Dies wird kein Blogpost im eigentlichen Sinn. Stattdessen werde ich schlicht eine Liste zur Verfügung stellen mit EntraID Public Clients und den Berechtigungen, die sie auf bestimmte Ressourcen haben. Doch zunächst einmal was sind Public Clients. Doch kurz ein oder zwei Grundlagen. EntraID ist die zentrale Authentifizierungs-Stelle im Microsoft Cloud Universum. Es bietet verschiedene Protokolle an um eine Anmeldung in der Azure Cloud und den damit verbunden Ressourcen oder Diensten durchzuführen. Das bekannteste und am meisten genutzte Protokoll dürfte OAuth2 mit OpenID Connect sein. Jetzt werde ich hier nicht über OAuth2 oder OpenID Connect schreiben. Zu dem Thema gibt es genug Blogs und viele Menschen da draußen, die die Themen besser verstehen als ich.
Wenn ihr euch in EntraID anmeldet, dann nutzt ihr in der Regel einen Client. Ein Clients ist vereinfacht gesagt, eine Software (Azure PowerShell) oder ein Web-Portal (Entra Portal) das ihr nutzt um auf Ressourcen in Entra zuzugreifen. Diese Clients können “Public” oder “Confidential” sein. Confidential Clients besitzen ein Secret (oder ein Zertifikat) mit dem sie sich entweder zusammen mit euren Zugangsdaten oder auch selbständig in EntraID anmelden können. Für Anwendungen wie die Azure Powershell oder rein Client-seitige JavaScript Anwendungen würde das kein Sinn machen. Da ihr die Anwendung unterkontrolle habt und damit das notwendige Schlüsselmaterial aus der Anwendung extrahieren könntet.
Daher gibt es noch sogenannte “Public” Clients. Die haben keine eigenen Zugangsdaten und können daher auch nicht selbständig in EntraID agieren. Damit das ganze jetzt funktioniert, muss ganz nach OAuth2-Spezifikation, dem Client vorher Berechtigungen gegeben werden. Das könnt ihr entweder selbst tun oder das macht der Administrator für euch.