Share via

Contrôle d’accès en fonction du rôle pour les développeurs d’applications

  • Article

Le contrôle d’accès en fonction du rôle (RBAC) est un mécanisme populaire pour appliquer l’autorisation dans des applications. Lorsqu’une organisation utilise RBAC, un développeur d’application définit des rôles pour l’application. L’administrateur peut alors attribuer des rôles aux différents utilisateurs et groupes pour contrôler l’accès au contenu et aux fonctionnalités dans l’application.

Les applications reçoivent généralement des informations de rôle utilisateur en tant que revendications dans un jeton de sécurité. Les développeurs ont la flexibilité de fournir leur propre implémentation pour interpréter les revendications de rôle en tant que autorisations d’application. Cette interprétation des autorisations peut impliquer l’utilisation d’intergiciels ou d’autres options fournies par la plateforme des applications ou des bibliothèques associées.

Rôles d'application

L'ID externe Microsoft Entra vous permet de définir des rôles d'application pour votre application et d'attribuer ces rôles à des utilisateurs et à des groupes. Les rôles que vous attribuez à un utilisateur ou à un groupe définissent leur niveau d’accès aux ressources et aux opérations de votre application.

Quand ID externe Microsoft Entra émet un jeton de sécurité pour un utilisateur authentifié, les noms des rôles que vous avez attribués à l’utilisateur ou au groupe sont inclus dans la revendication de rôles du jeton de sécurité. Une application qui reçoit ce jeton d’accès dans une demande peut ensuite prendre des décisions d’autorisation en fonction des valeurs de la revendication.des rôles.

Conseil

Essayez-le dès maintenant

Pour essayer cette fonctionnalité, accédez à la version de démonstration Woodgrove Groceries et démarrez le cas d’utilisation « Contrôle d’accès en fonction du rôle ».

Groupes

Les développeurs peuvent également utiliser des groupes de sécurité pour implémenter le contrôle d’accès en fonction du rôle (RABC) dans leurs applications, où les appartenances de l’utilisateur dans des groupes spécifiques sont interprétées comme leurs appartenances aux rôles. Lorsqu’une organisation utilise des groupes de sécurité, une revendication de groupes est incluse dans le jeton. La revendication de groupes spécifie les identificateurs de tous les groupes auxquels l’utilisateur est affecté au sein du locataire externe actuel.

Conseil

Essayez-le dès maintenant

Pour essayer cette fonctionnalité, accédez à la version de démonstration Woodgrove Groceries et démarrez le cas d’utilisation « Contrôle d’accès basé sur le groupe ».

Rôles d’application et groupes d’application

Même si vous pouvez utiliser des rôles ou des groupes d’application pour l’autorisation, les principales différences entre ces deux options peuvent influencer votre choix pour votre scénario.

Rôles d'application Groupes
Les groupes sont spécifiques à une application et définis dans l’inscription de l’application. Ils ne sont pas spécifiques à une application, mais à un locataire externe.
Ne peut être partagé entre plusieurs applications. Peut être utilisé dans de multiples applications.
Les rôles d’application sont supprimés lorsque leur inscription d’application est supprimée. Les groupes restent intacts même si l’application est supprimée.
Fournis dans la revendication roles. Fournis dans la revendication groups.

Créer un groupe de sécurité

Les groupes de sécurité gèrent l’accès d’utilisateurs et d’ordinateurs aux ressources partagées. Vous pouvez créer un groupe de sécurité afin que tous les membres du groupe aient le même ensemble d’autorisations de sécurité.

Pour créer un groupe de sécurité, procédez comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Groupes>Tous les groupes.
  4. Cliquez sur Nouveau groupe.
  5. Dans la liste déroulante Type de groupe, sélectionnez Sécurité.
  6. Entrez un nom pour le groupe de sécurité, par exemple Contoso_App_Administrators.
  7. Entrez une description pour le groupe de sécurité, par exemple Administrateur de la sécurité de l’application Contoso.
  8. Sélectionnez Create (Créer).

Le nouveau groupe de sécurité apparaît dans la liste Tous les groupes. Si vous ne le voyez pas immédiatement, actualisez la page.

ID externe Microsoft Entra peut ajouter les informations d’appartenance au groupe d’un utilisateur dans des jetons utilisés au sein d’applications. Vous apprenez à ajouter la revendication de groupe aux jetons dans la section Affecter des utilisateurs et des groupes à des rôles.

Déclarer des rôles pour une application

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.

  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

  3. Accédez à Identité>Applications>Inscriptions d’applications.

  4. Sélectionnez l’application pour laquelle vous souhaitez définir des rôles d’application.

  5. Sélectionnez Rôles d’application, puis Créer un rôle d’application.

  6. Dans le volet Créer un rôle d’application , entrez les paramètres du rôle. Le tableau ci-dessous décrit chaque paramètre et ses réglages.

    Champ Description Exemple
    Nom complet Nom d'affichage du rôle d’application qui apparaît lors de l'affectation de l'application. Cette valeur peut contenir des espaces. Orders manager
    Types de membres autorisés Spécifie si ce rôle d’application peut être attribué aux utilisateurs, aux applications ou aux deux. Users/Groups
    Valeur Spécifie la valeur de la revendication des rôles que l'application doit attendre dans le jeton. La valeur doit correspondre exactement à la chaîne référencée dans le code de l’application. La valeur ne peut pas contenir d’espaces. Orders.Manager
    Description Description plus détaillée du rôle d’application affiché pendant les expériences d’affectation des applications d’administration. Manage online orders.
    Voulez-vous activer ce rôle d'application ? Spécifie si le rôle d’application est activé. Pour supprimer un rôle d’application, décochez cette case et appliquez la modification avant de tenter l’opération de suppression. Activée

  7. Sélectionnez Appliquer pour créer le rôle d’application.

Affecter des utilisateurs et des groupes à des rôles

Une fois que vous avez ajouté des rôles d’application à votre application, l’administrateur peut leur affecter des utilisateurs et des groupes. L’attribution des utilisateurs et des groupes aux rôles peut être effectuée via l’interface utilisateur du portail ou par programmation à l’aide de Microsoft Graph. Lorsque les utilisateurs assignés aux différents rôles d’application se connectent à l’application, leurs jetons contiennent leurs rôles assignés dans la revendication “roles”.

Pour attribuer des rôles aux utilisateurs et aux groupes à l’aide du portail Azure :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Applications>Applications d’entreprise.
  4. Sélectionnez Toutes les applications pour afficher la liste complète de vos applications. Si votre application n’apparaît pas dans la liste, utilisez les filtres présents en haut de la liste Toutes les applications pour restreindre la liste ou bien faites-la défiler vers le bas pour localiser votre application.
  5. Sélectionnez l’application dans laquelle vous souhaitez assigner des utilisateurs ou un groupe de sécurité aux rôles.
  6. Sous Gérer, sélectionnez Utilisateurs et groupes.
  7. Sélectionnez Ajouter un membre pour ouvrir le volet Ajouter une attribution.
  8. Dans le volet Ajouter une attribution, sélectionnez Utilisateurs et groupes. Une liste d’utilisateurs et de groupes de sécurité s’affiche. Vous pouvez sélectionner plusieurs utilisateurs et groupes dans la liste.
  9. Une fois que vous avez sélectionné des utilisateurs et des groupes, choisissez Sélectionner.
  10. Dans le volet Ajouter une attribution, choisissez Sélectionner un rôle. Tous les rôles que vous avez définis pour l’application s’affichent.
  11. Sélectionnez un rôle, puis sélectionnez Sélectionner.
  12. Appuyez sur Attribuer pour terminer l’attribution des utilisateurs et des groupes à l’application.
  13. Vérifiez que les utilisateurs et les groupes ajoutés figurent dans la liste Utilisateurs et groupes.

