Microsofts identitetsplattform ramverk för medgivande

Program med flera klientorganisationer tillåter inloggningar efter användarkonton från andra Azure AD-klientorganisationer än den klientorganisation där appen ursprungligen registrerades. Ramverket för Microsofts identitetsplattform medgivande gör det möjligt för en klientadministratör eller användare i dessa andra klientorganisationer att godkänna (eller neka) ett programs begäran om behörighet att komma åt sina resurser.

Till exempel kanske ett webbprogram kräver skrivskyddad åtkomst till en användares kalender i Microsoft 365. Det är identitetsplattformens ramverk för medgivande som gör att användaren uppmanas att godkänna appens begäran om behörighet att läsa kalendern. Om användaren ger sitt medgivande kan programmet anropa Microsoft Graph API för deras räkning och hämta kalenderdata.

Följande steg visar hur medgivandefunktionen fungerar för både programutvecklaren och användaren.

  1. Anta att du har ett webbklientprogram som behöver begära specifika behörigheter för att få åtkomst till en resurs/API. Du får lära dig hur du gör den här konfigurationen i nästa avsnitt, men i princip används Azure Portal för att deklarera behörighetsbegäranden vid konfigurationstillfället. De blir en del av programmets Azure AD-registrering som andra konfigurationsinställningar:

    Permissions to other applications

  2. Tänk på att programmets behörigheter har uppdaterats, att programmet körs och att en användare är på väg att använda det för första gången. Först måste programmet hämta en auktoriseringskod från Azure AD:s /authorize slutpunkt. Auktoriseringskoden kan sedan användas för att få en ny åtkomst och uppdatera token.

  3. Om användaren inte redan är autentiserad uppmanar Azure AD-slutpunkten /authorize användaren att logga in.

    User or administrator sign in to Azure AD

  4. När användaren har loggat in avgör Azure AD om användaren behöver visas på en sida för medgivande. Det här fastställandet baseras på om användaren (eller organisationens administratör) redan har gett medgivande för programmet. Om medgivande inte redan har beviljats uppmanar Azure AD användaren att ge sitt medgivande och visar de behörigheter som krävs för att fungera. Den uppsättning behörigheter som visas i dialogrutan för medgivande matchar de som valts i delegerade behörigheter i Azure Portal.

    Shows an example of permissions displayed in the consent dialog

  5. När användaren har gett sitt medgivande returneras en auktoriseringskod till ditt program, som löses in för att hämta en åtkomsttoken och uppdatera token. Mer information om det här flödet finns i OAuth 2.0-auktoriseringskodflöde.

  6. Som administratör kan du även samtycka till ett programs delegerade behörigheter för samtliga användare i klienten. Administratörsmedgivande förhindrar att dialogrutan för medgivande visas för varje användare i klientorganisationen och kan göras i Azure Portal av användare med administratörsrollen. Information om vilka administratörsroller som kan samtycka till delegerade behörigheter finns i Administratörsrollbehörigheter i Azure AD.

    Godkänna en apps delegerade behörigheter

    1. Gå till sidan API-behörigheter för ditt program

    2. Klicka på knappen Bevilja administratörsmedgivande .

      Grant permissions for explicit admin consent

    Viktigt

    Att bevilja uttryckligt medgivande med hjälp av knappen Bevilja behörigheter krävs för närvarande för ensidesprogram (SPA) som använder MSAL.js. Annars misslyckas programmet när åtkomsttoken begärs.

Nästa steg

Se hur du konverterar en app till flera klientorganisationer