Op rollen gebaseerd toegangsbeheer gebruiken voor toepassingen

Op rollen gebaseerd toegangsbeheer (RBAC) is een populair mechanisme voor afdwingen van autorisatie in toepassingen. Wanneer een organisatie RBAC gebruikt, definieert een toepassingsontwikkelaar rollen voor de toepassing. Een beheerder kan vervolgens rollen toewijzen aan verschillende gebruikers en groepen om te bepalen wie toegang heeft tot inhoud en functionaliteit in de toepassing.

Toepassingen ontvangen doorgaans gebruikersrolgegevens als claims in een beveiligingstoken. Ontwikkelaars hebben de flexibiliteit om hun eigen implementatie te bieden voor de manier waarop rolclaims moeten worden geïnterpreteerd als toepassingsmachtigingen. Deze interpretatie van machtigingen kan betrekking hebben op het gebruik van middleware of andere opties die worden geboden door het platform van de toepassingen of gerelateerde bibliotheken.

De app-rollen

Microsoft Entra Externe ID kunt u toepassingsrollen voor uw toepassing definiëren en deze rollen toewijzen aan gebruikers en groepen. De rollen die u aan een gebruiker of groep toewijst, definiëren hun toegangsniveau tot de resources en bewerkingen in uw toepassing.

Wanneer Microsoft Entra Externe ID een beveiligingstoken voor een geverifieerde gebruiker uitgeeft, bevat het de namen van de rollen die u aan de gebruiker of groep hebt toegewezen in de rolclaim van het beveiligingstoken. Een toepassing die dat beveiligingstoken in een aanvraag ontvangt, kan vervolgens autorisatiebeslissingen nemen op basis van de waarden in de rollenclaim.

Tip

Als u deze functie wilt uitproberen, gaat u naar de woodgrove boodschappendemo en start u de use case 'Op rollen gebaseerd toegangsbeheer'.

Groepen

Ontwikkelaars kunnen ook beveiligingsgroepen gebruiken om RBAC in hun toepassingen te implementeren, waarbij de lidmaatschappen van de gebruiker in specifieke groepen worden geïnterpreteerd als hun rollidmaatschappen. Wanneer een organisatie gebruikmaakt van beveiligingsgroepen, wordt een groepsclaim opgenomen in het token. De groepsclaim geeft de id's op van alle groepen waaraan de gebruiker is toegewezen binnen de huidige externe tenant.

Tip

Als u deze functie wilt uitproberen, gaat u naar de demo Woodgrove Boodschappen en start u de use case 'Op groepen gebaseerd toegangsbeheer'.

De app-rollen versus groepen

Hoewel u de app-rollen of -groepen kunt gebruiken voor autorisatie, kunnen belangrijke verschillen tussen deze rollen invloed hebben op welke u besluit om te gebruiken voor uw scenario.

De app-rollen	Groepen
Ze zijn specifiek voor een toepassing en ze worden gedefinieerd in de app-registratie.	Ze zijn niet specifiek voor een app, maar voor een externe tenant.
Kan niet worden gedeeld tussen toepassingen.	Kan worden gebruikt in meerdere toepassingen.
De app-rollen worden verwijderd wanneer hun app-registratie wordt verwijderd.	De groepen blijven intact, zelfs als de app wordt verwijderd.
Opgegeven in de roles-claim.	Opgegeven in groups-claim.

Een beveiligingsgroep maken

Beveiligingsgroepen beheren gebruikers- en computertoegang tot gedeelde resources. U kunt een beveiligingsgroep maken zodat alle groepsleden dezelfde set beveiligingsmachtigingen hebben.

Voer de volgende stappen uit om een beveiligingsgroep te maken:

1. Meld u aan bij het Microsoft Entra-beheercentrum als een Beheer istrator, Security Beheer istrator of Global Beheer istrator.
2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.
3. Blader naar Identiteitsgroepen>>Alle groepen.
4. Selecteer Nieuwe groep.
5. Selecteer Beveiliging in de vervolgkeuzelijst Type groep.
6. Voer de groepsnaam in voor de beveiligingsgroep, zoals Contoso_App_Beheer istrators.
7. Voer een groepsbeschrijving in voor de beveiligingsgroep, zoals Contoso app Security Beheer istrator.
8. Selecteer Maken.

De nieuwe beveiligingsgroep wordt weergegeven in de lijst Alle groepen . Als u deze niet onmiddellijk ziet, vernieuwt u de pagina.

Microsoft Entra Externe ID kan gegevens van een groepslidmaatschap van een gebruiker opnemen in tokens voor gebruik in toepassingen. U leert hoe u de groepsclaim toevoegt aan tokens in de sectie Gebruikers en groepen toewijzen aan rollen .

De rollen declareren voor een toepassing

1. Meld u aan bij het Microsoft Entra-beheercentrum als een Beheer istrator, Security Beheer istrator of Global Beheer istrator.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer de toepassing waarin u app-rollen wilt definiëren.

5. Selecteer App-rollen en selecteer dan App-rol maken.

6. Voer in het deelvenster App-rol maken de instellingen voor deze rol in. In de volgende tabel worden elke instelling en de bijbehorende parameters beschreven.

   Veld	Omschrijving	Voorbeeld
   Weergavenaam	Weergavenaam voor de app-rol die wordt weergegeven in de app-toewijzingservaringen. Die waarde kan spaties bevatten.	Orders manager
   De toegestane ledentypen	Dit specificeert of deze app-rol kan worden toegewezen aan gebruikers, toepassingen of beide.	Users/Groups
   Value	Hiermee geeft u de waarde op van de rollenclaim die de toepassing moet verwachten in de token. Deze waarde moet exact overeenkomen met de tekenreeks waarnaar wordt verwezen in de code van de toepassing. Deze waarde mag geen spaties bevatten.	Orders.Manager
   Beschrijving	Een gedetailleerdere beschrijving van de app-rol die wordt weergegeven tijdens het toewijzen van beheerders-apps.	Manage online orders.
   Wilt u deze app-rol inschakelen?	Hiermee geeft u op of die app-rol is ingeschakeld. Als u een app-rol wilt verwijderen, dan schakelt u dit selectievakje uit en past u de wijziging toe voordat u de verwijderbewerking uitvoert.	Gecontroleerd

7. Selecteer Toepassen om de toepassingsrol te maken.

De gebruikers en groepen toewijzen aan rollen

Zodra u app-rollen in uw toepassing hebt toegevoegd, kan de beheerder gebruikers en groepen toewijzen aan de rollen. Toewijzing van gebruikers en groepen aan rollen kan worden uitgevoerd via het beheercentrum of programmatisch met behulp van Microsoft Graph. Wanneer de gebruikers die zijn toegewezen aan de verschillende app-rollen zich aanmelden bij de toepassing, hebben hun tokens hun toegewezen rollen in de roles claim.

Als u gebruikers en groepen wilt toewijzen aan toepassingsrollen met behulp van Azure Portal:

1. Meld u aan bij het Microsoft Entra-beheercentrum als een Beheer istrator, Security Beheer istrator of Global Beheer istrator.
2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.
3. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
4. Selecteer Alle toepassingen om een lijst met al uw toepassingen weer te geven. Als u de toepassing niet in de lijst ziet staan, gebruikt u de filters bovenaan de lijst Alle toepassingen om de lijst te beperken of schuift u in de lijst omlaag om de toepassing te zoeken.
5. Selecteer de toepassing waarin u gebruikers of beveiligingsgroepen wilt toewijzen aan rollen.
6. Selecteer onder Beheren de optie Gebruikers en groepen.
7. Selecteer Gebruiker toevoegen om het deelvenster Toewijzing toevoegen te openen.
8. Selecteer Gebruikers en groepen in het deelvenster Toewijzing toevoegen. Er wordt een lijst met gebruikers en beveiligingsgroepen weergegeven. U kunt meerdere gebruikers en groepen in de lijst selecteren.
9. Zodra u gebruikers en groepen hebt geselecteerd, kiest u Selecteren.
10. Kies een rol selecteren in het deelvenster Toewijzing toevoegen. Alle rollen die u voor de toepassing hebt gedefinieerd, worden weergegeven.
11. Selecteer een rol en kies Selecteren.
12. Selecteer Toewijzen om de toewijzing van gebruikers en groepen aan de app te voltooien.
13. Controleer of de gebruikers en groepen die u hebt toegevoegd, worden weergegeven in de lijst Gebruikers en groepen.

Als u uw toepassing wilt testen, meldt u zich af en meldt u zich opnieuw aan met de gebruiker die u de rollen hebt toegewezen. Controleer het beveiligingstoken om ervoor te zorgen dat het de rol van de gebruiker bevat.

Groepsclaims toevoegen aan beveiligingstokens

Voer de volgende stappen uit om de groepslidmaatschapclaims in beveiligingstokens te verzenden:

1. Meld u aan bij het Microsoft Entra-beheercentrum als een Beheer istrator, Security Beheer istrator of Global Beheer istrator.
2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.
3. Blader naar identiteitstoepassingen>> App-registraties.
4. Selecteer de toepassing waarin u de groepsclaim wilt toevoegen.
5. Selecteer onder Beheren de optie Tokenconfiguratie.
6. Selecteer Groepsclaim toevoegen.
7. Selecteer groepstypen die u wilt opnemen in de beveiligingstokens.
8. Selecteer Groep-id voor de eigenschappen van het token aanpassen op type.
9. Selecteer Toevoegen om de groepsclaim toe te voegen.

Leden toevoegen aan een groep

Nu u app-groepenclaims in uw toepassing hebt toegevoegd, voegt u gebruikers toe aan de beveiligingsgroepen. Als u geen beveiligingsgroep hebt, maakt u er een.

1. Meld u aan bij het Microsoft Entra-beheercentrum als een Beheer istrator, Security Beheer istrator of Global Beheer istrator.
2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.
3. Blader naar Identiteitsgroepen>>Alle groepen.
4. Selecteer de groep die u wilt beheren.
5. Selecteer Leden.
6. Selecteer + Leden toevoegen.
7. Blader door de lijst of voer een naam in het zoekvak in. U kunt meerdere namen kiezen. Wanneer u klaar bent, kiest u Selecteren.
8. De pagina Groepsoverzicht wordt bijgewerkt om het aantal leden dat nu is toegevoegd aan de groep weer te geven.

Als u uw toepassing wilt testen, meldt u zich af en meldt u zich opnieuw aan met de gebruiker die u hebt toegevoegd aan de beveiligingsgroep. Controleer het beveiligingstoken om ervoor te zorgen dat het het groepslidmaatschap van de gebruiker bevat.

Ondersteuning voor groepen en toepassingsrollen

Een externe tenant volgt het Microsoft Entra-gebruikers- en groepsbeheermodel en toepassingstoewijzing. Veel van de kernfuncties van Microsoft Entra worden gefaseerd in externe tenants.

In de volgende tabel ziet u welke functies momenteel beschikbaar zijn.

Functie	Momenteel beschikbaar?
Een toepassingsrol voor een resource maken	Ja, door het toepassingsmanifest te wijzigen
Een toepassingsrol toewijzen aan gebruikers	Ja
Een toepassingsrol toewijzen aan groepen	Ja, alleen via Microsoft Graph
Een toepassingsrol toewijzen aan toepassingen	Ja, via toepassingsmachtigingen
Een gebruiker toewijzen aan een toepassingsrol	Ja
Een toepassing toewijzen aan een toepassingsrol (toepassingsmachtiging)	Ja
Een groep toevoegen aan een toepassing/service-principal (groepsclaim)	Ja, alleen via Microsoft Graph
Een klant (lokale gebruiker) maken/bijwerken/verwijderen via het Microsoft Entra-beheercentrum	Ja
Een wachtwoord opnieuw instellen voor een klant (lokale gebruiker) via het Microsoft Entra-beheercentrum	Ja
Een klant (lokale gebruiker) maken/bijwerken/verwijderen via Microsoft Graph	Ja
Een wachtwoord opnieuw instellen voor een klant (lokale gebruiker) via Microsoft Graph	Ja, alleen als de service-principal wordt toegevoegd aan de rol Global Beheer istrator
Een beveiligingsgroep maken/bijwerken/verwijderen via het Microsoft Entra-beheercentrum	Ja
Een beveiligingsgroep maken/bijwerken/verwijderen via de Microsoft Graph API	Ja
Leden van beveiligingsgroepen wijzigen met behulp van het Microsoft Entra-beheercentrum	Ja
Leden van beveiligingsgroepen wijzigen met behulp van de Microsoft Graph API	Ja
Omhoog schalen naar 50.000 gebruikers en 50.000 groepen	Momenteel niet beschikbaar
50.000 gebruikers toevoegen aan ten minste twee groepen	Momenteel niet beschikbaar

Volgende stappen

• Meer informatie over het gebruik van op rollen gebaseerd toegangsbeheer in uw webtoepassing.