Hozzájárulási élmény a Microsoft Entra-azonosítójú alkalmazásokhoz

Ebben a cikkben megismerheti a Microsoft Entra alkalmazás hozzájárulási felhasználói felületét. Intelligensen kezelheti a szervezet alkalmazásait, és/vagy zökkenőmentesebb hozzájárulási felülettel fejleszthet alkalmazásokat.

A hozzájárulás annak a folyamatnak a folyamata, amely során egy felhasználó engedélyt ad egy alkalmazásnak a védett erőforrások elérésére a nevükben. A rendszergazda vagy a felhasználó hozzájárulást kérhet a szervezeti/egyéni adatokhoz való hozzáférés engedélyezéséhez.

A hozzájárulás megadásának tényleges felhasználói élménye a felhasználó bérlőjétől, a felhasználó jogosultsági körétől (vagy szerepkörétől) és az ügyfélalkalmazás által kért engedélyek típusától függően eltérő. Ez azt jelenti, hogy az alkalmazásfejlesztők és a bérlői rendszergazdák némi vezérléssel rendelkeznek a hozzájárulási felület felett. A rendszergazdák rugalmasan állíthatnak be és tilthatnak le szabályzatokat egy bérlőn vagy alkalmazásban a hozzájárulási folyamat szabályozásához a bérlőben. Az alkalmazásfejlesztők megszabhatják, hogy milyen típusú engedélyeket lehet kérni, és hogy a felhasználókat a felhasználói vagy a rendszergazdai hozzájárulási folyamaton kívánják végigvezetni.

• A felhasználói hozzájárulási folyamat az, amikor egy alkalmazásfejlesztő átirányítja a felhasználókat az engedélyezési végpontra azzal a szándékkal, hogy csak az aktuális felhasználó hozzájárulását rögzítse.
• Rendszergazda hozzájárulási folyamat az, amikor egy alkalmazásfejlesztő átirányítja a felhasználókat a rendszergazdai hozzájárulás végpontjához azzal a szándékkal, hogy a teljes bérlőre vonatkozóan rögzítse a hozzájárulást. Ahhoz, hogy a rendszergazdai hozzájárulási folyamat megfelelően működjön, az alkalmazásfejlesztőknek fel kell sorolnia az alkalmazásjegyzékben lévő RequiredResourceAccess tulajdonság összes engedélyét. További információ: Alkalmazásjegyzék.

A hozzájárulási kérés építőelemei

A hozzájárulási kérés célja annak biztosítása, hogy a felhasználók elegendő információval rendelkezzenek annak megállapításához, hogy megbíznak-e az ügyfélalkalmazásban, hogy a nevükben hozzáférjenek a védett erőforrásokhoz. Az építőelemek megértése segít a hozzájárulást adó felhasználóknak megalapozottabb döntéseket hozni, és jobb felhasználói élményt nyújt a fejlesztőknek.

Az alábbi diagram és táblázat a hozzájárulási kérés építőelemeiről nyújt tájékoztatást.