Pour tester votre application, déconnectez-vous et reconnectez-vous avec l’utilisateur auquel vous avez attribué les rôles. Inspectez le jeton de sécurité afin de vous assurer qu’il contient le rôle de l’utilisateur.

Ajouter des revendications de groupe aux jetons de sécurité

Pour émettre les revendications d’appartenance au groupe dans des jetons de sécurité, procédez comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Applications>Inscriptions d’applications.
  4. Sélectionnez l’application dans laquelle vous souhaitez ajouter la revendication de groupes.
  5. Dans Gérer, sélectionnez Configuration de jetons.
  6. Sélectionnez Ajouter une revendication de groupe.
  7. Sélectionnez les types de groupes à inclure dans les jetons de sécurité.
  8. Pour Personnaliser les propriétés du jeton par type, sélectionnez ID de groupe.
  9. Sélectionnez Ajouter pour ajouter la revendication de groupes.

Ajouter des membres à un groupe

Maintenant que vous avez ajouté une revendication de groupes d’applications dans votre application, ajoutez des utilisateurs aux groupes de sécurité. Si vous n’avez pas de groupe de sécurité, créez-en un.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Groupes>Tous les groupes.
  4. Sélectionnez le groupe que vous souhaitez gérer.
  5. Sélectionnez Membres.
  6. Sélectionnez Ajouter des membres.
  7. Faites défiler la liste ou entrez un nom dans la zone de recherche. Vous pouvez choisir plusieurs noms. Lorsque vous êtes prêt, choisissez Sélectionner.
  8. La page Présentation du groupe est mise à jour pour afficher le nombre de membres désormais ajoutés au groupe.

Pour tester votre application, déconnectez-vous, puis reconnectez-vous avec l’utilisateur que vous avez ajouté au groupe de sécurité. Inspectez le jeton de sécurité afin de vous assurer qu’il contient l’appartenance au groupe de l’utilisateur.

Prise en charge des groupes et des rôles d’application

Un locataire externe suit le modèle d’administration des utilisateurs et groupes, et l’attribution d’application, de Microsoft Entra. Un grand nombre de fonctionnalités clés de Microsoft Entra sont progressivement intégrées aux locataires externes.

Le tableau suivant indique les fonctionnalités actuellement disponibles.

Fonctionnalité Actuellement disponible ?
Créer un rôle d’application pour une ressource Oui, en modifiant le manifeste de l’application
Affecter un rôle d’application à des utilisateurs Oui
Affecter un rôle d’application à des groupes Oui, via Microsoft Graph uniquement
Affecter un rôle d’application à des applications Oui, par le biais d’autorisations de l’application
Affecter un utilisateur à un rôle d'application Oui
Affecter une application à un rôle d’application (autorisation d’application) Oui
Ajouter un groupe à une application/principal de service (revendication de groupes) Oui, via Microsoft Graph uniquement
Créer/mettre à jour/supprimer un client (utilisateur local) via le centre d’administration Microsoft Entra Oui
Réinitialiser un mot de passe pour un client (utilisateur local) via le centre d’administration Microsoft Entra Oui
Créer/mettre à jour/supprimer un client (utilisateur local) via Microsoft Graph Oui
Réinitialiser un mot de passe pour un client (utilisateur local) via Microsoft Graph Oui, uniquement si le principal de service est ajouté au rôle Administrateur général
Créer/mettre à jour/supprimer un groupe de sécurité via le centre d’administration Microsoft Entra Oui
Créer/mettre à jour/supprimer un groupe de sécurité via l’API Microsoft Graph Oui
Modifier les membres d’un groupe de sécurité à l’aide du centre d’administration Microsoft Entra Oui
Modifier les membres d’un groupe de sécurité à l’aide de l’API Microsoft Graph Oui
Mettre à l’échelle jusqu’à 50 000 utilisateurs et 50 000 groupes Actuellement non disponible
Ajouter 50 000 utilisateurs à au moins deux groupes Actuellement non disponible

Étapes suivantes