Szerepköralapú hozzáférés-vezérlés használata alkalmazásokhoz
A következőkre vonatkozik:
Munkaerő-bérlők 
Külső bérlők (további információ)
A szerepköralapú hozzáférés-vezérlés (RBAC) egy népszerű mechanizmus az alkalmazásokban való engedélyezés kikényszerítésére. Amikor egy szervezet RBAC-t használ, az alkalmazás fejlesztője definiálja az alkalmazás szerepköreit. A rendszergazdák ezután szerepköröket rendelhetnek különböző felhasználókhoz és csoportokhoz, így szabályozhatják, hogy ki férhet hozzá az alkalmazás tartalmához és funkcióihoz.
Az alkalmazások általában felhasználói szerepkör-információkat kapnak jogcímként egy biztonsági jogkivonatban. A fejlesztők rugalmasan biztosíthatják saját implementációjukat a szerepkör-jogcímek alkalmazásengedélyekként való értelmezéséhez. Az engedélyek értelmezése magában foglalhatja a köztes szoftver vagy az alkalmazások vagy a kapcsolódó kódtárak platformja által biztosított egyéb lehetőségek használatát.
Alkalmazásszerepkörök
Microsoft Entra Külső ID lehetővé teszi, hogy alkalmazásszerepköröket definiáljon az alkalmazáshoz, és hozzárendelje ezeket a szerepköröket a felhasználókhoz és csoportokhoz. A felhasználóhoz vagy csoporthoz hozzárendelt szerepkörök határozzák meg az alkalmazás erőforrásaihoz és műveleteihez való hozzáférés szintjét.
Ha Microsoft Entra Külső ID biztonsági jogkivonatot ad ki egy hitelesített felhasználó számára, az tartalmazza a felhasználóhoz vagy csoporthoz hozzárendelt szerepkörök nevét a biztonsági jogkivonat szerepkör-jogcímén. Egy olyan alkalmazás, amely megkapja a biztonsági jogkivonatot egy kérelemben, a szerepkör-jogcím értékei alapján hozhat engedélyezési döntéseket.
Tipp.
A funkció kipróbálásához nyissa meg a Woodgrove Groceries bemutatóját, és indítsa el a "Szerepköralapú hozzáférés-vezérlés" használati esetet.
Csoportok
A fejlesztők biztonsági csoportokkal is implementálhatják az RBAC-t az alkalmazásaikban, ahol az adott csoportokban lévő felhasználó tagságait a rendszer szerepkör-tagságként értelmezi. Ha egy szervezet biztonsági csoportokat használ, a jogkivonat tartalmaz egy csoportjogcímet. A csoportok jogcíme megadja az összes csoport azonosítóját, amelyhez a felhasználó hozzá van rendelve az aktuális külső bérlőn belül.
Tipp.
A funkció kipróbálásához nyissa meg a Woodgrove Groceries bemutatóját, és indítsa el a "Csoportalapú hozzáférés-vezérlés" használati esetet.
Alkalmazásszerepkörök és csoportok
Bár alkalmazásszerepköröket vagy csoportokat is használhat az engedélyezéshez, a közöttük fennálló fő különbségek befolyásolhatják, hogy melyiket szeretné használni a forgatókönyvéhez.
| Alkalmazásszerepkörök | Csoportok |
|---|---|
| Ezek egy alkalmazásra vonatkoznak, és az alkalmazásregisztrációban vannak definiálva. | Ezek nem egy alkalmazásra, hanem egy külső bérlőre vonatkoznak. |
| Nem osztható meg az alkalmazások között. | Több alkalmazásban is használható. |
| Az alkalmazásszerepkörök az alkalmazásregisztráció eltávolításakor törlődnek. | A csoportok akkor is érintetlenek maradnak, ha az alkalmazás el lett távolítva. |
A jogcímben megadva roles . |
A jogcímben megadva groups . |
Biztonsági csoport létrehozása
A biztonsági csoportok kezelik a megosztott erőforrásokhoz való felhasználói és számítógép-hozzáférést. Létrehozhat egy biztonsági csoportot, hogy minden csoporttag ugyanazokkal a biztonsági engedélyekkel rendelkezzen.
Biztonsági csoport létrehozásához kövesse az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételes hozzáférési Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy globális Rendszergazda istratorként.
- Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával
válthat a külső bérlőre a Címtárak + előfizetések menüből. - Tallózással keresse meg a Minden csoport identitáscsoportot>>.
- Válassza az Új csoportot.
- A Csoporttípus legördülő menüben válassza a Biztonság lehetőséget.
- Adja meg a biztonsági csoport csoportnevét, például Contoso_App_Rendszergazda istratorokat.
