Descripción de las experiencias de consentimiento de la aplicación de Azure ADUnderstanding Azure AD application consent experiences

Aprenda más acerca de la experiencia del usuario para el consentimiento de la aplicación de Azure Active Directory (Azure AD).Learn more about the Azure Active Directory (Azure AD) application consent user experience. Por lo que puede administrar las aplicaciones para su organización o desarrollar aplicaciones de manera inteligente con una experiencia de consentimiento más sencilla.So you can intelligently manage applications for your organization and/or develop applications with a more seamless consent experience.

El consentimiento es el proceso por el cual un usuario concede autorización para que una aplicación acceda a recursos protegidos en su nombre.Consent is the process of a user granting authorization to an application to access protected resources on their behalf. Se puede solicitar el consentimiento a un administrador o usuario para que permita el acceso a los datos de la organización o de personas.An admin or user can be asked for consent to allow access to their organization/individual data.

La experiencia real del usuario para otorgar el consentimiento variará en función de las directivas establecidas en el inquilino del usuario, el ámbito de autoridad del usuario (o su rol) y el tipo de permisos que solicita la aplicación cliente.The actual user experience of granting consent will differ depending on policies set on the user's tenant, the user's scope of authority (or role), and the type of permissions being requested by the client application. Esto significa que los desarrolladores de aplicaciones y los administradores de inquilinos tienen cierto control sobre la experiencia de consentimiento.This means that application developers and tenant admins have some control over the consent experience. Los administradores tienen la flexibilidad de configurar y deshabilitar las directivas en una aplicación o inquilino para controlar la experiencia de consentimiento en su inquilino.Admins have the flexibility of setting and disabling policies on a tenant or app to control the consent experience in their tenant. Los desarrolladores de aplicaciones pueden dictar qué tipos de permiso se solicitan y si quieren guiar a los usuarios a través del flujo de consentimiento del usuario o el flujo de consentimiento del administrador.Application developers can dictate what types of permissions are being requested and if they want to guide users through the user consent flow or the admin consent flow.

  • El flujo de consentimiento del usuario es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de autorización con la intención de registrar el consentimiento solo para el usuario actual.User consent flow is when an application developer directs users to the authorization endpoint with the intent to record consent for only the current user.
  • El flujo de consentimiento del administrador es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de consentimiento del administrador con la intención de registrar el consentimiento para todo el inquilino.Admin consent flow is when an application developer directs users to the admin consent endpoint with the intent to record consent for the entire tenant. Para asegurarse de que el flujo de consentimiento del administrador funcione correctamente, los desarrolladores de aplicaciones deben enumerar todos los permisos en la propiedad RequiredResourceAccess en el manifiesto de aplicación.To ensure the admin consent flow works properly, application developers must list all permissions in the RequiredResourceAccess property in the application manifest. Para más información, consulte Manifiesto de aplicación.For more info, see Application manifest.

La petición de consentimiento está diseñada para garantizar que los usuarios tengan suficiente información para determinar si confían en que la aplicación cliente acceda a recursos protegidos en su nombre.The consent prompt is designed to ensure users have enough information to determine if they trust the client application to access protected resources on their behalf. Comprender los bloques de creación ayudará a los usuarios que otorgan consentimientos a tomar decisiones más informadas y ayudará a los desarrolladores a crear mejores experiencias de usuario.Understanding the building blocks will help users granting consent make more informed decisions and it will help developers build better user experiences.

En el diagrama y la tabla siguientes se proporciona información sobre los bloques de creación de la petición de consentimiento.The following diagram and table provide information about the building blocks of the consent prompt.

Bloques de creación de la petición de consentimiento

# ComponenteComponent PropósitoPurpose
11 Identificador de usuarioUser identifier Este identificador representa al usuario en cuyo nombre la aplicación cliente solicita acceso a recursos protegidos.This identifier represents the user that the client application is requesting to access protected resources on behalf of.
22 TítuloTitle El título cambia en función de si los usuarios siguen el flujo de consentimiento del usuario o del administrador.The title changes based on whether the users are going through the user or admin consent flow. En el flujo de consentimiento del usuario, el título será "Permisos solicitados", mientras que en el flujo de consentimiento del administrador, el título tendrá una línea adicional "Aceptar para su organización".In user consent flow, the title will be “Permissions requested” while in the admin consent flow the title will have an additional line “Accept for your organization”.
33 Logotipo de la aplicaciónApp logo Esta imagen debe ayudar a los usuarios a tener una indicación visual de si esta aplicación es la aplicación a la que pretenden acceder.This image should help users have a visual cue of whether this app is the app they intended to access. Los desarrolladores de aplicaciones proporcionan esta imagen, y no se valida la propiedad de esta imagen.This image is provided by application developers and the ownership of this image isn't validated.
44 Nombre de la aplicaciónApp name Este valor debe informar a los usuarios qué aplicación solicita acceso a sus datos.This value should inform users which application is requesting access to their data. Tenga en cuenta que los desarrolladores proporcionan este nombre, y no se valida la propiedad del nombre de esta aplicación.Note this name is provided by the developers and the ownership of this app name isn't validated.
55 Dominio de editorPublisher domain Este valor debe proporcionar a los usuarios un dominio cuya confiabilidad puedan evaluar.This value should provide users with a domain they may be able to evaluate for trustworthiness. Los desarrolladores proporcionan este dominio, y no se valida la propiedad de este dominio de editor.This domain is provided by the developers and the ownership of this publisher domain is validated.
66 PermisosPermissions Esta lista contiene los permisos solicitados por la aplicación cliente.This list contains the permissions being requested by the client application. Los usuarios deben evaluar siempre los tipos de permisos que se solicitan a fin de comprender a qué datos estará autorizada a acceder en su nombre la aplicación cliente si aceptan.Users should always evaluate the types of permissions being requested to understand what data the client application will be authorized to access on their behalf if they accept. Como desarrollador de aplicaciones es mejor solicitar acceso a los permisos con los privilegios mínimos.As an application developer it is best to request access, to the permissions with the least privilege.
77 Descripción del permisoPermission description El servicio que expone los permisos proporciona este valor.This value is provided by the service exposing the permissions. Para ver las descripciones de los permisos, debe activar o desactivar el botón de contenido adicional junto al permiso.To see the permission descriptions, you must toggle the chevron next to the permission.
88 Términos de la aplicaciónApp terms Estos términos contienen vínculos a los términos de servicio y la declaración de privacidad de la aplicación.These terms contain links to the terms of service and privacy statement of the application. El editor es responsable de detallar sus reglas en las condiciones de servicio.The publisher is responsible for outlining their rules in their terms of service. Además, el editor es responsable de divulgar la forma en que usará y compartirá los datos de usuario en su declaración de privacidad.Additionally, the publisher is responsible for disclosing the way they use and share user data in their privacy statement. Si el editor no proporciona vínculos a estos valores para las aplicaciones multiinquilino, habrá una advertencia en negrita en la petición de consentimiento.If the publisher doesn't provide links to these values for multi-tenant applications, there will be a bolded warning on the consent prompt.
99 https://myapps.microsoft.com Este es el vínculo donde los usuarios pueden revisar y quitar las aplicaciones que no son de Microsoft que actualmente tienen acceso a sus datos.This is the link where users can review and remove any non-Microsoft applications that currently have access to their data.

Estas son las experiencias de consentimiento que un usuario puede ver en los escenarios de consentimiento comunes:Here are the consent experiences that a user may see in the common consent scenarios:

  1. Personas que acceden a una aplicación que los dirige al flujo de consentimiento del usuario, a la vez que se requiere un conjunto de permisos que se encuentra dentro de su ámbito de autoridad.Individuals accessing an app that directs them to the user consent flow while requiring a permission set that is within their scope of authority.

    1. Los administradores verán un control adicional en la petición de consentimiento tradicional que les permitirá dar su consentimiento en nombre de todo el inquilino.Admins will see an additional control on the traditional consent prompt that will allow them consent on behalf of the entire tenant. El control estará desactivado de manera predeterminada, por lo que solo cuando los administradores marquen la casilla explícitamente se otorgará el consentimiento en nombre de todo el inquilino.The control will be defaulted to off, so only when admins explicitly check the box will consent be granted on behalf of the entire tenant. En este momento, esta casilla solo se mostrará para el rol de administrador global, por lo que el administrador en la nube y el administrador de aplicaciones no verán esta casilla.As of today, this check box will only show for the Global Admin role, so Cloud Admin and App Admin will not see this checkbox.

      Petición de consentimiento para el escenario 1a

    2. Los usuarios verán la petición de consentimiento tradicional.Users will see the traditional consent prompt.

      Captura de pantalla que muestra la petición de consentimiento tradicional.

  2. Personas que accedan a una aplicación que requiera al menos un permiso que está fuera de su ámbito de autoridad.Individuals accessing an app that requires at least one permission that is outside their scope of authority.

    1. Los administradores verán la misma petición que la 1.i anterior.Admins will see the same prompt as 1.i shown above.

    2. Los usuarios no podrá otorgar consentimiento a la aplicación y se les indicará que pidan al administrador acceso a la aplicación.Users will be blocked from granting consent to the application, and they will be told to ask their admin for access to the app.

      Captura de pantalla de la petición de consentimiento que indica al usuario que solicite a un administrador el acceso a la aplicación.

  3. Personas que navegan o se las dirige al flujo de consentimiento del administrador.Individuals that navigate or are directed to the admin consent flow.

    1. Los usuarios administradores verán la petición de consentimiento del administrador.Admin users will see the admin consent prompt. El título y las descripciones de permisos cambiaron en esta petición, los cambios destacan el hecho de que, al aceptar esta petición, se otorgará a la aplicación acceso a los datos solicitados en el nombre de todo el inquilino.The title and the permission descriptions changed on this prompt, the changes highlight the fact that accepting this prompt will grant the app access to the requested data on behalf of the entire tenant.

      Petición de consentimiento para el escenario 1b

    2. Los usuarios sin privilegios de administrador verán la misma pantalla que 2.ii anterior.Non-admin users will see the same screen as 2.ii shown above.

Pasos siguientesNext steps