Admin consent on the Microsoft identity platform
Egyes engedélyekhez a rendszergazda beleegyezése szükséges ahhoz, hogy a bérlőn belül meg lehessen adni őket. A rendszergazdai hozzájárulási végpont használatával engedélyeket adhat egy teljes bérlőnek.
Ajánlott: A felhasználó aláírása az alkalmazásba
Általában a rendszergazdai hozzájárulási végpontot használó alkalmazás létrehozásakor az alkalmazásnak olyan lapra vagy nézetre van szüksége, amelyen a rendszergazda jóváhagyhatja az alkalmazás engedélyeit. Ez a lap része lehet az alkalmazás regisztrációs folyamatának, az alkalmazás beállításainak, vagy egy dedikált "kapcsolódási" folyamatnak. Sok esetben célszerű, hogy az alkalmazás csak akkor jelenítse meg ezt a "connect" nézetet, ha egy felhasználó munkahelyi vagy iskolai Microsoft-fiókkal jelentkezett be.
Amikor bejelentkezik az alkalmazásba, azonosíthatja azt a szervezetet, amelyhez a rendszergazda tartozik, mielőtt megkérné őket a szükséges engedélyek jóváhagyására. Bár nem feltétlenül szükséges, ez segíthet intuitívabb felhasználói élmény kialakításában a szervezeti felhasználók számára.
Engedélyek kérése címtáradminisztrátortól
Ha készen áll arra, hogy engedélyt kérjen a szervezet rendszergazdájától, átirányíthatja a felhasználót a Microsoft Identitásplatform rendszergazdai hozzájárulási végpontra.
https://login.microsoftonline.com/{tenant}/v2.0/adminconsent
?client_id=535fb089-9ff3-47b6-9bfb-4f1264799865
&scope=https://graph.microsoft.com/Calendars.Read https://graph.microsoft.com/Mail.Send
&redirect_uri=http://localhost/myapp/permissions
&state=12345
| Paraméter | Feltétel | Leírás |
|---|---|---|
tenant |
Required | Az a címtár-bérlő, amelytől engedélyt szeretne kérni. Megadhatja GUID vagy rövid név formátumban, vagy általánosan hivatkozhat a organizations példában látható módon. Ne használja a "common" kifejezést, mivel a személyes fiókok csak a bérlő környezetében adhatnak rendszergazdai hozzájárulást. A bérlőket kezelő személyes fiókokkal való legjobb kompatibilitás érdekében használja a bérlőazonosítót, ha lehetséges. |
client_id |
Szükséges | Az alkalmazás (ügyfél) azonosítója, amelyet a Microsoft Entra felügyeleti központ – Alkalmazásregisztrációk alkalmazáshoz rendelt felhasználói felület. |
redirect_uri |
Szükséges | Az átirányítási URI, ahová a választ el szeretné küldeni az alkalmazás számára. Ennek pontosan meg kell egyeznie az alkalmazásregisztrációs portálon regisztrált átirányítási URI-k egyikével. |
state |
Ajánlott | A kérésben szereplő érték, amelyet a jogkivonat válaszában is visszaadunk. Bármilyen tartalom sztringje lehet. Az állapot használatával kódolhatja a felhasználó állapotával kapcsolatos információkat az alkalmazásban a hitelesítési kérelem előtt, például a lapon vagy a nézeten. |
scope |
Szükséges | Meghatározza az alkalmazás által kért engedélyek készletét. Ez lehet statikus (használatával /.default) vagy dinamikus hatókör. Ide tartozhatnak az OIDC-hatókörök (openid, profile, ). email |
Ezen a ponton a Microsoft Entra-azonosító megköveteli, hogy a bérlő rendszergazdája jelentkezzen be a kérés teljesítéséhez. A rendszer felkéri a rendszergazdát, hogy hagyja jóvá a paraméterben scope kért összes engedélyt. Ha statikus (/.default) értéket használt, az az 1.0-s verziójú rendszergazdai hozzájárulás végpontjához hasonlóan fog működni, és hozzájárulást kér a szükséges engedélyekben található összes hatókörhöz (felhasználó és alkalmazás egyaránt). Az alkalmazásengedélyek kéréséhez az értéket kell használnia /.default . Ha nem szeretné, hogy a rendszergazdák mindig /.defaultegy adott engedélyt lássanak a rendszergazdai hozzájárulás képernyőjén, akkor az ajánlott eljárás az, ha nem helyezik el az engedélyt a szükséges engedélyek szakaszában. Ehelyett dinamikus hozzájárulással adhat hozzá engedélyeket a hozzájárulási képernyőn futásidőben, ahelyett, hogy használna /.default.
Sikeres válasz
Ha a rendszergazda jóváhagyja az alkalmazás engedélyeit, a sikeres válasz a következőképpen néz ki:
http://localhost/myapp/permissions
?admin_consent=True
&tenant=fa00d692-e9c7-4460-a743-29f2956fd429
&scope=https://graph.microsoft.com/Calendars.Read https://graph.microsoft.com/Mail.Send
&state=12345
| Paraméter | Leírás |
|---|---|
tenant |
Az a címtárbérltető, amely megadta az alkalmazásnak a kért engedélyeket, GUID formátumban. |
state |
A kérésben szereplő érték, amelyet a rendszer a jogkivonat válaszában is visszaad. Bármilyen tartalom sztringje lehet. Az állapot a felhasználó állapotával kapcsolatos információk kódolására szolgál az alkalmazásban a hitelesítési kérelem előtt, például a lapon vagy a nézeten. |
scope |
Az alkalmazáshoz hozzáférést kapott engedélyek készlete. |
admin_consent |
A beállítás értéke .True |
Figyelmeztetés
Soha ne használja a paraméter bérlőazonosító-értékét a tenant felhasználók hitelesítésére vagy engedélyezésére. A bérlőazonosító értékét frissítheti és elküldheti a rossz szereplők, hogy megszemélyesíthesse az alkalmazásra adott választ. Ez azt eredményezheti, hogy az alkalmazás biztonsági incidenseknek van kitéve.
Hibaválasz
http://localhost/myapp/permissions
?admin_consent=True
&error=consent_required
&error_description=AADSTS65004%3a+The+resource+owner+or+authorization+server+denied+the+request.%0d%0aTrace+ID%3a+d320620c-3d56-42bc-bc45-4cdd85c41f00%0d%0aCorrelation+ID%3a+8478d534-5b2c-4325-8c2c-51395c342c89%0d%0aTimestamp%3a+2019-09-24+18%3a34%3a26Z
&state=12345
Ha hozzáadja a sikeres válaszban látható paramétereket, a hibaparaméterek az alábbiakban láthatók.
| Paraméter | Leírás |
|---|---|
error |
Hibakódsztring, amely a előforduló hibák típusainak besorolására használható, és a hibákra való reagálásra használható. |
error_description |
Egy adott hibaüzenet, amely segíthet a fejlesztőknek a hiba kiváltó okának azonosításában. |
state |
A kérésben szereplő érték, amelyet a rendszer a jogkivonat válaszában is visszaad. Bármilyen tartalom sztringje lehet. Az állapot a felhasználó állapotával kapcsolatos információk kódolására szolgál az alkalmazásban a hitelesítési kérelem előtt, például a lapon vagy a nézeten. |
admin_consent |
A rendszer úgy lesz beállítva True , hogy jelezze, hogy ez a válasz egy rendszergazdai hozzájárulási folyamat során történt. |
További lépések
- Megtudhatja , hogyan alakíthat át alkalmazásokat több-bérlőssé
- Ismerje meg, hogyan támogatott a hozzájárulás az OAuth 2.0 protokollrétegben az engedélyezési kód megadásának folyamata során.
- Megtudhatja , hogy a több-bérlős alkalmazások hogyan használhatják a jóváhagyási keretrendszert a "felhasználó" és a "rendszergazda" hozzájárulás implementálásához, és hogyan támogatják a fejlettebb többrétegű alkalmazásmintákat.
- A Microsoft Entra alkalmazás-hozzájárulási élményének ismertetése