- Adja meg a biztonsági csoport csoportleírását, például a Contoso app Security Rendszergazda istratort.
- Válassza a Létrehozás lehetőséget.
Az új biztonsági csoport megjelenik a Minden csoport listában. Ha nem látja azonnal, frissítse a lapot.
Microsoft Entra Külső ID a felhasználó csoporttagsági adatait belefoglalhatja a jogkivonatba az alkalmazásokban való használatra. Megtudhatja, hogyan veheti fel a csoportjogkivonatot a jogkivonatokhoz a Felhasználók és csoportok hozzárendelése szerepkörökhöz szakaszban.
Szerepkörök deklarálása egy alkalmazáshoz
Jelentkezzen be a Microsoft Entra felügyeleti központba feltételes hozzáférési Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy globális Rendszergazda istratorként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával
válthat a külső bérlőre a Címtárak + előfizetések menüből.Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza ki azt az alkalmazást, amelyben alkalmazásszerepköröket szeretne definiálni.
Válassza az Alkalmazás-szerepkörök, majd az Alkalmazás-szerepkör létrehozása lehetőséget.
Az Alkalmazás-szerepkör létrehozása panelen adja meg a szerepkör beállításait. Az alábbi táblázat az egyes beállításokat és azok paramétereit ismerteti.
Mező Leírás Példa Megjelenített név Az alkalmazás-hozzárendelési szolgáltatásokban megjelenő alkalmazásszerepkör neve. Ez az érték szóközöket tartalmazhat. Orders managerEngedélyezett tagtípusok Megadja, hogy ez az alkalmazásszerepkör hozzárendelhető-e felhasználókhoz, alkalmazásokhoz vagy mindkettőhöz. Users/GroupsÉrték Megadja annak a szerepkör-jogcímnek az értékét, amelyet az alkalmazásnak elvárnia kell a jogkivonatban. Az értéknek pontosan meg kell egyeznie az alkalmazás kódjában hivatkozott sztringgel. Az érték nem tartalmazhat szóközöket. Orders.ManagerLeírás A rendszergazdai alkalmazás-hozzárendelési szolgáltatások során megjelenő alkalmazásszerepkör részletesebb leírása. Manage online orders.Engedélyezi ezt az alkalmazásszerepkört? Megadja, hogy az alkalmazásszerepkör engedélyezve van-e. Alkalmazásszerepkör törléséhez törölje ezt a jelölőnégyzetet, és alkalmazza a módosítást a törlési művelet megkísérlése előtt. Ellenőrizni Az alkalmazásszerepkör létrehozásához válassza az Alkalmaz lehetőséget.
Felhasználók és csoportok hozzárendelése szerepkörökhöz
Miután hozzáadott alkalmazásszerepköröket az alkalmazásban, a rendszergazda felhasználókat és csoportokat rendelhet a szerepkörökhöz. A felhasználók és csoportok szerepkörökhöz való hozzárendelése a felügyeleti központban vagy a Microsoft Graph programozott módon végezhető el. Amikor a különböző alkalmazásszerepkörökhöz rendelt felhasználók bejelentkeznek az alkalmazásba, a jogkivonataikhoz hozzárendelt szerepkörök vannak a roles jogcímben.
Felhasználók és csoportok hozzárendelése alkalmazásszerepkörökhöz az Azure Portal használatával:
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételes hozzáférési Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy globális Rendszergazda istratorként.
- Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
- Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
- Válassza ki azt az alkalmazást, amelyben a felhasználókat vagy a biztonsági csoportokat szerepkörökhöz kívánja hozzárendelni.
- A Kezelés menüpontban válassza a Felhasználók és csoportok lehetőséget.
- Kattintson a Felhasználó hozzáadása lehetőségre a Hozzárendelés felvétele lap megnyitásához.
- A Hozzárendelés hozzáadása panelen válassza a Felhasználók és csoportok lehetőséget. Megjelenik a felhasználók és biztonsági csoportok listája. A listában több felhasználót és csoportot is kijelölhet.
- Miután kiválasztotta a felhasználókat és csoportokat, válassza a Kiválasztás lehetőséget.
- A Hozzárendelés hozzáadása panelen válassza a Szerepkör kiválasztása lehetőséget. Megjelenik az alkalmazáshoz definiált összes szerepkör.
- Jelöljön ki egy szerepkört, majd válassza a Kiválasztás lehetőséget.
- Válassza a Hozzárendelés lehetőséget a felhasználók és csoportok alkalmazáshoz való hozzárendelésének befejezéséhez.
- Győződjön meg arról, hogy a hozzáadott felhasználók és csoportok megjelennek a Felhasználók és csoportok listában.
Az alkalmazás teszteléséhez jelentkezzen ki, és jelentkezzen be újra a szerepkörökhöz rendelt felhasználóval. Ellenőrizze a biztonsági jogkivonatot, hogy tartalmazza-e a felhasználó szerepkörét.
Csoportjogcímek hozzáadása biztonsági jogkivonatokhoz
A csoporttagsági jogcímek biztonsági jogkivonatokban való kibocsátásához kövesse az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételes hozzáférési Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy globális Rendszergazda istratorként.
- Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
- Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
- Válassza ki azt az alkalmazást, amelyben hozzá szeretné adni a csoportok jogcímét.
- A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
- Válassza a Csoportok hozzáadása jogcím lehetőséget.
- Válassza ki a biztonsági jogkivonatokban felvenni kívánt csoporttípusokat.
- A jogkivonat tulajdonságainak típus szerinti testreszabásához válassza a Csoportazonosító lehetőséget.
- Válassza a Hozzáadás lehetőséget a csoportok jogcímének hozzáadásához.
Tagok hozzáadása csoporthoz
Most, hogy hozzáadta az alkalmazáscsoportok jogcímét az alkalmazásban, vegyen fel felhasználókat a biztonsági csoportokba. Ha nincs biztonsági csoportja, hozzon létre egyet.
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételes hozzáférési Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy globális Rendszergazda istratorként.
- Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
- Tallózással keresse meg a Minden csoport identitáscsoportot>>.
- Jelölje ki a kezelni kívánt csoportot.
- Válassza a Tagok lehetőséget.
- Válassza a + Tagok hozzáadása lehetőséget.
- Görgessen végig a listán, vagy írjon be egy nevet a keresőmezőbe. Több nevet is választhat. Ha készen áll, válassza a Kiválasztás lehetőséget.
- A csoport – áttekintés lap frissül és mutatja a csoportba most felvett tagok számát.
Az alkalmazás teszteléséhez jelentkezzen ki, majd jelentkezzen be újra a biztonsági csoporthoz hozzáadott felhasználóval. Ellenőrizze a biztonsági jogkivonatot, hogy tartalmazza-e a felhasználó csoporttagságát.
Csoportok és alkalmazásszerepkörök támogatása
A külső bérlő a Microsoft Entra felhasználói és csoportkezelési modelljét és alkalmazás-hozzárendelését követi. A Microsoft Entra számos alapvető funkcióját külső bérlőkre bontják.
Az alábbi táblázat azt mutatja be, hogy mely funkciók érhetők el jelenleg.
| Szolgáltatás | Jelenleg elérhető? |
|---|---|
| Alkalmazásszerepkör létrehozása erőforráshoz | Igen, az alkalmazásjegyzék módosításával |
| Alkalmazásszerepkör hozzárendelése felhasználókhoz | Igen |
| Alkalmazásszerepkör hozzárendelése csoportokhoz | Igen, csak Microsoft Graphon keresztül |
| Alkalmazásszerepkör hozzárendelése alkalmazásokhoz | Igen, alkalmazásengedélyekkel |
| Felhasználó hozzárendelése alkalmazásszerepkörhöz | Igen |
| Alkalmazás hozzárendelése alkalmazásszerepkörhöz (alkalmazásengedély) | Igen |
| Csoport hozzáadása egy alkalmazáshoz/szolgáltatásnévhez (csoportjogcím) | Igen, csak Microsoft Graphon keresztül |
| Ügyfél (helyi felhasználó) létrehozása/frissítése/törlése a Microsoft Entra felügyeleti központban | Igen |
| Ügyfél (helyi felhasználó) jelszavának alaphelyzetbe állítása a Microsoft Entra felügyeleti központban | Igen |
| Ügyfél (helyi felhasználó) létrehozása/frissítése/törlése a Microsoft Graphon keresztül | Igen |
| Ügyfél (helyi felhasználó) jelszavának alaphelyzetbe állítása a Microsoft Graph használatával | Igen, csak akkor, ha a szolgáltatásnév hozzá van adva a globális Rendszergazda istrator szerepkörhöz |
| Biztonsági csoport létrehozása/frissítése/törlése a Microsoft Entra felügyeleti központban | Igen |
| Biztonsági csoport létrehozása/frissítése/törlése a Microsoft Graph API-n keresztül | Igen |
| Biztonsági csoporttagok módosítása a Microsoft Entra Felügyeleti központban | Igen |
| Biztonsági csoporttagok módosítása a Microsoft Graph API használatával | Igen |
| 50 000 felhasználó és 50 000 csoport méretezése | Jelenleg nem érhető el |
| 50 000 felhasználó hozzáadása legalább két csoporthoz | Jelenleg nem érhető el |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: