Как и почему приложения добавляются в идентификатор Microsoft Entra

Существует два представления приложений в идентификаторе Microsoft Entra:

• Объекты приложений. Объекты приложений можно считать определением приложения, хотя есть исключения.
• Субъекты-службы — их можно считать экземпляром приложения. Субъекты-службы обычно ссылаются на объект приложения, а на один объект приложения могут ссылаться несколько субъектов-служб в каталогах.

Что такое объекты приложений и откуда они берутся?

Объекты приложений можно управлять в Центре администрирования Microsoft Entra с помощью интерфейса Регистрация приложений. Объекты приложений описывают приложение с идентификатором Microsoft Entra и могут считаться определением приложения, позволяя службе знать, как выдавать маркеры приложению на основе его параметров. Объект приложения будет существовать только в своем домашнем каталоге, даже если это мультитенантное приложение, поддерживающее субъекты-службы в других каталогах. Объект приложения может включать (но не ограничивается) одним из следующих элементов:

• имя, логотип и издатель;
• URI перенаправления
• секретные ключи (симметричные и/или асимметричные ключи, применяемые для проверки подлинности приложения);
• зависимости API (OAuth);
• опубликованные API-интерфейсы, ресурсы, области (OAuth);
• Роли приложения
• Метаданные и конфигурации единого входа
• Метаданные и конфигурация для подготовки пользователя
• Метаданные и конфигурация прокси-сервера

Объекты приложений можно создать несколькими способами, включая следующие:

• Регистрация приложений в Центре администрирования Microsoft Entra
• Создание приложения с помощью Visual Studio и его настройка для использования проверки подлинности Microsoft Entra
• когда администратор добавляет приложение из коллекции приложений (при этом также создается субъект-служба);
• Использование API Microsoft Graph или PowerShell для создания нового приложения
• множество остальных методов, включая различные возможности разработки в Azure и обозревателе API-интерфейсов в центрах разработчиков.

Что такое субъекты-службы и откуда они берутся?

Субъекты-службы можно управлять в Центре администрирования Microsoft Entra с помощью интерфейса корпоративных приложений. Субъекты-службы — это то, что управляет приложением, подключающимся к идентификатору Microsoft Entra, и его можно рассматривать как экземпляр приложения в каталоге. Для любого конкретного приложения он может иметь не более одного объекта приложения (который зарегистрирован в каталоге home) и один или несколько объектов субъекта-службы, представляющих экземпляры приложения в каждом каталоге, в котором он действует.

Субъект-служба может содержать:

• обратную ссылку на объект приложения через свойство идентификатора приложения;
• записи назначений для локальных пользователей и ролей приложения в группе;
• Записи разрешений локального пользователя и администратора, предоставленных приложению
  • (например, разрешение для приложения на доступ к электронной почте конкретного пользователя);
• записи локальных политик, включая политику условного доступа;
• Записи альтернативных локальных параметров для приложения
  • утверждает правила преобразования.
  • Сопоставление атрибутов (подготовка пользователей)
  • специфические для каталога роли приложения (если приложение поддерживает настраиваемые роли);
  • специфическое для каталога имя или логотип.

Как и объекты приложений, субъекты-службы тоже можно создать несколькими способами, включая следующие:

• При входе пользователей в стороннее приложение, интегрированное с идентификатором Microsoft Entra
  • Во время входа пользователям предлагается предоставлять приложению разрешение на право доступа к своему профилю и прочие разрешения. Когда первый пользователь дает свое согласие, субъект-служба, которая представляет приложение, добавляется в каталог.
• Когда пользователи используют или войдите в Microsoft веб-службы, например Microsoft 365, идентификатор Microsoft Entra или Microsoft Azure.
  • При первом использовании службы Майкрософт в каталоге может быть создан один или несколько субъектов-служб, представляющих различные удостоверения службы Майкрософт, используемые для доставки службы. Эта "JIT-подготовка" может происходить в любое время, часто как часть фонового процесса. В редких случаях субъект-служба Майкрософт, который создается, также может быть назначена роль каталога, например "Читатели каталогов".
  • Некоторые службы Майкрософт, например SharePoint Online, создают субъекты-службы на постоянной основе, чтобы обеспечить безопасное взаимодействие между компонентами, включая рабочие процессы.
• Когда администратор добавляет приложение из коллекции приложений (при этом также создается объект базового приложения).
• Добавление приложения для использования прокси приложения Microsoft Entra
• Подключение приложения для единого входа с помощью SAML или единого входа с паролем
• Программным путем через API Microsoft Graph или PowerShell

Каким образом объекты приложений и субъекты-службы связаны друг с другом?

В приложении один объект приложения находится в домашнем каталоге, на который ссылается один или несколько субъектов-служб в каждом из каталогов, в которых оно работает (включая домашний каталог приложения).

На предыдущей схеме показано, что корпорация Майкрософт поддерживает два внутренних каталога (слева), которые она использует для публикации приложений:

• Один служит для приложений Microsoft (каталог служб Microsoft)
• другой — для предварительно интегрированных сторонних приложений (каталог коллекции приложений).

Издатели и поставщики приложений, которые интегрируются с идентификатором Microsoft Entra, должны иметь каталог публикации (показан справа как каталог "Некоторые программное обеспечение как услуга").

К приложениям, которые вы добавляете самостоятельно (представлены как App (yours) (Приложение (ваше)) на схеме), относятся:

• Разработанные приложения (интегрированы с идентификатором Microsoft Entra)
• Приложения, подключенные для единого входа
• Приложения, опубликованные с помощью прокси приложения Microsoft Entra

Примечания и исключения

• Не все субъекты-службы указывают на объект приложения. Когда идентификатор Microsoft Entra изначально был создан, службы, предоставляемые приложениям, были более ограниченными, и субъект-служба был достаточно для установления удостоверения приложения. По своей форме первоначальный субъект-служба был похож на учетную запись службы Windows Server Active Directory. По этой причине можно по-прежнему создавать субъекты-службы с помощью различных путей, таких как использование Microsoft Graph PowerShell, без первого создания объекта приложения. Перед созданием субъекта-службы интерфейсу API Microsoft Graph требуется объект приложения.
• В настоящее время не все приведенные выше сведения предоставляются программно. Следующие возможности доступны только в пользовательском интерфейсе.
  • утверждает правила преобразования.
  • Сопоставление атрибутов (подготовка пользователей)
• Дополнительные сведения о объектах субъекта-службы и приложения см. в справочной документации по API Microsoft Graph:
  • Приложение
  • Субъект-служба

Почему приложения интегрируются с идентификатором Microsoft Entra?

Приложения добавляются в идентификатор Microsoft Entra для использования одной или нескольких служб, предоставляемых в том числе:

• проверка подлинности и авторизация приложения;
• проверка подлинности и авторизация пользователей;
• SSO с помощью федерации или пароля;
• подготовка пользователей и синхронизация;
• Управление доступом на основе ролей (RBAC) — используйте каталог для определения ролей приложения для выполнения проверок авторизации на основе ролей в приложении.
• службы авторизации OAuth: используются Microsoft 365 и другими приложениями Майкрософт для авторизации доступа к API-интерфейсам и ресурсам;
• публикация приложений и прокси-сервер (публикация приложения из частной сети в Интернете).
• Атрибуты расширения схемы каталогов— расширение схемы субъектов-служб и объектов пользователей для хранения дополнительных данных в идентификаторе Microsoft Entra

У кого есть разрешение на добавление приложений в экземпляр Microsoft Entra?

По умолчанию у всех пользователей в каталоге есть права на регистрацию объектов приложений, которые они разрабатывают и предоставляют доступ к общим приложениям или предоставляют доступ к данным организации с помощью согласия. Если пользователь является первым пользователем в каталоге для входа в приложение и предоставления согласия, это создаст субъект-службу в клиенте. В противном случае сведения о предоставлении согласия будут храниться в существующем субъекте-службе.

Разрешение пользователям регистрировать и давать согласие на приложения могут первоначально звучать относительно, но помните следующие причины:

• Приложения смогли использовать Windows Server Active Directory для проверки подлинности пользователей в течение многих лет, не требуя регистрации или записи приложения в каталоге. Теперь организациям будет четко видно, сколько приложений используют каталог и в каких целях.
• Делегировав эти обязанности пользователям, администраторам больше не нужно будет выполнять процесс регистрации и публикации приложения самостоятельно. В случае со службами федерации Active Directory (ADFS) существовала определенная вероятность, что администратор должен был добавлять приложение в качестве проверяющей стороны от имени разработчиков. Теперь разработчики могут все делать сами.
• Очень удобно, когда пользователи могут входить в приложения с помощью своих учетных записей организации для выполнения бизнес-задач. Если впоследствии они покидают организацию, они автоматически теряют доступ к своей учетной записи в приложении, которое они использовали.
• Очень удобно записывать (фиксировать) данные, к которым был организован общий доступ, а также приложение, которое применялось для этого. Данные сегодня переносить значительно легче, и очень удобно записывать (фиксировать) данные, к которым был предоставлен общий доступ, а также приложение, которое применялось для этого.
• Владельцы API, использующие идентификатор Microsoft Entra для OAuth, определяют, какие разрешения пользователи могут предоставлять приложениям, и какие разрешения требуют, чтобы администратор согласился. Только администраторы могут предоставлять разрешения в больших масштабах и более значимые разрешения, тогда как пользователь может предоставлять разрешения только относительно собственных данных и возможностей.
• Когда пользователь добавляет или разрешает приложению доступ к своим данным, событие можно выполнить аудит, чтобы просмотреть отчеты аудита в Центре администрирования Microsoft Entra, чтобы определить, как приложение было добавлено в каталог.

Если вы все равно хотите запретить пользователям в вашем каталоге регистрировать приложения и входить в приложения без утверждения администратора, можно изменить два параметра, чтобы отключить эти возможности.

• Сведения о том, как изменить параметры согласия пользователя в организации, см. в статье Настройка способа согласия пользователей на использование приложений.

• Чтобы запретить пользователям регистрировать свои приложения:

  1. В Центре администрирования Microsoft Entra перейдите к параметрам пользователей>удостоверений>.
  2. Для параметра Users can register applications (Пользователи могут регистрировать приложения) задайте значение Нет.