplikacji, które informują usługę, jak wystawiać tokeny do aplikacji.
Podczas rejestracji otrzymasz tożsamość aplikacji: identyfikator aplikacji (klienta). Aplikacja używa identyfikatora klienta za każdym razem, gdy wykonuje transakcję za pośrednictwem Platforma tożsamości Microsoft.
Najlepsze rozwiązania dotyczące rejestracji aplikacji
Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń dotyczącymi właściwości aplikacji podczas rejestrowania aplikacji w usłudze Microsoft Entra ID jako krytycznej części jej użycia biznesowego. Należy zapobiec przestojom lub naruszeniu zabezpieczeń, które mogą mieć wpływ na całą organizację. Poniższe zalecenia ułatwiają opracowywanie bezpiecznej aplikacji wokół zasad zero trust.
- Skorzystaj z listy kontrolnej integracji platformy tożsamości Microsoft, aby zapewnić wysoką jakość i bezpieczną integrację. Zachowaj jakość i bezpieczeństwo aplikacji.
- Poprawnie zdefiniuj adresy URL przekierowania. Odwołaj się do ograniczeń i limitów identyfikatora URI przekierowania (adresu URL odpowiedzi), aby uniknąć problemów ze zgodnością i zabezpieczeniami.
- Sprawdź identyfikatory URI przekierowania w rejestracji aplikacji, aby upewnić się co do własności i uniknąć przejęcia domeny. Adresy URL przekierowania powinny znajdować się w domenach, które znasz i jesteś właścicielem. Regularnie przeglądaj i usuwaj niepotrzebne i nieużywane identyfikatory URI. Nie używaj identyfikatorów URI innych niż https w aplikacjach produkcyjnych.
- Zawsze należy definiować i utrzymywać właścicieli aplikacji i właścicieli głównych usług dla zarejestrowanych aplikacji w dzierżawie. Unikaj osieroconych aplikacji (aplikacji i reprezentantów usługi bez przypisanych właścicieli). Upewnij się, że administratorzy IT mogą łatwo i szybko identyfikować właścicieli aplikacji w nagłych wypadkach. Zachowaj małą liczbę właścicieli aplikacji. Utrudnij sytuację, gdy naruszone konto użytkownika wpływa na wiele aplikacji.
-
Unikaj używania tej samej rejestracji aplikacjidla różnych aplikacji. Oddzielenie rejestracji aplikacji pomaga umożliwić dostęp z najmniejszymi uprawnieniami i zmniejszyć wpływ w przypadku naruszenia.
- Użyj oddzielnych rejestracji aplikacji dla aplikacji, które logują użytkowników, oraz aplikacji, które uwidaczniają dane i operacje za pośrednictwem interfejsu API (chyba że są ściśle powiązane). Takie podejście umożliwia uzyskanie uprawnień do bardziej uprzywilejowanego interfejsu API, takiego jak Microsoft Graph, oraz poświadczeń (takich jak sekrety i certyfikaty), z dala od aplikacji, które logują się i wchodzą w interakcje z użytkownikami.
- Użyj oddzielnych rejestracji aplikacji dla aplikacji internetowych i interfejsów API. Takie podejście pomaga zagwarantować, że jeśli internetowy interfejs API ma wyższy zestaw uprawnień, aplikacja kliencka nie dziedziczy ich.
- Zdefiniuj aplikację jako aplikację wielodostępną tylko wtedy, gdy jest to konieczne. Aplikacje wielotenancyjne umożliwiają udostępnianie w najemcach innych niż waszych. Wymagają one większego nakładu pracy związanego z zarządzaniem w celu filtrowania niechcianego dostępu. Jeśli nie zamierzasz opracowywać aplikacji jako aplikacji wielodostępnej, zacznij od ustawienia wartości SignInAudience na AzureADMyOrg.
Następne kroki
- Zapoznaj się z dokumentacją Platforma tożsamości Microsoft, aby dowiedzieć się, jak rejestrować typy aplikacji. Przykładowe typy aplikacji obejmują aplikacje jednostronicowe (SPA), aplikacje internetowe, internetowe interfejsy API, aplikacje klasyczne, aplikacje mobilne i usługi w tle, demony i skrypty.
- Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i Platforma tożsamości Microsoft ułatwia deweloperom tworzenie i integrowanie aplikacji, które specjalista IT może zabezpieczyć w przedsiębiorstwie.
- Uzyskiwanie autoryzacji dostępu do zasobów pomaga zrozumieć, jak najlepiej zapewnić zero trust podczas uzyskiwania uprawnień dostępu do zasobów dla aplikacji.
- Najlepsze rozwiązania dotyczące autoryzacji pomagają zaimplementować najlepsze modele autoryzacji, uprawnień i zgody dla aplikacji.