#	Összetevő	Cél
0	Felhasználói azonosító	Ez az azonosító azt a felhasználót jelöli, akinek nevében az ügyfélalkalmazás védett erőforrások elérését kéri.
2	Cím	A cím attól függően változik, hogy a felhasználók végigmennek-e a felhasználói vagy a rendszergazdai hozzájárulási folyamaton. A felhasználói hozzájárulási folyamatban a cím a "Kért engedélyek", míg a rendszergazdai hozzájárulási folyamatban a cím egy másik "Elfogadás a szervezet számára" sortal rendelkezik.
3	Alkalmazás emblémája	Ez a kép segít a felhasználóknak vizuálisan meghatározni, hogy ez az alkalmazás-e az az alkalmazás, amelyhez hozzá szeretnének férni. Ezt a lemezképet az alkalmazásfejlesztők biztosítják, és a rendszerkép tulajdonjoga nincs érvényesítve.
4	Alkalmazás neve	Ennek az értéknek tájékoztatnia kell a felhasználókat arról, hogy melyik alkalmazás kér hozzáférést az adataikhoz. Vegye figyelembe, hogy ezt a nevet a fejlesztők adják meg, és az alkalmazásnév tulajdonjoga nincs érvényesítve.
5	Közzétevő neve és ellenőrzése	A kék "ellenőrzött" jelvény azt jelenti, hogy az alkalmazás közzétevője egy Microsoft Partner Network-fiókkal igazolta személyazonosságát, és elvégezte az ellenőrzési folyamatot. Ha az alkalmazás közzétevője ellenőrzött, megjelenik a közzétevő neve. Ha az alkalmazás nem ellenőrzött közzétevő, a közzétevő neve helyett a "Ellenőrizetlen" felirat jelenik meg. További információkért olvassa el a Publisher Verification (Közzétevő ellenőrzése) című témakört. A közzétevő nevének kiválasztásával további alkalmazásadatok érhetők el, például a közzétevő neve, a közzétevő tartománya, a létrehozás dátuma, a minősítés részletei és a válasz URL-címek.
6	Microsoft 365-tanúsítvány	A Microsoft 365 tanúsítási emblémája azt jelenti, hogy egy alkalmazást ellenőriztek a vezető iparági standard keretrendszerekből származó vezérlőkkel szemben, és hogy erős biztonsági és megfelelőségi eljárások vannak érvényben az ügyfelek adatainak védelme érdekében. További információkért olvassa el a Microsoft 365 minősítését.
7	Kibocsátó adatai	Megjeleníti, hogy az alkalmazást közzétette-e a Microsoft.
8	Engedélyek	Ez a lista az ügyfélalkalmazás által kért engedélyeket tartalmazza. A felhasználóknak mindig értékelniük kell a kért engedélyek típusait, hogy megtudják, az ügyfélalkalmazás milyen adatokhoz férhet hozzá a nevükben, ha elfogadják őket. Alkalmazásfejlesztőként a legjobb, ha a legkevésbé jogosultsággal rendelkező engedélyekhez szeretne hozzáférést kérni.
9	Engedély leírása	Ezt az értéket az engedélyeket kiosztó szolgáltatás biztosítja. Az engedélyleírások megtekintéséhez ki kell váltania a sávjelet az engedély mellett.
10	https://myapps.microsoft.com	Ez az a hivatkozás, amellyel a felhasználók áttekinthetik és eltávolíthatják azokat a nem Microsoft-alkalmazásokat, amelyek jelenleg hozzáférnek az adataikhoz.
11	Jelentés itt	Ez a hivatkozás gyanús alkalmazás bejelentésére szolgál, ha nem bízik az alkalmazásban, ha úgy véli, hogy az alkalmazás egy másik alkalmazást megszemélyesít, ha úgy véli, hogy az alkalmazás visszaél az adataival, vagy valamilyen más okból.

Gyakori forgatókönyvek és hozzájárulási élmények

Az alábbi szakasz az egyes forgatókönyvek gyakori forgatókönyveit és a várt hozzájárulási élményt ismerteti.

Az alkalmazás olyan engedélyt igényel, amelyet a felhasználónak meg kell adnia

Ebben a hozzájárulási forgatókönyvben a felhasználó olyan alkalmazáshoz fér hozzá, amelyhez egy olyan engedélykészlet szükséges, amely a felhasználó jogosultsági körén belül van. A felhasználó a felhasználói hozzájárulási folyamathoz lesz irányítva.

Rendszergazda egy másik vezérlő jelenik meg a hagyományos hozzájárulási kérésen, amely lehetővé teszi a hozzájárulás megadását a teljes bérlő nevében. A vezérlő alapértelmezés szerint ki van kapcsolva, ezért csak akkor, ha a rendszergazdák kifejezetten bejelölik a jelölőnégyzetet, a teljes bérlő nevében jóváhagyást kapnak. A jelölőnégyzet csak a Globális Rendszergazda istrator szerepkörhöz jelenik meg, így a Cloud Rendszergazda és az App Rendszergazda nem fogja látni ezt a jelölőnégyzetet.

A felhasználók a hagyományos hozzájárulási kérést látják.

Az alkalmazás olyan engedélyt igényel, amelyet a felhasználó nem adhat meg

Ebben a hozzájárulási forgatókönyvben a felhasználó olyan alkalmazáshoz fér hozzá, amelyhez legalább egy, a felhasználó jogosultsági körén kívüli engedély szükséges.

Rendszergazda egy másik vezérlő jelenik meg a hagyományos hozzájárulási kérésen, amely lehetővé teszi számukra a teljes bérlő nevében történő hozzájárulást.

Azok a felhasználók, akik nem rendszergazdai jogosultságokkal rendelkeznek, nem adhatnak hozzájárulást az alkalmazáshoz, és azt mondják nekik, hogy kérjenek hozzáférést a rendszergazdájuktól az alkalmazáshoz. Ha a rendszergazdai hozzájárulás munkafolyamata engedélyezve van a felhasználó bérlőjében, a felhasználók a hozzájárulási kérésből elküldhetik a rendszergazdai jóváhagyásra vonatkozó kérést. További információ a rendszergazdai hozzájárulási munkafolyamatról: Rendszergazda hozzájárulási munkafolyamat.

A felhasználó a rendszergazdai hozzájárulási folyamathoz lesz irányítva

Ebben a hozzájárulási forgatókönyvben a felhasználó a rendszergazdai hozzájárulási folyamathoz navigál vagy átirányítja.

Rendszergazda felhasználók láthatják a rendszergazdai hozzájárulási kérést. A cím és az engedélyleírások módosultak ebben a kérdésben, a módosítások kiemelik, hogy a kérés elfogadása hozzáférést biztosít az alkalmazásnak a kért adatokhoz a teljes bérlő nevében.

A felhasználók nem adhatnak hozzájárulást az alkalmazáshoz, és azt mondják nekik, hogy kérjenek hozzáférést a rendszergazdájuktól az alkalmazáshoz.

Rendszergazda hozzájárulás a Microsoft Entra felügyeleti központon keresztül

Ebben a forgatókönyvben a rendszergazda hozzájárul az alkalmazás által kért összes engedélyhez, amely delegált engedélyeket is tartalmazhat a bérlő összes felhasználója nevében. A rendszergazda a Microsoft Entra felügyeleti központban az alkalmazásregisztráció API-engedélyoldalán keresztül adja meg a hozzájárulást.

A bérlő összes felhasználója csak akkor fogja látni a hozzájárulási párbeszédpanelt, ha az alkalmazás új engedélyeket igényel. Ha meg szeretné tudni, hogy mely rendszergazdai szerepkörök járulhatnak hozzá a delegált engedélyekhez, tekintse meg Rendszergazda istrator szerepkör-engedélyeket a Microsoft Entra ID-ban.

Fontos

A MSAL.js használó egyoldalas alkalmazásokhoz (SPA) jelenleg explicit hozzájárulás megadása szükséges az Engedélyek megadása gombbal. Ellenkező esetben az alkalmazás meghiúsul, amikor a hozzáférési jogkivonatot kérik.

Gyakori problémák

Ez a szakasz a hozzájárulási felülettel kapcsolatos gyakori problémákat és a lehetséges hibaelhárítási tippeket ismerteti.

• 403-as hiba

  • Delegált forgatókönyvről van szó? Milyen engedélyekkel rendelkezik a felhasználó?
  • Hozzá vannak adva a végpont használatához szükséges engedélyek?
  • Ellenőrizze a jogkivonatot , hogy rendelkezik-e a végpont meghívásához szükséges jogcímekkel.
  • Milyen engedélyek kaptak hozzájárulást? Ki adta a hozzájárulást?

• A felhasználó nem tud hozzájárulni

  • Ellenőrizze, hogy a bérlői rendszergazda letiltotta-e a szervezet felhasználói hozzájárulását
  • Ellenőrizze, hogy a kért engedélyek rendszergazda által korlátozott engedélyek-e.

• A felhasználó még a rendszergazda hozzájárulását követően is le van tiltva

  • Ellenőrizze, hogy a statikus engedélyek a dinamikusan kért engedélyek szuperhalmazának vannak-e konfigurálva.
  • Ellenőrizze, hogy szükség van-e felhasználói hozzárendelésre az alkalmazáshoz.

Ismert hibák elhárítása

A hibaelhárítási lépésekért lásd : Váratlan hiba az alkalmazáshoz való hozzájárulás végrehajtásakor.

Lásd még

• Részletes áttekintést kaphat arról , hogy a Microsoft Entra hozzájárulási keretrendszer hogyan valósítja meg a hozzájárulást.
• Részletesebben megtudhatja , hogyan használhatja a több-bérlős alkalmazások a hozzájárulási keretrendszert a "felhasználó" és a "rendszergazda" hozzájárulás implementálásához, támogatva a fejlettebb többrétegű alkalmazásmintákat.
• Megtudhatja , hogyan konfigurálhatja az alkalmazás közzétevői tartományát.