探索服務主體

  • 3 分鐘

若要將身分識別和存取管理功能委派給 Microsoft Entra ID,必須向 Microsoft Entra 租用戶註冊應用程式。 當您向 Microsoft Entra ID 註冊應用程式時,會建立應用程式的身分識別設定,以讓它與 Microsoft Entra ID 整合。 當您在 Azure 入口網站中註冊應用程式時,您可以選擇應用程式是否為:

  • 單一租用戶:只能在您的租用戶中存取
  • 多租用戶:可在其他租用戶中存取

如果您在入口網站中註冊應用程式,則會自動在您的主租用戶中建立應用程式物件 (應用程式的全域唯一執行個體) 和服務主體物件。 您也有應用程式的全域唯一識別碼 (應用程式或用戶端識別碼)。 在入口網站中,您則可以新增祕密或憑證和範圍來讓您的應用程式運作、在登入對話方塊中自訂應用程式的商標等等。

注意

您也可以使用 Azure PowerShell、Azure CLI、Microsoft Graph 和其他工具,在租用戶中建立服務主體物件。

Application 物件

Microsoft Entra 應用程式會限定為其獨一無二的應用程式物件。 該應用程式物件位於應用程式註冊所在的 Microsoft Entra 租用戶 (也稱為應用程式的「主要」租用戶)。 應用程式物件會用來做為範本或藍圖,以建立一或多個服務主體物件。 服務主體會建立於使用應用程式的每個租用戶中。 與物件導向程式設計中的類別相似,應用程式物件具有一些套用至所有建立的服務主體 (或應用程式執行個體) 的靜態屬性。

應用程式物件描述應用程式的三個層面:

  • 服務如何發行權杖以存取應用程式。
  • 應用程式可能需要存取的資源。
  • 應用程式可以採取的動作。

Microsoft Graph 應用程式實體定義應用程式物件屬性的結構描述。

服務主體物件

若要存取 Microsoft Entra 租用戶所保護的資源,正在要求存取權的實體必須以安全性主體代表。 這適用於使用者 (使用者主體) 和應用程式 (服務主體)。

安全性主體會定義 Microsoft Entra 租用戶中使用者/應用程式的存取原則和權限。 這可啟用核心功能,例如在登入期間的使用者/應用程式驗證,以及在資源存取期間的授權。

服務主體有三種類型:

  • 應用程式 - 服務主體的類型是單一租用戶或目錄中全域應用程式物件的本機標記法或應用程式執行個體。 服務主體會建立於使用應用程式的每個租用戶中,並參考全域唯一的應用程式物件。 服務主體物件會定義應用程式實際上可在特定租用戶中進行的動作、可存取應用程式的人員,以及應用程式可存取的資源。

  • 受控識別 - 此類型的服務主體可用來代表 受控識別。 受控識別可為應用程式提供身分識別,以便在連線至支援 Microsoft Entra 驗證的資源時使用。 啟用受控識別時,會在租用戶中建立代表該受控識別的服務主體。 代表受控識別的服務主體可獲授與存取權和權限,但無法直接更新或修改這些項目。

  • 舊版 - 此類型的服務主體代表舊版應用程式,也就是在引進應用程式註冊之前建立的應用程式,或是透過舊版體驗建立的應用程式。 舊版服務主體可以具有:

    • credentials
    • 服務主體名稱
    • 回覆 URL
    • 以及授權使用者可編輯但沒有相關聯應用程式註冊的其他屬性。

應用程式物件與服務主體之間的關聯性

應用程式物件為應用程式的全域代表 (用於所有租用戶),而服務主體為本機代表 (用於特定租用戶)。 應用程式物件作為範本,可從中「衍生」通用和預設屬性,用以建立相對應的服務主體物件。

應用程式物件具有:

  • 與軟體應用程式的一對一關聯性,以及
  • 與其對應服務主體物件的一對多關聯性。

每個租用戶中都必須建立服務主體,而在租用戶中,會使用應用程式來建立身分識別以登入和/或存取租用戶所保護的資源。 單一租用戶的應用程式只能有一個服務主體 (在其主租用戶中),並在應用程式註冊期間建立和同意使用。 一個多租用戶應用程式也會在每個租用戶中建立一個服務主體,其中該租用戶的使用者已同意使用。