Uprawnienia interfejsu API dla zestawu Microsoft Information Protection SDK
Zestaw MIP SDK używa dwóch zaplecza usług Azure do oznaczania etykiet i ochrony. Na Azure Active Directory uprawnień aplikacji następujące usługi:
- Usługa Azure Rights Management
- Microsoft Information Protection synchronizacji
Uprawnienia aplikacji należy przyznać do jednego lub większej liczby interfejsów API podczas korzystania z zestawu SDK programu MIP w celu oznaczania i ochrony. Różne scenariusze uwierzytelniania aplikacji mogą wymagać różnych uprawnień aplikacji. Aby uzyskać informacje na temat scenariuszy uwierzytelniania aplikacji, zobacz Scenariusze uwierzytelniania.
W przypadku uprawnień aplikacji należy uzyskać zgodę administratora dla całej dzierżawy, jeśli jest wymagana zgoda administratora. Aby uzyskać więcej informacji, zobacz Azure Active Directory dokumentów.
Uprawnienia aplikacji
Uprawnienia aplikacji umożliwiają aplikacji w Azure Active Directory działanie jako własną jednostkę, a nie w imieniu określonego użytkownika.
| Serwis | Nazwa uprawnień | Opis | Wymagana zgoda administratora |
|---|---|---|---|
| Usługa Azure Rights Management | Content.SuperUser | Odczytywanie całej zawartości chronionej dla tej dzierżawy | Tak |
| Usługa Azure Rights Management | Content.DelegatedReader | Odczytywanie zawartości chronionej w imieniu użytkownika | Tak |
| Usługa Azure Rights Management | Content.DelegatedWriter | Tworzenie zawartości chronionej w imieniu użytkownika | Tak |
| Usługa Azure Rights Management | Content.Writer | Tworzenie zawartości chronionej | Tak |
| Usługa Azure Rights Management | Application.Read.All | Uprawnienie nie jest wymagane do użycia w funkcji MIPSDK | Nie dotyczy |
| Usługa synchronizacji usługi mip | UnifiedPolicy.Tenant.Read | Odczytywanie wszystkich ujednoliconych zasad dzierżawy | Tak |
Content.SuperUser
To uprawnienie jest wymagane, gdy aplikacja musi mieć uprawnienie do odszyfrowywania całej zawartości chronionej dla określonej dzierżawy. Przykładami usług wymagających praw jest ochrona przed utratą danych lub dostęp do usług brokera zabezpieczeń w chmurze, które muszą wyświetlać całą zawartość w zwykły sposób, aby podjąć decyzje dotyczące miejsca przepływu lub przechowywania tych Content.Superuser danych.
Content.DelegatedWriter
To uprawnienie jest wymagane, gdy aplikacja musi mieć uprawnienia do szyfrowania zawartości chronionej przez określonego użytkownika. Przykładami usług wymagających praw są aplikacje biznesowe, które muszą szyfrować zawartość na podstawie zasad etykiet użytkowników, aby zastosować etykiety i lub zaszyfrować zawartość Content.DelegatedWriter natywnie. To uprawnienie umożliwia aplikacji szyfrowanie zawartości w kontekście użytkownika.
Content.DelegatedReader
To uprawnienie jest wymagane, gdy aplikacja musi mieć uprawnienia do odszyfrowywania całej zawartości chronionej dla określonego użytkownika. Przykładami usług, które wymagają praw, są aplikacje biznesowe, które muszą odszyfrowywać zawartość na podstawie zasad etykiet użytkowników, aby natywnie wyświetlać Content.DelegatedReader zawartość. To uprawnienie umożliwia aplikacji odszyfrowywanie i odczytywanie zawartości w kontekście użytkownika.
Content.Writer
To uprawnienie jest wymagane, gdy aplikacja musi być dozwolona do tworzenia list szablonów i szyfrowania zawartości. Usługa, która próbuje wyświetlić listę szablonów bez tego uprawnienia, otrzyma od usługi wiadomość o odrzuceniu tokenu. Przykłady wymaganych usług to aplikacja LOB, które mają zastosowanie etykiet Content.writer klasyfikacji do plików podczas eksportowania. Content.Writer szyfruje zawartość jako tożsamość główną usługi, dzięki czemu właścicielem chronionych plików będzie tożsamość podmiotu zabezpieczeń usługi.
UnifiedPolicy.Tenant.Read
To uprawnienie jest wymagane, gdy aplikacja musi mieć uprawnienia do pobierania ujednoliconych zasad etykiet dla dzierżawy. Przykładami wymaganych usług są aplikacje, które muszą pracować UnifiedPolicy.Tenant.Read z etykietami jako tożsamość podmiotu zabezpieczeń usługi.
Uprawnienia delegowane
Uprawnienia delegowane umożliwiają aplikacji w Azure Active Directory wykonywanie akcji w imieniu określonego użytkownika.
| Serwis | Nazwa uprawnień | Opis | Wymagana zgoda administratora |
|---|---|---|---|
| Usługa Azure Rights Management | user_impersonation | Tworzenie zawartości chronionej dla użytkownika i uzyskiwanie do jej dostępu | Nie |
| Usługa synchronizacji usługi mip | UnifiedPolicy.User.Read | Przeczytaj wszystkie ujednolicone zasady, do których użytkownik ma dostęp | Nie |
User_Impersonation
To uprawnienie jest wymagane, gdy aplikacja musi być dozwolona do korzystania z usług Azure Rights Management w imieniu użytkownika. Przykładami usług, które wymagają praw, są aplikacje, które muszą szyfrować lub uzyskać dostęp do zawartości, na podstawie zasad etykiet użytkowników w celu zastosowania etykiet lub User_Impersonation szyfrowania zawartości natywnie.
UnifiedPolicy.User.Read
To uprawnienie jest wymagane, gdy aplikacja musi mieć uprawnienie do odczytywania ujednoliconych zasad etykiet dotyczących użytkownika. Przykładami usług wymagających uprawnień są aplikacje, które muszą szyfrować i odszyfrowywać zawartość na podstawie zasad UnifiedPolicy.User.Read etykiet użytkowników.