Azure AD (7) 应用程序和服务主体 (App and Service Principal)

　　《Windows Azure Platform 系列文章目录》

　　

　　在Azure Active Directory (Azure AD)的上下文中，应用程序的概念可能会被误解。在这里简单介绍Azure AD应用程序集成的概念和具体方面，并举例说明了多租户应用程序的注册和集成。

 

　　概述：

　　与Azure AD集成的应用程序所具有的含义超出了软件方面。 “应用程序”经常用作概念性术语，不仅指应用程序软件，还指其Azure AD注册以及在运行时在身份验证/授权“对话”中的角色。

 　　根据定义，应用程序具有以下功能：

　　1.客户端角色 (消耗资源)

　　2.资源服务器角色 (向客户端公开API)

　　3.客户端角色和资源服务器角色

　　OAuth 2.0授权授予流定义了会话协议，该协议允许客户端/资源分别访问/保护资源的数据

 

 　　在以下内容中，我们将看到Azure AD应用程序模型如何在设计时和运行时表示应用程序

 

　　应用注册

　　我们在Azure AD中注册一个应用程序，我们会创建2个对象

　　1.一个应用程序对象

　　2.一个服务主体对象

 

　　应用程序对象

　　Azure AD应用程序由其唯一的应用程序对象定义，该对象位于应用程序注册所在的Azure AD租户中，称为应用程序的“主”租户。 Microsoft Graph Application实体为应用程序对象的属性定义架构。

 

　　服务主体对象

　　若要访问由Azure AD租户保护的资源，必须由安全主体代表需要访问的实体。对于用户（用户主体）和应用程序（服务主体）都是如此。　　

　　安全主体定义Azure AD租户中用户/应用程序的访问策略和权限。这启用了核心功能，例如登录期间对用户/应用程序的身份验证以及资源访问期间的授权。

　　当一个应用程序被授予访问租户中资源的权限时（注册或同意时），将创建服务主体对象。 Microsoft Graph ServicePrincipal实体为服务主体对象的属性定义架构。

 

　　应用程序和服务主体关系

　　将应用程序对象视为在所有租户中使用的应用程序的全局表示形式，并将服务主体视为在特定租户中使用的本地表示形式。

　　应用程序对象用作模板，从该模板派生通用属性和默认属性以用于创建相应的服务主体对象。因此，应用程序对象与软件应用程序具有1：1关系，与其对应的服务主体对象具有1：1：1关系。

　　必须在使用该应用程序的每个租户中创建一个服务主体，使其能够为登录和/或访问由租户保护的资源建立身份。单租户应用程序只有一个服务主体（在其家庭租户中），创建并同意在应用程序注册期间使用。多租户Web应用程序/ API还具有在每个租户中创建的服务主体，来自该租户的用户已同意使用该服务主体。

　　

 

　　参考文档：

　　https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals