Microsoft identity platform toestemmingsframework

Toepassingen met meerdere tenants staan aanmeldingen toe door gebruikersaccounts van andere Azure AD-tenants dan de tenant waarin de app in eerste instantie is geregistreerd. Met het Microsoft identity platform toestemmingsframework kan een tenantbeheerder of -gebruiker in deze andere tenants toestemming geven voor (of weigeren) de aanvraag van een toepassing om toegang te krijgen tot hun resources.

Een webtoepassing vereist bijvoorbeeld alleen-lezentoegang tot de agenda van een gebruiker in Microsoft 365. Het is het toestemmingsframework van het identiteitsplatform waarmee de gebruiker wordt gevraagd toestemming te geven voor toestemming voor het lezen van de agenda van de app. Als de gebruiker toestemming verleent, kan de toepassing namens hen de Microsoft-Graph API aanroepen en hun agendagegevens ophalen.

In de volgende stappen ziet u hoe de toestemmingservaring werkt voor zowel de toepassingsontwikkelaar als de gebruiker.

  1. Stel dat u een webclienttoepassing hebt die specifieke machtigingen moet aanvragen voor toegang tot een resource/API. In de volgende sectie leert u hoe u deze configuratie kunt uitvoeren, maar in feite wordt de Azure Portal gebruikt om machtigingsaanvragen te declareren op het moment van configuratie. Net als andere configuratie-instellingen worden ze onderdeel van de Azure AD-registratie van de toepassing:

    Permissions to other applications

  2. Houd er rekening mee dat de machtigingen van uw toepassing zijn bijgewerkt, dat de toepassing wordt uitgevoerd en dat een gebruiker deze voor het eerst gaat gebruiken. Eerst moet de toepassing een autorisatiecode verkrijgen van het eindpunt van /authorize Azure AD. De autorisatiecode kan vervolgens worden gebruikt bij het verkrijgen van een nieuw token voor toegang en vernieuwen.

  3. Als de gebruiker nog niet is geverifieerd, vraagt het eindpunt van /authorize Azure AD de gebruiker zich aan te melden.

    User or administrator sign in to Azure AD

  4. Nadat de gebruiker zich heeft aangemeld, bepaalt Azure AD of de gebruiker een toestemmingspagina moet worden weergegeven. Hierbij wordt gecontroleerd of de gebruiker (of de beheerder in de organisatie) de toepassing al toestemming heeft gegeven. Als er nog geen toestemming is verleend, vraagt Azure AD de gebruiker om toestemming en geeft deze de vereiste machtigingen weer die nodig zijn om te functioneren. De set machtigingen die worden weergegeven in het dialoogvenster toestemming, komen overeen met de machtigingen die zijn geselecteerd in de gedelegeerde machtigingen in de Azure Portal.

    Shows an example of permissions displayed in the consent dialog

  5. Nadat de gebruiker toestemming heeft verleend, wordt er een autorisatiecode geretourneerd naar uw toepassing, die wordt ingewisseld om een toegangstoken te verkrijgen en een token te vernieuwen. Zie de OAuth 2.0-autorisatiecodestroom voor meer informatie over deze stroom.

  6. Beheerders kunnen toestemming geven voor de gedelegeerde machtigingen van een toepassing voor alle gebruikers in de tenant. Met beheerderstoestemming voorkomt u dat het toestemmingsdialoogvenster wordt weergegeven voor elke gebruiker in de tenant en kan worden uitgevoerd in de Azure Portal door gebruikers met de beheerdersrol. Zie Beheerdersrolmachtigingen in Azure AD voor meer informatie over welke beheerdersrollen toestemming kunnen geven voor gedelegeerde machtigingen.

    Toestemming geven voor de gedelegeerde machtigingen van een app

    1. Ga naar de pagina API-machtigingen voor uw toepassing

    2. Klik op de knop Beheerderstoestemming verlenen .

      Grant permissions for explicit admin consent

    Belangrijk

    Het verlenen van expliciete toestemming met behulp van de knop Machtigingen verlenen is momenteel vereist voor toepassingen met één pagina (SPA) die gebruikmaken van MSAL.js. Als dit niet gebeurt, treedt er een fout op in de toepassing wanneer het toegangstoken wordt aangevraagd.

Volgende stappen

Bekijk hoe u een app converteert naar meerdere tenants