Настройка тестовой среды Microsoft Entra приложения
Чтобы упростить перемещение приложения через жизненный цикл разработки, тестирования и рабочей среды, настройте тестовую среду Microsoft Entra. Тестовую среду Microsoft Entra можно использовать на ранних этапах разработки приложений и долгосрочной в качестве постоянной тестовой среды.
Выделенный тестовый клиент или рабочий клиент Microsoft Entra?
Первой задачей является выбор между использованием клиента Microsoft Entra, выделенного для тестирования или рабочего клиента в качестве тестовой среды.
Использование рабочего арендатора может упростить некоторые аспекты тестирования приложений, но для этого требуется обеспечить правильный уровень изоляции между тестовыми и рабочими ресурсами. Особенно важной изоляция является для сценариев с предоставлением высокого уровня привилегий.
Не используйте рабочий клиент Microsoft Entra, если:
- Приложение использует параметры, требующие уникальности на уровне арендатора. Например, вашему приложению может потребоваться доступ к ресурсам арендатора от имени самого себя, а не пользователя, с использованием разрешений только для приложения. Для доступа только к приложению требуется согласие администратора, которое применяется ко всему арендатору. Такие разрешения трудно безопасно определить в пределах арендатора.
- У вас низкая устойчивость к риску возможного несанкционированного доступа к тестовым ресурсам членами арендатора.
- Изменения конфигурации могут негативно повлиять на критически важную работу вашей рабочей среды.
- Вы не можете создавать пользователей или другие тестовые данные в своем рабочем арендаторе.
- В вашем рабочем арендаторе включены политики, которые требуют взаимодействия с пользователем во время проверки подлинности. Например, если для всех пользователей требуется многофакторная проверка подлинности, вы не можете использовать автоматический вход для тестирования интеграции.
- Добавление нерабочих ресурсов и (или) рабочей нагрузки в рабочий арендатор приведет к превышению пределов обслуживания или регулирования для арендатора.
Если какое-либо из этих ограничений применимо, настройте тестовую среду в отдельном арендаторе.
Если ни одно из этих ограничений не применяется, вы можете настроить тестовую среду в своем рабочем арендаторе. Помните, что пользователи с привилегированными ролями в рабочем клиенте (например, администратор облачных приложений) могут получать доступ к своим ресурсам и изменять конфигурацию в любое время. Чтобы предотвратить доступ к любым тестовым ресурсам или конфигурации, поместите эти данные в отдельный арендатор.
Настройка тестовой среды в отдельном арендаторе
Если вы не можете безопасно ограничить тестовое приложение в рабочем арендаторе, создайте отдельный арендатор для разработки и тестирования.
Получение тестового арендатора
Если у вас еще нет выделенного тестового арендатора, вы можете создать его бесплатно с помощью программы для разработчиков Microsoft 365 или вручную.
Присоединение к программе для разработчиков Microsoft 365 (рекомендуется)
Программа для разработчиков Microsoft 365 доступна бесплатно, а также может иметь тестовые учетные записи пользователей и образцы пакетов данных, автоматически добавленные в арендатор.
- Нажмите кнопку Присоединиться на экране.
- Войдите с помощью новой учетной записи Майкрософт или используйте существующую (рабочую) учетную запись.
- На странице регистрации выберите регион, введите название компании и примите условия программы, а затем нажмите кнопку Далее.
- Щелкните Настроить подписку. Укажите регион, в котором вы хотите создать новый клиент, создайте имя пользователя, домен и введите пароль. При этом будет создан новый клиент и первый администратор клиента.
- Введите сведения о безопасности, необходимые для защиты учетной записи администратора вашего нового арендатора. Благодаря этому будет настроена многофакторная проверка подлинности для учетной записи.
Создание арендатора вручную
Вы можете вручную создать арендатор, который после создания будет пустым и который нужно настроить с помощью тестовых данных.
Заполнение арендатора пользователями
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Для удобства вам может потребоваться пригласить себя и других членов группы разработчиков в качестве гостевых пользователей в арендатор. При этом в тестовом арендаторе будут созданы отдельные гостевые объекты. Это означает, что вам нужно управлять только одним набором учетных данных для вашей корпоративной и тестовой учетной записи.
- Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите "Новый пользователь пригласить внешнего пользователя>" и пригласите адрес электронной почты рабочей учетной записи.
- Повторите действия для других членов группы разработки и (или) тестирования вашего приложения.
В тестовом арендаторе вы также можете создавать тестовых пользователей. Если вы использовали один из образцов пакетов Microsoft 365, возможно, у вас уже есть тестовые пользователи в вашем арендаторе. В противном случае вам нужно будет создать их самостоятельно в качестве администратора клиента.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите "Создать пользователя>" и создайте в каталоге некоторые тестовые пользователи.
Получение подписки Microsoft Entra (необязательно)
Если вы хотите полностью протестировать функции Microsoft Entra ID P1 или P2 в приложении, вам потребуется зарегистрироваться для лицензии Premium P1 или Premium P2.
Если вы зарегистрировались с помощью программы разработчика Microsoft 365, тестовый клиент будет использоваться с лицензиями Microsoft Entra ID P2. Если нет, вы по-прежнему можете включить бесплатную пробную версию Microsoft Entra ID P1 или P2.
Создание и настройка регистрации приложения
Вам потребуется создать регистрацию приложения для использования в тестовой среде. Эта регистрация должна быть отдельной от вашей окончательной регистрации рабочего приложения, чтобы обеспечить изоляцию безопасности между тестовой и рабочей средой. Настройка приложения зависит от типа приложения, сборку которого вы выполняете. Дополнительные сведения см. в сценарии действий по регистрации приложений в области навигации слева, как и в этой статье по регистрации веб-приложения.
Заполнение арендатора политиками
Если приложение будет использоваться в основном в одной организации (его принято называть "один арендатор") и у вас есть доступ к этому рабочему арендатору, то следует попытаться реплицировать параметры рабочего арендатора, которые могут повлиять на реакцию вашего приложения на различные события. Это снизит вероятность непредвиденных ошибок при работе в рабочей среде.
Политики условного доступа
Репликация политик условного доступа гарантирует, что при переходе в рабочую среду не возникает непредвиденного заблокированного доступа, и приложение может соответствующим образом обрабатывать ошибки, которые, скорее всего, будут получаться.
Возможно, потребуется выполнить просмотр политик условного доступа рабочего клиента администратором условного доступа.
- Перейдите к приложениям Identity>Applications>Enterprise>с условным доступом.
- Просмотрите список политик в арендаторе. Щелкните первую из них.
- Перейдите в раздел Облачные приложения или действия.
- Если политика применяется только к выбранной группе приложений, перейдите к следующей политике. Если нет, то, скорее всего, она также будет применяться к приложению при переходе в рабочую среду. Вам следует скопировать политику в тестовый арендатор.
В новом сеансе вкладки или браузера войдите в Центр администрирования Microsoft Entra по крайней мере администратор условного доступа для доступа к тестового клиента.
- Перейдите к условному доступу к защите>.
- Выберите " Создать новую политику"
- Скопируйте параметры из политики рабочего арендатора, определенные на предыдущих этапах.
Политики предоставления разрешений
Репликация политик предоставления разрешений гарантирует, что при переходе в рабочую среду не будут появляться непредвиденные запросы на согласие администратора.
Перейдите к параметрам согласия и разрешений>для приложений>Identity>Applications>Enterprise. Скопируйте эти параметры в тестовый арендатор.
Политики времени существования токенов
Репликация политик времени существования токенов гарантирует, что срок действия токенов, выданных вашему приложению, не истечет непредвиденно во время работы.
Сейчас политиками времени существования токенов можно управлять только с помощью PowerShell. Дополнительные сведения об определении политик времени существования токенов, применяемых ко всей рабочей организации, см. в этой статье. Скопируйте эти политики в тестовый арендатор.
Настройка тестовой среды в рабочем арендаторе
Если вы можете безопасно ограничить тестовое приложение в рабочем арендаторе, не медлите с настройкой арендатора для тестирования.
Создание и настройка регистрации приложения
Вам потребуется создать регистрацию приложения для использования в тестовой среде. Эта регистрация должна быть отдельной от вашей окончательной регистрации рабочего приложения, чтобы обеспечить изоляцию безопасности между тестовой и рабочей средой. Настройка приложения зависит от типа приложения, сборку которого вы выполняете. Дополнительные сведения см. в сценарии действий по регистрации приложений в области навигации слева.
Создание нескольких тестовых пользователей
Вам потребуется создать тестовых пользователей с соответствующими тестовыми данными, которые будут использоваться при тестировании сценариев. Этот шаг, возможно, потребуется выполнить администратору.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите "Создать пользователя>" и создайте в каталоге некоторые тестовые пользователи.
Добавление тестовых пользователей в группу (необязательно)
Для удобства вы можете назначить всех этих пользователей группе. Это упростит выполнение других операций назначения.
- Перейдите к группам>удостоверений>Все группы.
- Выберите Создать группу.
- В качестве типа группы выберите Безопасность или Microsoft 365.
- Назовите вашу группу.
- Добавьте тестовых пользователей, созданных во время выполнения предыдущего шага.
Ограничение тестового приложения определенными пользователями
В арендаторе вы можете ограничить число пользователей, которым разрешено использовать тестовое приложение, определив пользователей или группы с помощью назначения пользователей. При создании приложения с помощью средства регистрации приложений было также создано представление приложения в Корпоративных приложениях. Используйте параметры Корпоративные приложения, чтобы ограничить круг пользователей, которые могут использовать приложение в вашем арендаторе.
Внимание
Если ваше приложение имеет нескольких арендаторов, эта операция не будет ограничивать пользователям ни вход в другие арендаторы, ни использование вашего приложения. Будут ограничены только пользователи в арендаторе, в котором настроено назначение пользователей.
Подробные инструкции по ограничению работы приложения определенными пользователями в арендаторе см. в этой статье.
Следующие шаги
Узнайте о ограничениях использования Microsoft Entra и ограничениях служб, которые можно получить здесь. Сведения об ограничениях подписок и служб Azure можно найти здесь.
Дополнительные сведения о тестовых средах см. в статье "Защита сред Azure с помощью идентификатора Microsoft Entra".