你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解 Azure AD 应用程序许可体验
详细了解 Azure Active Directory (Azure AD) 应用程序许可用户体验, 以便通过更加无缝的许可体验智能地管理组织的应用程序和/或开发应用程序。
许可和权限
许可是指用户授权应用程序代表他们访问受保护资源的过程。 可以要求管理员或用户同意访问其组织/个人数据。
授予许可的实际用户体验将根据在用户租户上设置的策略、用户的授权范围(或角色)以及客户端应用程序请求的权限类型而有所不同。 这意味着应用程序开发人员和租户管理员可以对许可体验进行一些控制。 管理员可以在租户或应用上灵活地设置和禁用策略,以控制其租户中的许可体验。 应用程序开发人员可以指示正在请求的访问权限类型以及是否希望引导用户完成用户同意流或管理员同意流。
- 用户许可流是指应用程序开发人员将用户定向到授权终结点,意图仅记录当前用户的许可。
- 管理员许可流是指应用程序开发人员将用户定向到管理员许可终结点,意图记录整个租户的许可。 若要确保管理员许可流正常工作,应用程序开发人员必须列出应用程序清单中
RequiredResourceAccess属性中的所有权限。 有关详细信息,请参阅应用程序清单。
许可提示的构建基块
许可提示旨在确保用户有足够的信息来确定他们是否信任客户端应用程序代表他们访问受保护的资源。 了解构建基块将帮助授予许可的用户做出更明智的决策,并帮助开发人员构建更好的用户体验。
下面的图和表提供了有关许可提示构建基块的信息。
| # | 组件 | 目的 |
|---|---|---|
| 1 | 用户标识符 | 此标识符表示客户端应用程序正在请求代表其访问受保护资源的用户。 |
| 2 | 标题 | 标题根据用户是完成用户许可流还是管理员许可流而变化。 在用户许可流中,标题将为“请求的权限”,而在管理员许可流中,标题还有额外的一行“为组织接受”。 |
| 3 | 应用徽标 | 此图像应帮助用户直观地了解此应用是否是他们打算访问的应用。 此图像由应用程序开发人员提供,并且未验证此图像的所有权。 |
| 4 | 应用程序名称 | 此值应告知用户哪个应用程序正在请求访问其数据。 请注意,此名称由开发人员提供,并且未验证此应用名称的所有权。 |
| 5 | 发布者名称和验证 | 蓝色的“已验证”标志表示应用发布者已使用 Microsoft 合作伙伴网络帐户验证了其身份,并完成了验证过程。 如果应用已验证发布者,则会显示发布者名称。 如果应用未验证发布者,则会显示“未验证”,而不是发布者名称。 有关详细信息,请阅读发布者验证。 选择发布者名称会显示更多可用的应用信息,例如发布者名称、发布者域、创建日期、认证详细信息和回复 URL。 |
| 6 | Microsoft 365 认证 | Microsoft 365 认证徽标表示应用已通过来自领先行业标准框架的控制审查,并且制定有强大的安全性和合规性做法来保护客户数据。 有关详细信息,请阅读 Microsoft 365 认证。 |
| 7 | 发布者信息 | 显示应用程序是否由 Microsoft 发布。 |
| 8 | 权限 | 此列表包含客户端应用程序请求的权限。 用户应始终评估所请求的权限类型,以了解客户端应用程序获权代表他们(如果他们接受)访问哪些数据。 作为应用程序开发人员,最好使用最小特权请求访问权限。 |
| 9 | 权限说明 | 此值由公开权限的服务提供。 若要查看权限说明,必须切换权限旁边的 V 形图标。 |
| 10 | https://myapps.microsoft.com | 在此链接中,用户可以查看和删除当前有权访问其数据的任何非 Microsoft 应用程序。 |
| 11 | 在此处报告 | 如果你不信任该应用,如果你认为该应用正在模拟其他应用,如果你认为该应用会滥用数据,或出于某些其他原因,则此链接可用于报告可疑应用。 |
应用需要用户授权范围内的权限
常见的许可方案是,用户访问的应用需要用户授权范围内的权限集。 用户将定向到用户许可流。
管理员将在传统许可提示上看到一个附加控件,该控件允许他们代表整个租户进行许可。 该控件默认处于关闭状态,因此只有当管理员显式选中该框时,才会代表整个租户授予许可。 到目前为止,此复选框仅对全局管理员角色显示,因此云管理员和应用管理员不会看到此复选框。
用户将看到传统许可提示。
应用需要用户授权范围外的权限
另一种常见的许可方案是,用户访问的应用至少需要一个用户授权范围外的权限。
管理员将在传统许可提示上看到一个附加控件,该控件允许他们代表整个租户进行许可。
将阻止非管理员用户向该应用程序授予许可,并将告知用户向其管理员索要对该应用的访问权限。
用户将定向到管理员许可流
另一种常见的方案是用户导航到或定向到管理员许可流。
管理员用户将看到管理员许可提示。 此提示上的标题和权限说明已更改,这些更改强调了一个事实:接受此提示即表示授予应用代表整个租户访问所请求数据的权限。
将阻止非管理员用户向该应用程序授予许可,并将告知用户向其管理员索要对该应用的访问权限。
后续步骤
- 获取有关 Azure AD 同意框架如何实现同意的分步概述。
- 有关详细信息,请参阅多租户应用程序如何使用同意框架实现“用户”和“管理员”同意(支持更多高级多层应用程序模式)。
- 了解如何配置应用的发布者域。