Forgatókönyv: Webes API-kat hívó démonalkalmazás

  • Cikk

Ez a forgatókönyv bemutatja, hogyan hozhat létre egy démonalkalmazást, amely webes API-kat hív meg.

Áttekintés

Az alkalmazás jogkivonatot szerezhet be egy webes API meghívásához saját nevében (nem egy felhasználó nevében). Ez a forgatókönyv démonalkalmazások esetében hasznos. A szabványos OAuth 2.0 ügyfél-hitelesítő adatokat használja.

Daemon apps

Néhány példa a démonalkalmazások használati eseteire:

  • Webalkalmazások, amelyek felhasználók kiépítésére vagy felügyeletére szolgálnak, vagy kötegelt folyamatokat hajtanak végre egy címtárban
  • Kötegelt feladatokat végző asztali alkalmazások (például Windows-szolgáltatások Windows rendszeren vagy démonfolyamatok Linuxon) vagy a háttérben futó operációsrendszer-szolgáltatás
  • Olyan webes API-k, amelyek könyvtárakat kell manipulálni, nem pedig adott felhasználókat

Van egy másik gyakori eset, amikor a nem démoni alkalmazások ügyfél-hitelesítő adatokat használnak, még akkor is, ha a felhasználók nevében járnak el. Ez akkor fordul elő, ha technikai okokból egy webes API-t vagy erőforrást kell elérniük a saját identitásuk alatt. Ilyen például a titkos kódok elérése az Azure Key Vaultban vagy az Azure SQL Database-ben a gyorsítótárhoz.

Nem helyezhet üzembe démonalkalmazást egy normál felhasználó eszközén, és egy normál felhasználó nem fér hozzá a démonalkalmazásokhoz. Csak korlátozott számú informatikai rendszergazda férhet hozzá azokhoz az eszközökhöz, amelyeken démonalkalmazások futnak. Ez azért van, hogy egy rossz szereplő ne férhessen hozzá az ügyfél titkos kulcsához vagy jogkivonatához az eszközforgalomból, és a démonalkalmazás nevében járjon el. A démonalkalmazás-forgatókönyv nem helyettesíti az eszközhitelesítést.

Példák nem démonalkalmazásokra:

  • Olyan mobilalkalmazás, amely egy alkalmazás nevében fér hozzá egy webszolgáltatáshoz, de nem egy felhasználó nevében.
  • Olyan IoT-eszköz, amely egy eszköz nevében fér hozzá egy webszolgáltatáshoz, de nem a felhasználó nevében.

Azok az alkalmazások, amelyek jogkivonatot szereznek be a saját identitásaikhoz:

  • A bizalmas ügyfélalkalmazások, mivel a felhasználóktól függetlenül férnek hozzá az erőforrásokhoz, igazolniuk kell személyazonosságukat. A Microsoft Entra bérlői rendszergazdáinak jóváhagyást kell adniuk ezekhez a meglehetősen érzékeny alkalmazásokhoz.
  • Regisztrált egy titkos kulcsot (alkalmazásjelszót vagy tanúsítványt) a Microsoft Entra-azonosítóval. Ez a titkos kód a Microsoft Entra-azonosítóhoz való hívás során kerül átadásra a jogkivonat lekéréséhez.

Sajátosságai

A felhasználók nem használhatnak démonalkalmazásokat, mert saját identitást igényelnek. Az ilyen típusú alkalmazás hozzáférési jogkivonatot kér az alkalmazás identitásának használatával, és bemutatja az alkalmazásazonosítóját, hitelesítő adatait (jelszavát vagy tanúsítványát), valamint az alkalmazásazonosító URI-ját a Microsoft Entra-azonosítónak. A sikeres hitelesítés után a démon hozzáférési jogkivonatot (és frissítési jogkivonatot) kap a Microsoft Identitásplatform. Ez a jogkivonat ezután a webes API meghívására szolgál (és szükség szerint frissül).

Mivel a felhasználók nem használhatják a démonalkalmazásokat, a növekményes hozzájárulás nem lehetséges. Az összes szükséges API-engedélyt konfigurálni kell az alkalmazásregisztráció során. Az alkalmazás kódja csak statikusan definiált engedélyeket kér. Ez azt is jelenti, hogy a démonalkalmazások nem támogatják a növekményes hozzájárulást.

A fejlesztők számára a forgatókönyv végpontok közötti élménye a következő szempontokat tartalmazza:

  • A démonalkalmazások csak a Microsoft Entra-bérlőkben működnek. Nem lenne értelme olyan démonalkalmazást létrehozni, amely megpróbálja manipulálni a Microsoft személyes fiókjait. Ha Ön üzletági (LOB) alkalmazásfejlesztő, a démonalkalmazást a bérlőjében fogja létrehozni. Ha független szoftverszállító, érdemes lehet több-bérlős démonalkalmazást létrehoznia. Minden bérlői rendszergazdának meg kell adnia a hozzájárulást.
  • Az alkalmazásregisztráció során nincs szükség a válasz URI-ra. Titkos kulcsok, tanúsítványok vagy aláírt állítások megosztása a Microsoft Entra-azonosítóval. Emellett alkalmazásengedélyeket kell kérnie, és rendszergazdai hozzájárulást kell adnia az alkalmazásengedélyek használatához.
  • Az alkalmazáskonfigurációnak meg kell adnia a Microsoft Entra-azonosítóval megosztott ügyfél-hitelesítő adatokat az alkalmazásregisztráció során.
  • Az ügyfél hitelesítőadat-folyamatával rendelkező jogkivonat beszerzéséhez használt hatókörnek statikus hatókörnek kell lennie.

Ha az OAuth 2.0-val és az OpenID Csatlakozás, vagy akár csak most ismerkedik az identitás- és hozzáférés-kezeléssel (IAM) az Microsoft Identitásplatform, az alábbi cikkeknek magasnak kell lenniük az olvasási listán.

Bár az első rövid útmutató vagy oktatóanyag elvégzése előtt nem szükséges elolvasni, a platform szerves részét képező témaköröket fedik le, és azok ismerete segít az összetettebb forgatókönyvek létrehozása során.

Hitelesítés és engedélyezés

Microsoft Identitásplatform

Következő lépések

Lépjen tovább a következő cikkre ebben a forgatókönyvben, az alkalmazásregisztrációban.