Eksplorowanie jednostek usługi

  • 3 minut

Aby delegować funkcje zarządzania tożsamościami i dostępem do identyfikatora Entra firmy Microsoft, aplikacja musi być zarejestrowana w dzierżawie firmy Microsoft Entra. Podczas rejestrowania aplikacji przy użyciu identyfikatora Entra firmy Microsoft tworzysz konfigurację tożsamości dla aplikacji, która umożliwia jej integrację z identyfikatorem Entra firmy Microsoft. Podczas rejestrowania aplikacji w witrynie Azure Portal należy wybrać, czy jest to:

  • Pojedyncza dzierżawa: dostępna tylko w dzierżawie
  • Wielodostępność: dostępne w innych dzierżawach

Jeśli zarejestrujesz aplikację w portalu, obiekt aplikacji (globalnie unikatowe wystąpienie aplikacji) i obiekt jednostki usługi zostaną automatycznie utworzone w dzierżawie głównej. Masz również unikatowy identyfikator globalny dla aplikacji (identyfikator aplikacji lub klienta). W portalu możesz następnie dodać wpisy tajne lub certyfikaty i zakresy, aby aplikacja działała, dostosować znakowanie aplikacji w oknie dialogowym logowania i nie tylko.

Uwaga

Można również tworzyć obiekty jednostki usługi w dzierżawie przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, programu Microsoft Graph i innych narzędzi.

Obiekt aplikacji

Aplikacja Microsoft Entra jest ograniczona do jej jednego i tylko obiektu aplikacji. Obiekt aplikacji znajduje się w dzierżawie firmy Microsoft Entra, w której zarejestrowano aplikację (znaną jako "domowa" dzierżawa aplikacji). Obiekt aplikacji jest używany jako szablon lub strategia do tworzenia co najmniej jednego obiektu jednostki usługi. Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja. Podobnie jak klasa w programowaniu obiektowym, obiekt aplikacji ma pewne właściwości statyczne, które są stosowane do wszystkich utworzonych jednostek usługi (lub wystąpień aplikacji).

Obiekt aplikacji opisuje trzy aspekty aplikacji:

  • Jak usługa może wystawiać tokeny w celu uzyskania dostępu do aplikacji.
  • Zasoby, do których aplikacja może potrzebować dostępu.
  • Akcje, które może wykonać aplikacja.

Jednostka Aplikacji programu Microsoft Graph definiuje schemat właściwości obiektu aplikacji.

Obiekt jednostki usługi

Aby uzyskać dostęp do zasobów zabezpieczonych przez dzierżawę firmy Microsoft Entra, jednostka żądana dostępu musi być reprezentowana przez podmiot zabezpieczeń. Dotyczy to zarówno użytkowników (nazwy głównej użytkownika) jak i aplikacji (jednostki usługi).

Podmiot zabezpieczeń definiuje zasady dostępu i uprawnienia użytkownika/aplikacji w dzierżawie firmy Microsoft Entra. Umożliwia to korzystanie z podstawowych funkcji, takich jak uwierzytelnianie użytkownika/aplikacji podczas logowania i autoryzacja podczas uzyskiwania dostępu do zasobów.

Istnieją trzy typy jednostki usługi:

  • Aplikacja — ten typ jednostki usługi jest lokalną reprezentacją lub wystąpieniem globalnego obiektu aplikacji w jednej dzierżawie lub katalogu. Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja, i odwołuje się do globalnie unikatowego obiektu aplikacji. Obiekt jednostki usługi definiuje, co aplikacja może rzeczywiście zrobić w określonej dzierżawie, kto może uzyskać dostęp do aplikacji i do jakich zasobów może uzyskać dostęp aplikacja.

  • Tożsamość zarządzana — ten typ jednostki usługi służy do reprezentowania tożsamości zarządzanej. Tożsamości zarządzane zapewniają tożsamość aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra. Po włączeniu tożsamości zarządzanej jednostka usługi reprezentująca tę tożsamość zarządzaną jest tworzona w dzierżawie. Jednostki usługi reprezentujące tożsamości zarządzane mogą mieć dostęp i uprawnienia, ale nie można ich aktualizować ani modyfikować bezpośrednio.

  • Dziedzictwo — ten typ głównej jednostki usług reprezentuje aplikację dziedzictwa, czyli aplikację utworzoną przed wprowadzeniem rejestracji aplikacji lub aplikację utworzoną poprzez starsze doświadczenia. Starsza jednostka usługi może mieć:

    • dane logowania
    • nazwy główne usługi
    • adresy URL odpowiedzi
    • i inne właściwości, które autoryzowany użytkownik może edytować, ale nie ma skojarzonej rejestracji aplikacji.

Relacja między obiektami aplikacji i jednostkami usługi

Obiekt aplikacji jest globalną reprezentacją aplikacji do użycia we wszystkich dzierżawach, a jednostka usługi jest lokalną reprezentacją do użycia w określonej dzierżawie. Obiekt aplikacji służy jako szablon, z którego pochodzą wspólne i domyślne właściwości do użycia podczas tworzenia odpowiednich obiektów jednostki usługi.

Obiekt aplikacji ma:

  • Jedna do jednej relacji z aplikacją oprogramowania i
  • Jeden do wielu relacji z odpowiadającymi jej obiektami jednostki usługi.

Jednostka usługi musi zostać utworzona w każdej dzierżawie, w której aplikacja jest używana do ustanawiania tożsamości logowania i/lub dostępu do zasobów zabezpieczonych przez dzierżawę. Aplikacja z jedną dzierżawą ma tylko jedną jednostkę usługi (w swojej dzierżawie głównej), utworzoną i wyrażoną zgodę na użycie podczas rejestracji aplikacji. Aplikacja wielodostępna ma również jednostkę usługi utworzoną w każdej dzierżawie, w której użytkownik z tej dzierżawy wyraził zgodę na jego użycie.