Поделиться через

Регистрация приложений

Портал платформа идентификации Microsoftрегистрации приложений является основной точкой входа для приложений, использующих платформу для аутентификации и связанных с ними потребностей. В качестве разработчика, когда вы регистрируете и настраиваете ваши приложения, вы можете использовать свой выбор и повлиять на то, насколько хорошо ваше приложение удовлетворяет принципам нулевого доверия. Эффективная регистрация приложений рассматривает принципы использования наименее привилегированного доступа и предполагает нарушение. Эта статья поможет вам узнать о процессе регистрации приложений и его требованиях, чтобы гарантировать, что ваши приложения соответствуют подходу нулевого доверия к безопасности.

Управление приложениями в Идентификаторе Microsoft Entra (Идентификатор Microsoft Entra ) помогает безопасно создавать, настраивать, управлять и отслеживать приложения в облаке. При регистрации приложения в клиенте Microsoft Entra вы настраиваете безопасный доступ пользователей.

Идентификатор Microsoft Entra представляет приложения по объектам приложений и субъектам-службам. В некоторых исключениях приложения являются объектами приложений. Представьте себе служебный принципал как экземпляр приложения, которое ссылается на объект приложения. Несколько субъектов-служб в разных каталогах могут ссылаться на один объект приложения.

Вы можете настроить приложение для использования идентификатора Microsoft Entra с помощью трех методов: в Visual Studio, с ПОМОЩЬЮ API Microsoft Graph или PowerShell. В Azure и API Explorer существуют возможности для разработчиков в центрах разработчиков. Ознакомьтесь с необходимыми решениями и задачами для ролей разработчиков и ИТ-профессионалов для создания и развертывания безопасных приложений в платформе идентификации Майкрософт.

Кто может добавлять и регистрировать приложения

Администраторы и, когда клиент разрешает пользователям и разработчикам, могут создавать объекты приложений при регистрации приложений на портале Azure. По умолчанию все пользователи в каталоге могут регистрировать объекты приложения, которые они разрабатывают. Разработчики объектов приложений решают, какие приложения совместно используются и предоставляют доступ к данным организации с помощью согласия.

Когда первый пользователь в каталоге входит в приложение и предоставляет согласие, система создает учетную запись службы в арендаторе, где хранятся все сведения о согласии пользователя. Идентификатор Microsoft Entra автоматически создает учетную запись службы для ново зарегистрированного приложения в арендаторе до того как пользователь пройдет проверку подлинности.

Пользователи с ролью администратора приложений или администратора облачных приложений могут выполнять определенные задачи приложения (например, добавление приложений из коллекции приложений и настройка приложений для использования прокси приложения).

Регистрация объектов приложения

Когда вы являетесь разработчиком, вы регистрируете свои приложения, использующие идентификационную платформу Майкрософт. Зарегистрируйте приложения в портал Azure или вызове API приложений Microsoft Graph. После регистрации приложения оно взаимодействует с платформой идентификации Майкрософт, отправляя запросы в конечную точку.

Возможно, у вас нет разрешения на создание или изменение регистрации приложения. Если администраторы не предоставляют вам разрешения на регистрацию приложений, попросите их передать необходимые сведения о регистрации приложений.

Свойства регистрации приложения могут включать следующие компоненты.

  • имя, логотип и издатель;
  • Перенаправление универсальных идентификаторов ресурсов (URI)
  • секретные ключи (симметричные и/или асимметричные ключи, применяемые для проверки подлинности приложения);
  • зависимости API (OAuth);
  • опубликованные API, ресурсы, права доступа (OAuth);
  • Роли приложения для управления доступом на основе ролей
  • Метаданные и конфигурация единого входа (SSO), подготовка пользователей и прокси-сервер

Необходимой частью регистрации приложения является выбор поддерживаемых типов учетных записей для того, чтобы определить, кто может использовать ваше приложение, исходя из типа учетной записи пользователя. Администраторы Microsoft Entra следуют модели приложения для управления объектами приложений в портал Azure через интерфейс Регистрация приложений и определяют параметры приложения, которые сообщают службе о том, как выдавать маркеры приложению.

Во время регистрации вы получите удостоверение приложения: идентификатор приложения (клиента). Приложение использует свой идентификатор клиента при каждом выполнении транзакции через платформа удостоверений Майкрософт.

Рекомендации по регистрации приложений

Следуйте рекомендациям по обеспечению безопасности свойств приложений при регистрации приложения в идентификаторе Microsoft Entra ID в качестве важной части его бизнес-использования. Цель заключается в предотвращении простоя или угрозы, которые могут повлиять на всю организацию. Следующие рекомендации помогут вам разработать безопасное приложение вокруг принципов нулевого доверия.

  • Используйте контрольный список интеграции с платформой удостоверений Microsoft, чтобы обеспечить высокое качество и безопасность интеграции. Обеспечение качества и безопасности приложения.
  • Правильно определите URL-адреса перенаправления. Ссылайтесь на ограничения и лимиты URI перенаправления (URL-адреса ответа), чтобы избежать проблем совместимости и безопасности.
  • Проверьте URI перенаправления в регистрации приложения, чтобы убедиться в законности владения и избежать захвата домена. URL-адреса перенаправления должны находиться в доменах, которые вы знаете и владеете. Регулярно просматривайте и удаляйте ненужные и неиспользуемые URI. Не используйте URI, отличные от https, в рабочих приложениях.
  • Всегда определяйте и поддерживайте владельцев приложений и служебных принципалов для зарегистрированных приложений в вашем арендаторе. Избегайте обезличенных приложений (приложения и служебные субъекты без назначенных владельцев). Убедитесь, что ИТ-администраторы могут легко и быстро идентифицировать владельцев приложений во время чрезвычайной ситуации. Сохраняйте небольшое количество владельцев приложений. Создать трудности для скомпрометированной учетной записи пользователя, чтобы она не могла повлиять на несколько приложений.
  • Избегайте использования одной регистрации приложениядля нескольких программ. Разделение регистраций приложений помогает включить наименее привилегированный доступ и уменьшить влияние во время нарушения.
    • Используйте отдельные регистрации приложений для приложений, входящих в систему пользователей, и приложений, предоставляющих данные и операции через API, если они не тесно связаны друг с другом. Этот подход предоставляет разрешения для более привилегированных API, таких как Microsoft Graph, а также учетные данные (например, секреты и сертификаты), на безопасном расстоянии от приложений, которые авторизуют пользователей и взаимодействуют с ними.
    • Используйте отдельные регистрации приложений для веб-приложений и API. Этот подход помогает гарантировать, что если веб-API имеет более высокий набор разрешений, клиентское приложение не наследует их.
  • Определите приложение как мультитенантное приложение только при необходимости. Мультитенантные приложения позволяют подготавливать клиентов, отличных от ваших. Им требуется больше затрат на управление для фильтрации нежелательного доступа. Если вы не планируете разрабатывать приложение в качестве мультитенантного приложения, начните со значения SignInAudience AzureADMyOrg.

Следующие шаги

  • Last updated on