نظرة عامة على التحكم في الوصول حسب دور Azure Active Directory

  • مقالة
  • قراءة خلال 4 دقائق

توضح هذه المقالة كيفية فهم التحكم في الوصول حسب دور Azure Active Directory (Azure AD). تتيح لك أدوار Azure AD منح أذونات متعددة المستويات لمسؤوليك، وفقا للالتزام مبدأ الامتياز الأقل. تعمل الأدوار المضمنة والمخصصة في Azure AD على مفاهيم مشابهة لتلك التي ستجدها في نظام التحكم في الوصول حسب الدور لموارد Azure (أدوار Azure). الفرق بين هذين النظامين للتحكم في الوصول حسب الدور هو:

  • تتحكم أدوار Azure AD في الوصول إلى موارد Azure AD مثل المستخدمين، والمجموعات، والتطبيقات باستخدام Graph API.
  • تتحكم أدوار Azure في الوصول إلى موارد Azure مثل الأجهزة الظاهرية أو التخزين باستخدام إدارة موارد Azure

يحتوي كلا النظامين على تعريفات الأدوار وتعيينات الأدوار المستخدمة بشكل مماثل. ومع ذلك، لا يمكن استخدام أذونات دور Azure AD في أدوار Azure المخصصة والعكس صحيح.

التعرف على التحكم في الوصول حسب دور Azure AD

يدعم Azure AD نوعين من تعريفات الأدوار:

الأدوار المضمنة هي أدوار خارج الصندوق التي تحتوي على مجموعة ثابتة من الأذونات. لا يمكن تعديل تعريفات الأدوار هذه. هناك العديد من الأدوار المضمنة التي يدعمها Azure AD، والقائمة آخذة في التزايد. لتقريب الحواف وتلبية متطلباتك المتطورة، يدعم Azure AD أيضا الأدوار المخصصة. منح الإذن باستخدام أدوار Azure AD المخصصة هو عملية من خطوتين تتضمن إنشاء تعريف دور مخصص ثم تعيينه باستخدام تعيين دور. تعريف دور مخصص هو مجموعة من الأذونات التي تضيفها من قائمة محددة مسبقا. هذه الأذونات هي نفس الأذونات المستخدمة في الأدوار المضمنة.

بمجرد إنشاء تعريف الدور المخصص الخاص بك (أو استخدام دور مضمن)، يمكنك تعيينه لمستخدم عن طريق إنشاء مهمة دور. يمنح تعيين الدور المستخدم الأذونات في تعريف دور في نطاق محدد. تتيح لك هذه العملية المكونة من خطوتين إنشاء تعريف دور واحد وتعيينه عدة مرات في نطاقات مختلفة. يحدد النطاق مجموعة موارد Azure AD التي يمكن لعضو الدور الوصول إليها. النطاق الأكثر شيوعا هو نطاق على مستوى المؤسسة (على مستوى المؤسسة). يمكن تعيين دور مخصص في نطاق على مستوى المؤسسة، مما يعني أن عضو الدور لديه أذونات الدور على جميع الموارد في المؤسسة. يمكن أيضًا تعيين دور مخصص في نطاق الكائن. وقد يتمثل المثال على نطاق الكائن في تطبيق واحد. يمكن تعيين نفس الدور لمستخدم واحد عبر كافة التطبيقات في المؤسسة ثم إلى مستخدم آخر بنطاق تطبيق تقارير مصروفات Contoso فقط.

كيف يحدد Azure AD ما إذا كان لدى المستخدم حق الوصول إلى مورد

فيما يلي خطوات عالية المستوى التي يستخدمها Azure AD لتحديد ما إذا كان لديك حق الوصول إلى مورد إدارة. استخدم هذه المعلومات لاستكشاف مشكلات الوصول وإصلاحها.

  1. يحصل مستخدم (أو كيان الخدمة) على رمز مميز لنقطة نهاية Graph Microsoft
  2. يقوم المستخدم بإجراءاستدعاء واجهة برمجة التطبيقات للنظام إلى (دليل Azure النشط) عبر Microsoft Graph باستخدام الرمز المميز الصادر.
  3. اعتمادا على الظروف، يتخذ Azure AD أحد الإجراءات التالية:
    • يقيِّم عضويات دور المستخدم بناءً على مطالبة wids في رمز وصول المستخدم.
    • استرداد كافة تعيينات الدور التي تنطبق على المستخدم، إما مباشرة أو عن طريق عضوية المجموعة، إلى المورد الذي يتم اتخاذ الإجراء عليه.
  4. يحدد Azure AD ما إذا كان الإجراء في استدعاء API مضمنا في الأدوار التي يقوم بها المستخدم لهذا المورد.
  5. إذا لم يكن للمستخدم دور مع الإجراء في النطاق المطلوب، لا يتم منح حق الوصول. وإلا يتم منح حق الوصول.

تعيين الدور

تعيين دور هو مورد Azure AD الذي يقوم بإرفاق تعريف دور لمبدأ مؤمن في نطاق معين لمنح حق الوصول إلى موارد Azure AD. يتم منح الوصول عن طريق إنشاء تعيين دور، ويتم إبطال الوصول عن طريق إزالة تعيين دور. في جوهرها، يتألف تعيين دور من ثلاثة عناصر:

  • أمان أساسي - الهوية التي تحصل على الأذونات. قد يكون مستخدم أو مجموعة أو خدمة أساسية.
  • تعريف الدور - مجموعة من الأذونات.
  • النطاق - طريقة لتقييد مكان تطبيق هذه الأذونات.

يمكنك إنشاء تعيينات الأدوار وسرد تعيينات الأدوار باستخدام مدخل Azure أو Azure AD PowerShell أو Microsoft Graph API. لا يتم اعتماد Azure CLI لتعيينات دور Azure AD.

يوضح الرسم التخطيطي التالي مثالا لتعيين دور. في هذا المثال، تم تعيين دور مسؤول تسجيل التطبيق المخصص لكريس في نطاق تسجيل تطبيق Contoso Widget Builder. يمنح التعيين Chris أذونات دور مسؤول تسجيل التطبيق لتسجيل هذا التطبيق المخصص فقط.

Role assignment is how permissions are enforced and has three parts.

أساس الأمان

يمثل مبدأ الأمان مستخدمًا أو مجموعة أو مدير خدمة تم تعيينه للوصول إلى موارد Azure AD. المستخدم هو فرد لديه ملف تعريف مستخدم في Azure Active Directory. مجموعة هي مجموعة Microsoft 365 أو أمان جديدة مع تعيين الخاصية AssignableToRole إلي حقيقي (حالياً في المعاينة). إن كيان الخدمة عبارة عن هوية أُنشئت لتُستخدم مع التطبيقات والخدمات المستضافة والأدوات المؤتمتة للوصول إلى موارد Azure.

تعريف قاعدة

تعريف دور، أو الدور، هو مجموعة من الأذونات. يسرد تعريف الدور العمليات التي يمكن إجراؤها على موارد Azure AD، مثل الإنشاء، والقراءة، والتحديث والحذف. هناك نوعان من الأدوار في Azure AD:

  • الأدوار المضمنة التي أنشأتها Microsoft ولا يمكن تغييرها.
  • الأدوار المخصصة التي أنشأتها مؤسستك وأدارتها.

النطاق

النطاق هو طريقة للحد من الإجراءات المسموح بها إلى مجموعة معينة من الموارد كجزء من تعيين دور. على سبيل المثال، إذا كنت تريد تعيين دور مخصص إلى مطور، ولكن فقط لإدارة تسجيل تطبيق معين، يمكنك تضمين تسجيل تطبيق معين كنطاق في تعيين الدور.

عند تعيين دور، يمكنك تحديد أحد أنواع النطاق التالية:

إذا قمت بتحديد مورد إعلان Azure كنطاق، يمكن أن يكون أحد ما يلي:

  • مجموعات Azure AD
  • تطبيقات المؤسسة
  • تسجيلات الطلبات

لمزيد من المعلومات، راجعتعيين أدوار Azure AD في نطاقات مختلفة

متطلبات الترخيص

استخدام الأدوار المضمنة في Azure AD مجاني، بينما تتطلب الأدوار المخصصة ترخيصAzure AD Premium P1. للعثور على الترخيص المناسب لمتطلباتك، راجع مقارنة الميزات المتوفرة بشكل عام للإصدارات المجانية والمميزة.

الخطوات التالية