A Microsoft Identitásplatform hozzájárulási keretrendszere

  • Cikk
  • 2 perc alatt elolvasható

A több-bérlős alkalmazások lehetővé teszik a felhasználói fiókok általi bejelentkezést az Azure AD-bérlőkből, nem pedig abból a bérlőből, amelyben az alkalmazást eredetileg regisztrálták. A Microsoft Identitásplatform hozzájárulási keretrendszer lehetővé teszi, hogy a többi bérlő bérlői rendszergazdája vagy felhasználója jóváhagyja (vagy elutasítsa) egy alkalmazás engedélykérelmét az erőforrásaik eléréséhez.

Előfordulhat például, hogy egy webalkalmazás csak olvasási hozzáférést igényel egy felhasználó naptárához Microsoft 365. Ez az identitásplatform hozzájárulási keretrendszere, amely lehetővé teszi a kérést, amely arra kéri a felhasználót, hogy hagyja jóvá az alkalmazás engedélykérelmét a naptár olvasásához. Ha a felhasználó beleegyezik, az alkalmazás meghívhatja a Microsoft Graph API a nevében, és lekérheti a naptáradatait.

Hozzájárulási felület – példa

Az alábbi lépések bemutatják, hogyan működik a hozzájárulási felület az alkalmazás fejlesztője és a felhasználó számára is.

  1. Tegyük fel, hogy van egy webes ügyfélalkalmazása, amely meghatározott engedélyeket igényel egy erőforrás/API eléréséhez. Ezt a konfigurációt a következő szakaszban ismerheti meg, de lényegében a Azure Portal használatával deklarálhatja az engedélykéréseket a konfigurációs időpontban. A többi konfigurációs beállításhoz hasonlóan ezek is az alkalmazás Azure AD-regisztrációjának részévé válnak:

    Permissions to other applications

  2. Vegye figyelembe, hogy az alkalmazás engedélyei frissültek, az alkalmazás fut, és egy felhasználó első alkalommal fogja használni. Először is az alkalmazásnak be kell szereznie egy engedélyezési kódot az Azure AD végpontjáról /authorize . Az engedélyezési kód ezután új hozzáférési és frissítési jogkivonat beszerzésére használható.

  3. Ha a felhasználó még nincs hitelesítve, az Azure AD végpontja /authorize arra kéri a felhasználót, hogy jelentkezzen be.

    User or administrator sign in to Azure AD

  4. Miután a felhasználó bejelentkezett, az Azure AD megállapítja, hogy a felhasználónak meg kell-e jelenítenie egy hozzájárulási oldalt. Ez a meghatározás azon alapul, hogy a felhasználó (vagy a szervezet rendszergazdája) már megadta-e az alkalmazás hozzájárulását. Ha még nem adta meg a hozzájárulást, az Azure AD kéri a felhasználótól a hozzájárulást, és megjeleníti a működéséhez szükséges engedélyeket. A hozzájárulási párbeszédpanelen megjelenő engedélyek halmaza megegyezik a Azure Portal delegált engedélyei között kiválasztottakkal.

    Shows an example of permissions displayed in the consent dialog

  5. Miután a felhasználó engedélyt adott, a rendszer egy engedélyezési kódot ad vissza az alkalmazásnak, amelyet a rendszer bevált egy hozzáférési jogkivonat beszerzéséhez és a jogkivonat frissítéséhez. További információ erről a folyamatról: OAuth 2.0 engedélyezési kódfolyamat.

  6. Rendszergazdaként az alkalmazás delegált engedélyeit is jóváhagyhatja a bérlő összes felhasználója nevében. A rendszergazdai hozzájárulás megakadályozza, hogy a hozzájárulási párbeszédpanel a bérlő minden felhasználójához megjelenjen, és a rendszergazdai szerepkörrel rendelkező felhasználók Azure Portal végezhetik el. Ha meg szeretné tudni, hogy mely rendszergazdai szerepkörök adhatjanak hozzájárulást a delegált engedélyekhez, tekintse meg a rendszergazdai szerepkörök engedélyeit az Azure AD-ben.

    Hozzájárulás egy alkalmazás delegált engedélyéhez

    1. Nyissa meg az alkalmazás API-engedélyek lapját

    2. Kattintson a Rendszergazdai hozzájárulás megadása gombra.

      Grant permissions for explicit admin consent

    Fontos

    A MSAL.js használó egyoldalas alkalmazásokhoz (SPA) jelenleg explicit hozzájárulásra van szükség az Engedélyek megadása gombbal. Ellenkező esetben a hozzáférési jogkivonat kérése esetén az alkalmazás meghiúsul.

Következő lépések

Megtudhatja, hogyan alakíthat át egy alkalmazást több-bérlőssé