Żądanie uprawnień, które wymagają zgody administracyjnej
W tym artykule opiszemy środowisko uprawnień i zgody dla scenariusza, w którym jako deweloper piszesz kod aplikacji, aby zażądać uprawnień aplikacji, które będą wymagały zgody administracyjnej. Przykładowe zrzuty ekranu z oknami dialogowymi uprawnień i zgody oraz centrum administracyjnym firmy Microsoft Entra umożliwiają określenie środowiska użytkowników i administratorów dzierżawy. Zwiększ współpracę z administratorami, aby zaimplementować zasadę zerowego zaufania najniższych uprawnień w aplikacjach.
Podczas opracowywania aplikacji napiszesz kod, który żąda dostępu do zasobu , żądając tokenu dostępu z określonym zakresem (lub uprawnieniem). Użyjesz parametru zakresu zgodnie z opisem w standardzie OAuth 2.0 , który niektórzy ludzie opisują jako uprawnienie. Właściciel zasobu przyzna lub odrzuci każde żądanie dotyczące uprawnień. W usłudze Microsoft Entra ID właściciel zasobu jest użytkownikiem aplikacji lub administratorem, który ma uprawnienia do udzielenia zgody na ten zasób w imieniu wszystkich użytkowników.
Środowisko zgody użytkownika
Gdy aplikacja żąda uprawnień dostępu do zasobu, może zostać wyświetlone okno dialogowe Uprawnienia żądane w podobny sposób do tego przykładu.
W powyższym przykładowym oknie dialogowym użytkownik udziela zgody, aby zezwolić aplikacji na odczytywanie danych w ich imieniu, wybierając pozycję Akceptuj lub odmawiając żądania, wybierając pozycję Anuluj. Aplikacja otrzymuje token dostępu i będzie mogła kontynuować swoje procesy po udzielaniu zgody przez użytkownika. Pamiętaj, aby upewnić się, że aplikacja jest gotowa do bezproblemowego obsługi, gdy nie otrzyma tokenu.
Administracja środowisko wyrażania zgody
W przypadku niektórych żądań dostępu tylko administrator może udzielić zgody. Jeśli żądany dostęp jest zaawansowany lub obejmuje zasoby, których właściciele nie są bieżącymi użytkownikami, kod, aby tylko administrator mógł udzielać żądań.
Jednak nigdy nie wiesz, które uprawnienia będą wymagały zgody administratora i które umożliwiają zwykłemu użytkownikowi udzielenie zgody, ponieważ administratorzy dzierżawy mogą skonfigurować swoją dzierżawę z ustawieniem Nie zezwalaj na zgodę użytkownika (wszystkie uprawnienia wymagają zgody administratora), jak pokazano na poniższym przykładzie zrzut ekranu ustawień zgody użytkownika w centrum administracyjnym firmy Microsoft Entra.
Administracja mogą również Zezwalaj na zgodę użytkownika dla aplikacji zweryfikowanych wydawców dla wybranych uprawnień, jak pokazano na poniższym przykładzie zrzut ekranu przedstawiający ustawienia zgody użytkownika w centrum administracyjnym firmy Microsoft Entra.
Administracja mogą wtedy Dodaj uprawnienia, do których użytkownicy mogą wyrazić zgodę, jak pokazano na poniższym przykładowym zrzucie ekranu przedstawiający klasyfikacje uprawnień w centrum administracyjnym firmy Microsoft Entra.
Gdy aplikacja żąda uprawnień, które wymagają zgody administratora (zgodnie z projektem lub konfiguracją administratora), może zostać wyświetlone okno dialogowe Wymagaj zatwierdzenia przez administratora podobne do tego przykładu.
Powyższe przykładowe okno dialogowe pokazuje domyślne (gotowe) środowisko uprawnień, które wymagają zgody administratora. Większość użytkowników nie wie, co zrobić w tym scenariuszu. Nie wiedzą, kim jest ich administrator, nie wiedzą, kto ma przejść do zatwierdzenia. Ta niepewność może ograniczyć zdolność użytkownika do osiągnięcia pożądanych wyników.
Ulepszanie środowiska uprawnień i zgody
Aby poprawić uprawnienia i środowisko wyrażania zgody, administrator dzierżawy może skonfigurować przepływ pracy zgody administratora, jak pokazano na poniższym przykładzie zrzut ekranu ustawień użytkownika w centrum administracyjnym firmy Microsoft Entra.
Poniżej Administracja żądania zgody administrator dzierżawy może poprawić środowisko uprawnień i zgody użytkownika, wybierając pozycję Tak w obszarze Użytkownicy mogą zażądać zgody administratora na aplikacje, na które nie mogą wyrazić zgody i skonfigurować inne ustawienia żądań zgody Administracja.
Gdy administrator dzierżawy wybierze pozycję Tak w obszarze Użytkownicy mogą zażądać zgody administratora na aplikacje, na które nie mogą wyrazić zgody, a aplikacja żąda uprawnień, które wymagają zgody administratora, użytkownik zobaczy coś podobnego do następującego okna dialogowego Wymagane zatwierdzenie, które zapewnia lepsze środowisko użytkownika.
W powyższym przykładowym oknie dialogowym użytkownik może wprowadzić uzasadnienie żądania tej aplikacji przed wybraniem pozycji Żądanie zatwierdzenia. Żądanie zatwierdzenia następnie wprowadza kolejkę żądań zgody Administracja (przykładowy zrzut ekranu poniżej), gdzie administratorzy mają opcje przeglądania, akceptowania lub zakazu aplikacji w organizacji na podstawie profilu ryzyka.
Gdy administrator uruchamia aplikację, która wymaga zgody administratora (a administrator nie skonfigurował jeszcze tej zgody w centrum administracyjnym firmy Microsoft Entra), administrator zobaczy nieco inne okno dialogowe Żądane uprawnienia podobne do poniższego przykładu.
W powyższym przykładzie administrator widzi opis uprawnień, których żąda aplikacja. Administrator może wybrać pozycję Akceptuj , aby uruchomić pojedynczo aplikację lub wybrać pozycję Zgoda w imieniu organizacji przed wybraniem pozycji Akceptuj. Po udzieleniu zgody przez administratora dla organizacji żaden przyszły użytkownik organizacji nie będzie musiał udzielać uprawnień dla tej aplikacji, chyba że administrator usunie zgodę z dzierżawy Administracja konfiguracji żądań zgody.
Inną metodą zgody administratora dzierżawy jest w centrum administracyjnym firmy Microsoft Entra Uprawnienia , w których administratorzy mogą przejrzeć szczegóły istniejących uprawnień, których aplikacja już zażądała, podobnie jak w tym przykładzie.
W powyższym przykładzie zgody użytkownika administrator może przejrzeć przyznane uprawnienia dla aplikacji wraz z informacjami o oświadczeniach, typie uprawnień i osobach, które udzieliły zgody. Administrator może wybrać Administracja zgodę na przejrzenie udzielonych uprawnień, które wymagają zgody administratora.
Żądanie zgody administratora z wyprzedzeniem
Najlepszą strategią uprawnień aplikacji jest zadeklarowanie z wyprzedzeniem wszystkich uprawnień, których aplikacja może potrzebować lub w końcu zażąda po zarejestrowaniu aplikacji. Nie musisz żądać wszystkich uprawnień jednocześnie, ale po zadeklarowaniu wszystkich uprawnień, których aplikacja może potrzebować, administratorzy mogą wybrać pozycję Udziel zgody administratora w konfiguracji aplikacji w dzierżawie, aby wyświetlić okno dialogowe podobne do tego przykładu.
W powyższym przykładzie pokazano, jak administrator może wstępnie wyrazić zgodę na zadeklarowane uprawnienia i zapewnić najlepsze środowisko dla użytkowników i administratorów dzierżawy.
Żądanie zgody administratora z wyprzedzeniem jest doskonałym wyborem dla aplikacji biznesowych (LOB), zwłaszcza aplikacji opracowywanych przez organizację. Łatwiej jest nie pytać użytkownika, czy firma może uzyskać dostęp do danych firmy, wstępnie wyrażając zgodę na te aplikacje. Żądanie zgody administratora należy wykonać w ramach procesu rejestracji aplikacji.
Następne kroki
- Uzyskanie autoryzacji dostępu do zasobów pomaga zrozumieć, jak najlepiej zapewnić zero trust podczas uzyskiwania uprawnień dostępu do zasobów dla aplikacji.
- Usługa API Protection opisuje najlepsze rozwiązania dotyczące ochrony interfejsu API za pośrednictwem rejestracji, definiowania uprawnień i zgody oraz wymuszania dostępu w celu osiągnięcia celów zero trust.
- Najlepsze rozwiązania dotyczące autoryzacji pomagają zaimplementować najlepsze modele autoryzacji, uprawnień i zgody dla aplikacji.
- Dostosowywanie tokenów opisuje informacje, które można otrzymywać w tokenach firmy Microsoft Entra oraz jak dostosować tokeny w celu zwiększenia elastyczności i kontroli przy jednoczesnym zwiększeniu zabezpieczeń zerowego zaufania aplikacji z najniższymi uprawnieniami.
- Omówienie uprawnień i zgody w Platforma tożsamości Microsoft ułatwia zrozumienie podstawowych pojęć dotyczących dostępu i autoryzacji.
- Omówienie zgody i uprawnień ułatwia poznanie podstawowych pojęć i scenariuszy dotyczących zgody i uprawnień w usłudze Microsoft Entra ID.
- Moduł szkoleniowy: Platforma uprawnień i wyrażania zgody ułatwia naukę modeli uprawnień i struktury wyrażania zgody .
- Learn Live: Microsoft Identity: Permissions and Consent Framework (Informacje na żywo: tożsamość firmy Microsoft: uprawnienia i struktura wyrażania zgody) ułatwia poznanie podstaw tożsamości firmy Microsoft, w tym tokenów, typów kont i topologii.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla