Объекты приложения и субъекта-службы в идентификаторе Microsoft Entra

В этой статье описывается регистрация приложений, объекты приложений и субъекты-службы в идентификаторе Microsoft Entra ID, их использование, их использование и их отношение друг к другу. Также представлен многотенантный сценарий для иллюстрации связи между объектом приложения и соответствующими объектами субъекта-службы.

Регистрация приложения

Чтобы делегировать функции управления удостоверениями и доступом к идентификатору Microsoft Entra, приложение должно быть зарегистрировано в клиенте Microsoft Entra. При регистрации приложения с помощью идентификатора Microsoft Entra вы создаете конфигурацию удостоверения для приложения, которая позволяет интегрировать его с идентификатором Microsoft Entra. При регистрации приложения вы выбираете, является ли он одним клиентом или мультитенантным, а также может при необходимости задать универсальный код ресурса (URI перенаправления). Пошаговые инструкции по регистрации приложения см. в кратком руководстве по регистрации приложений.

После завершения регистрации приложения у вас есть глобальный уникальный экземпляр приложения (объект приложения), который находится в домашнем клиенте или каталоге. Кроме того, у вас есть глобальный уникальный идентификатор приложения (идентификатор приложения или клиента). Вы можете добавить секреты или сертификаты и области для работы приложения, настроить фирменную символику приложения в диалоговом окне входа и многое другое.

При регистрации приложения объект приложения и объект субъекта-службы автоматически создаются в домашнем клиенте. Если вы регистрируете или создаете приложение с помощью API Microsoft Graph, создание объекта субъекта-службы является отдельным шагом.

Объект приложения

Приложение Microsoft Entra определяется одним и единственным объектом приложения, который находится в клиенте Microsoft Entra, где приложение зарегистрировано (известное как "домашний" клиент приложения). Объект приложения используется в качестве шаблона или схемы для создания одного или нескольких объектов субъекта-службы. Субъект-служба создается в каждом клиенте, где используется приложение. Как и класс в объектно-ориентированном программировании, объект приложения имеет некоторые статические свойства, применяемые ко всем созданным субъектам-службам (или экземплярам приложения).

Объект приложения описывает три аспекта приложения:

  • Как служба может выдавать маркеры для доступа к приложению
  • Доступ к ресурсам, к которым может потребоваться приложение
  • Действия, которые может предпринять приложение

Страницу Регистрация приложений в Центре администрирования Microsoft Entra можно использовать для перечисления объектов приложений в домашнем клиенте и управления ими.

колонка Регистрация приложений

Сущность приложения Microsoft Graph определяет схему свойств объекта приложения.

Объект субъекта-службы

Чтобы получить доступ к ресурсам, защищенным клиентом Microsoft Entra, сущность, требующая доступа, должна быть представлена субъектом безопасности. Это требование верно для пользователей (участника-пользователя) и приложений (субъект-служба). Субъект безопасности определяет политику доступа и разрешения для пользователя или приложения в клиенте Microsoft Entra. Это позволяет использовать основные функции, такие как проверка подлинности пользователя или приложения во время входа и авторизация во время доступа к ресурсам.

Существует три типа субъекта-службы:

  • Приложение . Этот тип субъекта-службы является локальным представлением или экземпляром приложения глобального объекта приложения в одном клиенте или каталоге. В этом случае субъект-служба представляет собой конкретный экземпляр, созданный из объекта приложения, и наследует определенные свойства от этого объекта приложения. Субъект-служба создается в каждом клиенте, где используется приложение, и ссылается на глобальный уникальный объект приложения. Объект субъекта-службы определяет, что приложение может на самом деле делать в определенном клиенте, который может получить доступ к приложению и какие ресурсы приложение может получить к ним доступ.

    Когда приложению предоставлено разрешение на доступ к ресурсам в клиенте (при регистрации или согласии), создается объект субъекта-службы. При регистрации приложения субъект-служба создается автоматически. Вы также можете создавать объекты субъекта-службы в клиенте с помощью Azure PowerShell, Azure CLI, Microsoft Graph и других средств.

  • Управляемое удостоверение — этот тип субъекта-службы используется для представления управляемого удостоверения. Управляемые удостоверения устраняют необходимость управления учетными данными разработчиками. Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Если управляемое удостоверение включено, субъект-служба, представляющий это управляемое удостоверение, создается в клиенте. Субъекты-службы, представляющие управляемые удостоверения, могут быть предоставлены доступ и разрешения, но не могут быть обновлены или изменены напрямую.

  • Устаревшая версия. Этот тип субъекта-службы представляет устаревшее приложение, которое создается до появления регистрации приложений или приложения, созданного с помощью устаревших интерфейсов. Устаревший субъект-служба может иметь учетные данные, имена субъектов-служб, URL-адреса ответа и другие свойства, которые авторизованный пользователь может изменять, но не имеет связанной регистрации приложения. Субъект-служба может использоваться только в клиенте, где он был создан.

Сущность Microsoft Graph ServicePrincipal определяет схему свойств объекта субъекта-службы.

Страницу корпоративных приложений в Центре администрирования Microsoft Entra можно использовать для перечисления субъектов-служб в клиенте и управления ими. Вы можете просмотреть разрешения субъекта-службы, разрешения на согласие пользователя, которые пользователи сделали это согласие, войдите в систему и многое другое.

Колонка корпоративных приложений

Связь между объектами приложения и субъектами-службами

Объект приложения — это глобальное представление приложения для использования во всех клиентах, а субъект-служба — локальное представление для использования в определенном клиенте. Объект приложения служит шаблоном, из которого производные общие свойства и свойства по умолчанию используются для создания соответствующих объектов субъекта-службы.

Объект приложения имеет:

  • Связь "один к одному" с программным приложением и
  • Связь "один ко многим" с соответствующими объектами субъекта-службы

Субъект-служба должен быть создан в каждом клиенте, где используется приложение, что позволяет установить удостоверение для входа и /или доступа к ресурсам, защищенным клиентом. Однотенантное приложение имеет только один субъект-службу (в своем домашнем клиенте), созданный и согласившийся на использование во время регистрации приложения. Мультитенантное приложение также имеет субъект-службу, созданный в каждом клиенте, где пользователь из этого клиента согласился на его использование.

Вывод списка субъектов-служб, связанных с приложением

Субъекты-службы, связанные с объектом приложения, можно найти.

В Центре администрирования Microsoft Entra перейдите к обзору регистрации приложения. Выберите управляемое приложение в локальном каталоге.

Снимок экрана, показывающий управляемое приложение в локальном каталоге в обзоре.

Последствия изменения и удаления приложений

Все изменения, внесенные в объект приложения, также отражаются в его объекте субъекта-службы только в домашнем клиенте приложения (клиент, где он был зарегистрирован). Это означает, что удаление объекта приложения также приведет к удалению объекта домашнего субъекта-службы клиента. Однако восстановление этого объекта приложения с помощью пользовательского интерфейса регистрации приложений не восстановит соответствующий субъект-службу. Дополнительные сведения об удалении и восстановлении приложений и их объектах субъекта-службы см. в статье об удалении и восстановлении приложений и объектов субъекта-службы.

Пример

На следующей схеме показана связь между объектом приложения и соответствующими объектами субъекта-службы в контексте примера мультитенантного приложения, называемого приложением HR. В этом примере существует три клиента Microsoft Entra:

  • Adatum — клиент, используемый компанией, которая разработала приложение hr
  • Contoso — клиент, используемый организацией Contoso , которая является потребителем приложения отдела кадров
  • Fabrikam — клиент, используемый организацией Fabrikam , которая также использует приложение отдела кадров.

Связь между объектом приложения и объектом субъекта-службы

В этом примере сценария:

Шаг Описание
1 Процесс создания объектов приложения и субъекта-службы в домашнем клиенте приложения.
2 Когда администраторы Contoso и Fabrikam завершают согласие, в клиенте Microsoft Entra компании создается объект субъекта-службы и назначает разрешения, предоставленные администратором. Кроме того, обратите внимание, что приложение отдела кадров может быть настроено или разработано для предоставления согласия пользователям для индивидуального использования.
3 Клиенты-потребители приложения HR (Contoso и Fabrikam) имеют собственный объект субъекта-службы. Каждый представляет свое использование экземпляра приложения во время выполнения, управляемого разрешениями, предоставленными соответствующим администратором.

Дальнейшие действия

Узнайте, как создать субъект-службу: