Dela via

Hur och varför program läggs till i Microsoft Entra-ID

Det finns två representationer av program i Microsoft Entra-ID:

  • Programobjekt – Även om det finns undantag kan programobjekt betraktas som definitionen av ett program.
  • Tjänsteprinciper – Kan betraktas som en instans av en applikation. Tjänstens huvudnamn refererar vanligtvis till ett programobjekt och ett programobjekt kan refereras till av flera tjänsthuvudnamn mellan kataloger.

Vad är programobjekt och varifrån kommer de?

Du kan hantera programobjekt i administrationscentret för Microsoft Entra via Appregistreringar upplevelse. Programobjekt beskriver programmet till Microsoft Entra-ID och kan betraktas som definitionen av programmet, vilket gör att tjänsten kan veta hur token utfärdas till programmet baserat på dess inställningar. Programobjektet finns bara i dess hemkatalog, även om det är ett program med flera klientorganisationer som stöder tjänstens huvudnamn i andra kataloger. Programobjektet kan innehålla (men inte begränsat till) något av följande:

  • Namn, logotyp och utgivare
  • Omdirigerings-URI:er
  • Hemligheter (symmetriska och/eller asymmetriska nycklar som används för att autentisera programmet)
  • API-beroenden (OAuth)
  • Publicerade API:er/resurser/omfång (OAuth)
  • Apptroller
  • Metadata och konfiguration för enkel inloggning (SSO)
  • Metadata och konfiguration för användarförsörjning
  • Proxymetadata och konfiguration

Programobjekt kan skapas via flera vägar, inklusive:

  • Programregistreringar i administrationscentret för Microsoft Entra
  • Skapa ett nytt program med Visual Studio och konfigurera det för att använda Microsoft Entra-autentisering
  • När en administratör lägger till ett program från appgalleriet (som också skapar ett huvudnamn för tjänsten)
  • Använda Microsoft Graph API eller PowerShell för att skapa ett nytt program
  • Många andra, inklusive olika utvecklarupplevelser i Azure och i API Explorer-upplevelser i utvecklarcenter

Vad är tjänstprinciper och var kommer de ifrån?

Du kan hantera tjänstens huvudprincipaler i administrationscentret för Microsoft Entra via Enterprise-program. Tjänstprincipaler är det som styr ett program som ansluter till Microsoft Entra ID och kan betraktas som programmets instans i din katalog. För ett visst program kan det ha högst ett programobjekt (som är registrerat i en "hem"-katalog) och ett eller flera objekt för tjänstens huvudnamn som representerar instanser av programmet i varje katalog där det agerar.

Tjänstens huvudnamn kan innehålla:

  • En referens tillbaka till ett programobjekt via program-ID-egenskapen
  • Register över lokala användare och gruppers programrollstilldelningar
  • Register över lokala användar- och administratörsbehörigheter som har beviljats tillämpningen
    • Till exempel: behörighet för programmet att komma åt en viss användares e-post
  • Registerposter för lokala policys, inklusive policy för villkorsstyrd åtkomst
  • Register med alternativa lokala inställningar för en applikation
    • Regler för anspråkstransformering
    • Attributmappningar (användaretablering)
    • Katalogspecifika approller (om programmet stöder anpassade roller)
    • Katalogspecifikt namn eller logotyp

Precis som programobjekt kan tjänstens huvudnamn också skapas via flera vägar, inklusive:

  • När användare loggar in på ett program från tredje part integrerat med Microsoft Entra-ID
    • Under inloggningen uppmanas användarna att ge programmet behörighet att komma åt sin profil och andra behörigheter. Den första personen som ger sitt medgivande gör att ett huvudnamn för tjänsten som representerar programmet läggs till i katalogen.
  • När användare använder eller loggar in på Microsoft onlinetjänster som Microsoft 365, Microsoft Entra ID eller Microsoft Azure.
    • När du först använder en Microsoft-tjänst kan ett eller flera tjänsthuvudnamn skapas i katalogen som representerar de olika Microsoft-tjänstidentiteter som används för att leverera tjänsten. Den här "just-in-time"-tilldelningen kan inträffa när som helst, ofta som en del av en bakgrundsprocess. I sällsynta fall kan microsofts tjänsthuvudnamn som skapas också tilldelas en katalogroll, till exempel "Katalogläsare".
    • Vissa Microsoft-tjänster som SharePoint Online skapar tjänstens huvudnamn kontinuerligt för att möjliggöra säker kommunikation mellan komponenter, inklusive arbetsflöden.
  • När en administratör lägger till ett program från appgalleriet (detta skapar också ett underliggande appobjekt)
  • Lägga till ett program för att använda Microsoft Entra-programproxyn
  • Ansluta ett program för enkel inloggning med hjälp av SAML eller lösenords-SSO
  • Programmatiskt via Microsoft Graph API eller PowerShell

Ett program har ett programobjekt i sin hemkatalog som refereras av ett eller flera tjänsthuvudnamn i var och en av de kataloger där det fungerar (inklusive programmets hemkatalog).

Visar relationen mellan appobjekt och tjänstens huvudnamn

I föregående diagram underhåller Microsoft två kataloger internt (visas till vänster) som används för att publicera program:

  • En för Microsoft Apps (Microsoft-tjänster-katalog)
  • En för förintegrerade program från tredje part (appgallerikatalog)

Programutgivare/leverantörer som integreras med Microsoft Entra ID måste ha en publiceringskatalog (visas till höger som "En katalog för viss programvara som en tjänst (SaaS)").

Program som du lägger till själv (representeras som App (din) i diagrammet) inkluderar:

  • Appar som du har utvecklat (integrerade med Microsoft Entra-ID)
  • Appar som du har anslutit för enkel inloggning
  • Appar som du publicerade med hjälp av Microsoft Entra-programproxyn

Anteckningar och undantag

  • Alla tjänstens huvudnamn pekar inte tillbaka på ett programobjekt. När Microsoft Entra-ID:t ursprungligen skapades var tjänsterna som tillhandahölls till program mer begränsade och tjänstens huvudnamn var tillräckligt för att upprätta en programidentitet. Det ursprungliga tjänsthuvudnamnet liknade mer Windows Server Active Directory-tjänstkontot. Därför är det fortfarande möjligt att skapa tjänstens huvudnamn via olika vägar, till exempel att använda Microsoft Graph PowerShell, utan att först skapa ett programobjekt. Microsoft Graph API kräver ett programobjekt innan du skapar ett huvudnamn för tjänsten.
  • All information som beskrivs ovan exponeras för närvarande inte programmatiskt. Följande är endast tillgängliga i användargränssnittet:
    • Regler för anspråkstransformering
    • Attributmappningar (användaretablering)
  • Mer detaljerad information om tjänstens huvudnamn och programobjekt finns i referensdokumentationen för Microsoft Graph API:

Varför integreras program med Microsoft Entra-ID?

Program läggs till i Microsoft Entra-ID för att använda en eller flera av de tjänster som det tillhandahåller, inklusive:

  • Programautentisering och auktorisering
  • Användarautentisering och auktorisering
  • Enkel inloggning med federation eller lösenord
  • Användaretablering och synkronisering
  • Rollbaserad åtkomstkontroll (RBAC) – Använd katalogen för att definiera programroller för att utföra rollbaserade auktoriseringskontroller i ett program
  • OAuth-auktoriseringstjänster – Används av Microsoft 365 och andra Microsoft-program för att auktorisera åtkomst till API:er/resurser
  • Programpublicering och proxy – Publicera ett program från ett privat nätverk till Internet
  • Attribut för katalogschematillägg – Utöka schemat för tjänstens huvudnamn och användarobjekt för att lagra ytterligare data i Microsoft Entra-ID

Vem har behörighet att lägga till program i min Microsoft Entra-instans?

Som standardinställning har alla användare i din katalog behörighet att registrera programobjekt som de utvecklar och har frihet att bestämma över vilka program de delar och ger tillgång till sina organisationsdata med samtycke. Om en person är den första användaren i din katalog som loggar in på en applikation och beviljar medgivande, kommer detta att skapa en service principal i din klientorganisation. Annars lagras medgivandeinformationen på det befintliga tjänstens huvudkonto.

Att tillåta användare att registrera sig och samtycka till program kan till en början låta oroande, men ha följande skäl i åtanke:

  • Program har kunnat använda Windows Server Active Directory för användarautentisering i många år utan att programmet måste registreras eller registreras i katalogen. Nu har organisationen bättre insyn i exakt hur många program som använder katalogen och i vilket syfte.
  • Om du delegerar dessa ansvarsområden till användare negerar du behovet av en administratörsdriven programregistrerings- och publiceringsprocess. Med Active Directory Federation Services (ADFS) var det sannolikt att en administratör var tvungen att registrera en applikation som en förlitande part för utvecklarnas räkning. Nu kan utvecklare självbetjäna.
  • Det är positivt att användare loggar in på applikationer med sina organisationskonton för affärssyften. Om de därefter lämnar organisationen förlorar de automatiskt åtkomsten till sitt konto i programmet som de använde.
  • Att ha ett register över vilka datauppgifter som delades med vilket program är bra. Data är mer transportbara än någonsin och det är bra att ha en tydlig information om vem som delade vilka data med vilka program.
  • API-ägare som använder Microsoft Entra-ID för OAuth bestämmer exakt vilka behörigheter användarna kan bevilja program och vilka behörigheter som en administratör måste godkänna. Endast administratörer kan godkänna större omfång och mer betydande behörigheter, medan användarens medgivande begränsas till användarnas egna data och funktioner.
  • När en användare lägger till eller tillåter att ett program får åtkomst till sina data kan händelsen granskas så att du kan visa granskningsrapporterna i administrationscentret för Microsoft Entra för att avgöra hur ett program har lagts till i katalogen.

Om du fortfarande vill förhindra att användare i katalogen registrerar program och loggar in i program utan administratörsgodkännande, finns det två inställningar som du kan ändra för att inaktivera dessa funktioner:

  • Information om hur du ändrar inställningarna för användarmedgivande i din organisation finns i Konfigurera hur användarna godkänner program.

  • Så här hindrar du användare från att registrera sina egna program:

    1. I administrationscentret för Microsoft Entra bläddrar du till Användarinställningar för Entra-ID-användare>>.
    2. Ändra Användare kan registrera program till Nej.