Objekty aplikace a instančního objektu v MICROSOFT Entra ID

Tento článek popisuje registraci aplikací, objekty aplikací a instanční objekty v Microsoft Entra ID, co jsou, jak se používají a jak spolu souvisejí. Zobrazí se také scénář s více tenanty, který znázorňuje vztah mezi objektem aplikace a odpovídajícími objekty instančního objektu.

Registrace aplikace

Pokud chcete delegovat funkce správy identit a přístupu na ID Microsoft Entra, musí být aplikace zaregistrovaná v tenantovi Microsoft Entra. Při registraci aplikace pomocí Microsoft Entra ID vytváříte konfiguraci identity pro vaši aplikaci, která umožňuje integraci s Microsoft Entra ID. Když zaregistrujete aplikaci, zvolíte, jestli se jedná o jednoho tenanta nebo víceklienta, a volitelně můžete nastavit identifikátor URI přesměrování. Podrobné pokyny k registraci aplikace najdete v rychlém startu registrace aplikace.

Po dokončení registrace aplikace máte globálně jedinečnou instanci aplikace (objekt aplikace), která se nachází ve vašem domovském tenantovi nebo adresáři. Máte také globálně jedinečné ID aplikace (ID aplikace nebo klienta). Můžete přidat tajné kódy nebo certifikáty a obory, aby aplikace fungovala, přizpůsobila branding aplikace v dialogovém okně pro přihlášení a další možnosti.

Pokud zaregistrujete aplikaci, objekt aplikace a instanční objekt se automaticky vytvoří ve vašem domovském tenantovi. Pokud zaregistrujete nebo vytvoříte aplikaci pomocí rozhraní Microsoft Graph API, vytvoření instančního objektu je samostatný krok.

Objekt aplikace

Aplikace Microsoft Entra je definována jeho jedním a jediným objektem aplikace, který se nachází v tenantovi Microsoft Entra, kde byla aplikace zaregistrována (označuje se jako "domovský" tenant aplikace). Objekt aplikace se používá jako šablona nebo podrobný plán k vytvoření jednoho nebo více objektů instančního objektu. Instanční objekt se vytvoří v každém tenantovi, ve kterém se aplikace používá. Podobně jako u třídy v objektově orientovaném programování má objekt aplikace některé statické vlastnosti, které se použijí na všechny vytvořené instanční objekty (nebo instance aplikace).

Objekt aplikace popisuje tři aspekty aplikace:

  • Jak může služba vydávat tokeny za účelem přístupu k aplikaci
  • Prostředky, ke kterým může aplikace potřebovat přístup
  • Akce, které může aplikace provést

Pomocí stránky Registrace aplikací v Centru pro správu Microsoft Entra můžete vypsat a spravovat objekty aplikace ve vašem domovském tenantovi.

okno Registrace aplikací

Entita aplikace Microsoft Graph definuje schéma vlastností objektu aplikace.

Instanční objekt

Pokud chcete získat přístup k prostředkům zabezpečeným tenantem Microsoft Entra, musí být entita, která vyžaduje přístup, reprezentována objektem zabezpečení. Tento požadavek platí pro uživatele (instanční objekt) i aplikace (instanční objekt). Objekt zabezpečení definuje zásady přístupu a oprávnění pro uživatele nebo aplikaci v tenantovi Microsoft Entra. To umožňuje základní funkce, jako je ověřování uživatele nebo aplikace během přihlašování a autorizace během přístupu k prostředkům.

Existují tři typy instančního objektu:

  • Aplikace – Tento typ instančního objektu je místní reprezentace nebo instance aplikace globálního objektu aplikace v jednom tenantovi nebo adresáři. V tomto případě je instanční objekt konkrétní instancí vytvořenou z objektu aplikace a dědí určité vlastnosti z tohoto objektu aplikace. Instanční objekt se vytvoří v každém tenantovi, kde se aplikace používá, a odkazuje na globálně jedinečný objekt aplikace. Instanční objekt definuje, co může aplikace ve skutečnosti dělat v konkrétním tenantovi, kdo má přístup k aplikaci a k jakým prostředkům má aplikace přístup.

    Když aplikaci udělíte oprávnění pro přístup k prostředkům v tenantovi (při registraci nebo souhlasu), vytvoří se objekt instančního objektu. Při registraci aplikace se instanční objekt vytvoří automaticky. Instanční objekty můžete v tenantovi vytvářet také pomocí Azure PowerShellu, Azure CLI, Microsoft Graphu a dalších nástrojů.

  • Spravovaná identita – Tento typ instančního objektu se používá k reprezentaci spravované identity. Spravované identity eliminují potřebu vývojářů spravovat přihlašovací údaje. Spravované identity poskytují identitu pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra. Pokud je povolená spravovaná identita, vytvoří se ve vašem tenantovi instanční objekt představující tuto spravovanou identitu. Instanční objekty představující spravované identity můžou mít udělený přístup a oprávnění, ale nedají se aktualizovat ani upravovat přímo.

  • Starší verze – Tento typ instančního objektu představuje starší verzi aplikace, což je aplikace vytvořená před zavedením registrace aplikace nebo aplikací vytvořenou prostřednictvím starších verzí prostředí. Starší verze instančního objektu může mít přihlašovací údaje, hlavní názvy služeb, adresy URL odpovědí a další vlastnosti, které může autorizovaný uživatel upravovat, ale nemá přidruženou registraci aplikace. Instanční objekt lze použít pouze v tenantovi, ve kterém byl vytvořen.

Entita Microsoft Graph ServicePrincipal definuje schéma vlastností instančního objektu.

Pomocí stránky Podnikové aplikace v Centru pro správu Microsoft Entra můžete vypsat a spravovat instanční objekty v tenantovi. Můžete zobrazit oprávnění instančního objektu, oprávnění udělená uživatelem, která uživatelé tento souhlas provedli, přihlašovací informace a další.

Okno Podnikové aplikace

Vztah mezi objekty aplikace a instančními objekty

Objekt aplikace je globální reprezentace vaší aplikace pro použití ve všech tenantech a instanční objekt je místní reprezentace pro použití v konkrétním tenantovi. Objekt aplikace slouží jako šablona, ze které jsou odvozeny běžné a výchozí vlastnosti pro použití při vytváření odpovídajících objektů instančního objektu.

Objekt aplikace má:

  • Vztah 1:1 se softwarovou aplikací a
  • Relace 1:N s odpovídajícími objekty instančního objektu

Instanční objekt musí být vytvořen v každém tenantovi, ve kterém se aplikace používá, a umožnit jí vytvořit identitu pro přihlášení nebo přístup k prostředkům zabezpečeným tenantem. Aplikace s jedním tenantem má pouze jeden instanční objekt (ve svém domovském tenantovi) vytvořený a odsouhlasený pro použití při registraci aplikace. Víceklientní aplikace má také instanční objekt vytvořený v každém tenantovi, kde uživatel z daného tenanta souhlasil s jeho použitím.

Výpis instančních objektů přidružených k aplikaci

Instanční objekty přidružené k objektu aplikace najdete.

V Centru pro správu Microsoft Entra přejděte do přehledu registrace aplikace. Vyberte spravovanou aplikaci v místním adresáři.

Snímek obrazovky znázorňující možnost Spravovaná aplikace v místním adresáři v přehledu

Důsledky změny a odstranění aplikací

Všechny změny provedené v objektu aplikace se také projeví v jeho instančním objektu pouze v domovském tenantovi aplikace (tenant, ve kterém byl zaregistrovaný). To znamená, že odstraněním objektu aplikace se odstraní také jeho objekt instančního objektu domovského tenanta. Obnovení objektu aplikace prostřednictvím uživatelského rozhraní registrace aplikací ale neobnoví odpovídající instanční objekt. Další informace o odstranění a obnovení aplikací a jejich instančních objektů najdete v tématu odstranění a obnovení aplikací a instančních objektů.

Příklad

Následující diagram znázorňuje vztah mezi objektem aplikace aplikace a odpovídajícími instančními objekty v kontextu ukázkové víceklientské aplikace s názvem aplikace HR. V tomto příkladu existují tři tenanti Microsoft Entra:

  • Adatum – tenant používaný společností, která vyvinula aplikaci personálního oddělení
  • Contoso – tenant, kterého používá organizace Contoso, což je spotřebitel aplikace personálního oddělení
  • Fabrikam – tenant používaný organizací Fabrikam, který také využívá aplikaci personálního oddělení

Vztah mezi objektem aplikace a instančním objektem

V tomto ukázkové situaci:

Krok Popis
1 Proces vytváření objektů aplikace a instančních objektů v domovském tenantovi aplikace.
2 Když správci Contoso a Fabrikam dokončí souhlas, vytvoří se v tenantovi Microsoft Entra společnosti instanční objekt a přiřadí mu oprávnění, která správce udělil. Všimněte si také, že aplikaci personálního oddělení je možné nakonfigurovat nebo navrhnout tak, aby umožňovala souhlas uživatelům pro individuální použití.
3 Tenanti uživatelů aplikace HR (Contoso a Fabrikam) mají vlastní objekt instančního objektu. Každý představuje jejich použití instance aplikace za běhu, která se řídí oprávněními udělenými příslušným správcem.

Další kroky

Zjistěte, jak vytvořit instanční objekt: