Descripción de las experiencias de consentimiento de la aplicación de Azure AD

Aprenda más acerca de la experiencia del usuario para el consentimiento de la aplicación de Azure Active Directory (Azure AD). Por lo que puede administrar las aplicaciones para su organización o desarrollar aplicaciones de manera inteligente con una experiencia de consentimiento más sencilla.

El consentimiento es el proceso por el cual un usuario concede autorización para que una aplicación acceda a recursos protegidos en su nombre. Se puede solicitar el consentimiento a un administrador o usuario para que permita el acceso a los datos de la organización o de personas.

La experiencia real del usuario para otorgar el consentimiento variará en función de las directivas establecidas en el inquilino del usuario, el ámbito de autoridad del usuario (o su rol) y el tipo de permisos que solicita la aplicación cliente. Esto significa que los desarrolladores de aplicaciones y los administradores de inquilinos tienen cierto control sobre la experiencia de consentimiento. Los administradores tienen la flexibilidad de configurar y deshabilitar las directivas en una aplicación o inquilino para controlar la experiencia de consentimiento en su inquilino. Los desarrolladores de aplicaciones pueden dictar qué tipos de permiso se solicitan y si quieren guiar a los usuarios a través del flujo de consentimiento del usuario o el flujo de consentimiento del administrador.

  • El flujo de consentimiento del usuario es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de autorización con la intención de registrar el consentimiento solo para el usuario actual.
  • El flujo de consentimiento del administrador es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de consentimiento del administrador con la intención de registrar el consentimiento para todo el inquilino. Para asegurarse de que el flujo de consentimiento del administrador funcione correctamente, los desarrolladores de aplicaciones deben enumerar todos los permisos en la propiedad RequiredResourceAccess en el manifiesto de aplicación. Para más información, consulte Manifiesto de aplicación.

La petición de consentimiento está diseñada para garantizar que los usuarios tengan suficiente información para determinar si confían en que la aplicación cliente acceda a recursos protegidos en su nombre. Comprender los bloques de creación ayudará a los usuarios que otorgan consentimientos a tomar decisiones más informadas y ayudará a los desarrolladores a crear mejores experiencias de usuario.

En el diagrama y la tabla siguientes se proporciona información sobre los bloques de creación de la petición de consentimiento.

Building blocks of the consent prompt

# Componente Propósito
1 Identificador de usuario Este identificador representa al usuario en cuyo nombre la aplicación cliente solicita acceso a recursos protegidos.
2 Título El título cambia en función de si los usuarios siguen el flujo de consentimiento del usuario o del administrador. En el flujo de consentimiento del usuario, el título será "Permisos solicitados", mientras que en el flujo de consentimiento del administrador, el título tendrá una línea adicional "Aceptar para su organización".
3 Logotipo de la aplicación Esta imagen debe ayudar a los usuarios a tener una indicación visual de si esta aplicación es la aplicación a la que pretenden acceder. Los desarrolladores de aplicaciones proporcionan esta imagen, y no se valida la propiedad de esta imagen.
4 Nombre de la aplicación Este valor debe informar a los usuarios qué aplicación solicita acceso a sus datos. Tenga en cuenta que los desarrolladores proporcionan este nombre, y no se valida la propiedad del nombre de esta aplicación.
5 Nombre y comprobación del publicador El distintivo azul de "comprobado" significa que el publicador de la aplicación ha comprobado su identidad mediante una cuenta de Microsoft Partner Network y ha completado el proceso de comprobación. Si se comprueba el publicador, se muestra su nombre. Si no se comprueba el publicador de la aplicación, se muestra "Sin comprobar" en lugar de un nombre de publicador. Para más información, lea sobre la Comprobación del publicador. Al seleccionar el nombre del publicador, estará disponible más información de la aplicación, como el nombre del publicador, el dominio del publicador, la fecha de creación, los detalles de la certificación y las direcciones URL de respuesta.
6 Certificación de Microsoft 365 El logotipo de la certificación de Microsoft 365 significa que una aplicación se ha examinado con los controles derivados de marcos estándar líderes de sector y que aplica prácticas sólidas de seguridad y cumplimiento para proteger los datos de los clientes. Para más información, lea sobre la Certificación de Microsoft 365.
7 Información del anunciante Muestra si Microsoft ha publicado la aplicación.
8 Permisos Esta lista contiene los permisos solicitados por la aplicación cliente. Los usuarios deben evaluar siempre los tipos de permisos que se solicitan a fin de comprender a qué datos estará autorizada a acceder en su nombre la aplicación cliente si aceptan. Como desarrollador de aplicaciones es mejor solicitar acceso a los permisos con los privilegios mínimos.
9 Descripción del permiso El servicio que expone los permisos proporciona este valor. Para ver las descripciones de los permisos, debe activar o desactivar el botón de contenido adicional junto al permiso.
10 https://myapps.microsoft.com Este es el vínculo donde los usuarios pueden revisar y quitar las aplicaciones que no son de Microsoft que actualmente tienen acceso a sus datos.
11 Notifíquelo aquí Este vínculo se usa para notificar de una aplicación sospechosa si no confía en ella, si cree que la aplicación está suplantando a otra, si cree que la aplicación hará un uso incorrecto de sus datos o por algún otro motivo.

La aplicación requiere un permiso dentro del ámbito de autoridad del usuario

Un escenario de consentimiento común es cuando el usuario accede a una aplicación que requiere un conjunto de permisos dentro del ámbito de autoridad del usuario. Se dirige al usuario al flujo de consentimiento del usuario.

Los administradores verán un control adicional en la petición de consentimiento tradicional que les permitirá dar su consentimiento en nombre de todo el inquilino. El control estará desactivado de manera predeterminada, por lo que solo cuando los administradores marquen la casilla explícitamente se otorgará el consentimiento en nombre de todo el inquilino. En este momento, esta casilla solo se mostrará para el rol de administrador global, por lo que el administrador en la nube y el administrador de aplicaciones no verán esta casilla.

Consent prompt for scenario 1a

Los usuarios verán la petición de consentimiento tradicional.

Screenshot that shows the traditional consent prompt.

La aplicación requiere un permiso fuera del ámbito de autoridad del usuario

Otro escenario de consentimiento común es cuando el usuario accede a una aplicación que requiere como mínimo un permiso fuera del ámbito de autoridad del usuario.

Los administradores verán un control adicional en la petición de consentimiento tradicional que les permitirá dar su consentimiento en nombre de todo el inquilino.

Consent prompt for scenario 1a

Los usuarios que no son administradores no podrán otorgar consentimiento a la aplicación y se les indicará que pidan al administrador acceso a la aplicación.

Screenshot of the consent prompt telling the user to ask an admin for access to the app.

Otro escenario común es cuando el usuario navega o se dirige al flujo de consentimiento del administrador.

Los usuarios administradores verán la petición de consentimiento del administrador. El título y las descripciones de permisos cambiaron en esta petición, los cambios destacan el hecho de que, al aceptar esta petición, se otorgará a la aplicación acceso a los datos solicitados en el nombre de todo el inquilino.

Consent prompt for scenario 3a

Los usuarios que no son administradores no podrán otorgar consentimiento a la aplicación y se les indicará que pidan al administrador acceso a la aplicación.

Screenshot of the consent prompt telling the user to ask an admin for access to the app.

Pasos siguientes