Sdílet prostřednictvím

Použití řízení přístupu na základě role pro aplikace

  • Článek

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Řízení přístupu na základě role (RBAC) je oblíbený mechanismus pro vynucení autorizace v aplikacích. Když organizace používá RBAC, vývojář aplikace definuje role pro aplikaci. Správce pak může přiřadit role různým uživatelům a skupinám a řídit, kdo má přístup k obsahu a funkcím v aplikaci.

Aplikace obvykle přijímají informace o roli uživatele jako deklarace identity v tokenu zabezpečení. Vývojáři mají flexibilitu poskytovat vlastní implementaci způsobu interpretace deklarací rolí jako oprávnění aplikace. Tato interpretace oprávnění může zahrnovat použití middlewaru nebo jiných možností poskytovaných platformou aplikací nebo souvisejících knihoven.

Role aplikací

Microsoft Entra Externí ID umožňuje definovat aplikační role pro vaši aplikaci a přiřadit tyto role uživatelům a skupinám. Role, které přiřadíte uživateli nebo skupině, definují jejich úroveň přístupu k prostředkům a operacím ve vaší aplikaci.

Když Microsoft Entra Externí ID vydá token zabezpečení pro ověřeného uživatele, bude obsahovat názvy rolí, které jste přiřadili uživateli nebo skupině v deklaraci identity tokenu zabezpečení. Aplikace, která obdrží token zabezpečení v požadavku, pak může rozhodovat o autorizaci na základě hodnot v deklaraci identity rolí.

Tip

Vyzkoušet

Pokud si chcete tuto funkci vyzkoušet, přejděte na ukázku potravin Woodgrove a spusťte případ použití řízení přístupu na základě role.

Skupiny

Vývojáři mohou také použít skupiny zabezpečení k implementaci RBAC ve svých aplikacích, kde se členství uživatele v konkrétních skupinách interpretuje jako jejich členství v rolích. Pokud organizace používá skupiny zabezpečení, je deklarace identity skupin součástí tokenu. Deklarace identity skupin určuje identifikátory všech skupin, ke kterým je uživatel přiřazený v rámci aktuálního externího tenanta.

Tip

Vyzkoušet

Pokud si chcete tuto funkci vyzkoušet, přejděte do ukázky potravin Woodgrove a spusťte případ použití řízení přístupu na základě skupiny.

Role aplikací vs. skupiny

I když k autorizaci můžete použít role aplikací nebo skupiny, klíčové rozdíly mezi nimi můžou ovlivnit, které se rozhodnete pro váš scénář použít.

Role aplikací Skupiny
Jsou specifické pro aplikaci a jsou definovány v registraci aplikace. Nejsou specifické pro aplikaci, ale pro externího tenanta.
Nejde sdílet mezi aplikacemi. Lze použít ve více aplikacích.
Role aplikací se odeberou při odebrání registrace aplikace. Skupiny zůstanou nedotčené i v případě, že je aplikace odebrána.
Zadanou roles v deklaraci identity. Zadanou v groups deklaraci identity.

Vytvoření skupiny zabezpečení

Skupiny zabezpečení spravují přístup uživatelů a počítačů ke sdíleným prostředkům. Skupinu zabezpečení můžete vytvořit tak, aby všichni členové skupiny měli stejnou sadu oprávnění zabezpečení.

Pokud chcete vytvořit skupinu zabezpečení, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte do skupin>identit>Všechny skupiny.
  4. Vyberte Nová skupina.
  5. V rozevíracím seznamu Typ skupiny vyberte Zabezpečení.
  6. Zadejte název skupiny zabezpečení, například Contoso_App_Administrators.
  7. Zadejte popis skupiny zabezpečení, například Správce zabezpečení aplikace Contoso.
  8. Vyberte Vytvořit.

Nová skupina zabezpečení se zobrazí v seznamu Všechny skupiny . Pokud ji hned nevidíte, aktualizujte stránku.

Microsoft Entra Externí ID může do tokenů pro použití v aplikacích zahrnout informace o členství uživatele ve skupinách. Dozvíte se, jak přidat deklaraci identity skupiny do tokenů v části Přiřazení uživatelů a skupin k rolím .

Deklarace rolí pro aplikaci

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

  3. Přejděte k aplikacím> identit>Registrace aplikací.

  4. Vyberte aplikaci, ve které chcete definovat role aplikace.

  5. Vyberte Aplikační role a pak vyberte Vytvořit aplikační roli.

  6. V podokně Vytvořit aplikační roli zadejte nastavení pro požadovanou roli. Následující tabulka popisuje každé nastavení a jeho parametry.

    Pole Description Příklad
    Zobrazované jméno Zobrazovaný název role aplikace, která se zobrazí v prostředích přiřazení aplikace. Tato hodnota může obsahovat mezery. Orders manager
    Povolené typy členů Určuje, jestli se tato role aplikace dá přiřadit uživatelům, aplikacím nebo oběma. Users/Groups
    Hodnota Určuje hodnotu deklarace identity rolí, kterou má aplikace v tokenu očekávat. Hodnota by se měla přesně shodovat s řetězcem odkazovaným v kódu aplikace. Hodnota nemůže obsahovat mezery. Orders.Manager
    Popis Podrobnější popis role aplikace zobrazené během přiřazování aplikací pro správce. Manage online orders.
    Chcete tuto roli aplikace povolit? Určuje, jestli je povolená role aplikace. Pokud chcete odstranit roli aplikace, zrušte zaškrtnutí tohoto políčka a před pokusem o odstranění použijte změnu. Kontroloval

  7. Výběrem možnosti Použít vytvořte roli aplikace.

Přiřazování uživatelů a skupin k rolím

Jakmile do aplikace přidáte role aplikací, může správce přiřadit role uživatelům a skupinám. Přiřazení uživatelů a skupin k rolím je možné provádět prostřednictvím Centra pro správu nebo prostřednictvím kódu programu pomocí Microsoft Graphu. Když se uživatelé přiřazení k různým rolím aplikace přihlásí k aplikaci, mají jejich tokeny přiřazené role v roles deklaraci identity.

Přiřazení uživatelů a skupin k rolím aplikací pomocí webu Azure Portal:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte k podnikovým aplikacím> identit.>
  4. Vyberte Všechny aplikace. Zobrazí se seznam všech vašich aplikací. Pokud se vaše aplikace v seznamu nezobrazí, pomocí filtrů v horní části seznamu Všechny aplikace seznam omezte, nebo procházením seznamu aplikaci vyhledejte.
  5. Vyberte aplikaci, ve které chcete přiřadit uživatele nebo skupiny zabezpečení k rolím.
  6. Pod možností Spravovat vyberte Uživatelé a skupiny.
  7. Vyberte Přidat uživatele a otevřete podokno Přidat přiřazení.
  8. V podokně Přidat přiřazení vyberte Uživatelé a skupiny. Zobrazí se seznam uživatelů a skupin zabezpečení. V seznamu můžete vybrat více uživatelů a skupin.
  9. Jakmile vyberete uživatele a skupiny, zvolte Vybrat.
  10. V podokně Přidat přiřazení zvolte Vybrat roli. Zobrazí se všechny role, které jste definovali pro aplikaci.
  11. Vyberte roli a pak zvolte Vybrat.
  12. Výběrem možnosti Přiřadit dokončíte přiřazení uživatelů a skupin k aplikaci.
  13. Ověřte, že se uživatelé a skupiny, které jste přidali, zobrazují v seznamu Uživatelé a skupiny .

Pokud chcete aplikaci otestovat, odhlaste se a znovu se přihlaste pomocí uživatele, kterému jste přiřadili role. Zkontrolujte token zabezpečení a ujistěte se, že obsahuje roli uživatele.

Přidání deklarací identity skupin do tokenů zabezpečení

Pokud chcete v tokenech zabezpečení vygenerovat deklarace identity členství ve skupinách, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce aplikací.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte k aplikacím> identit>Registrace aplikací.
  4. Vyberte aplikaci, do které chcete přidat deklaraci identity skupin.
  5. V části Spravovat vyberte konfiguraci tokenu.
  6. Vyberte Přidat deklaraci identity skupin.
  7. Vyberte typy skupin, které chcete zahrnout do tokenů zabezpečení.
  8. V části Přizpůsobit vlastnosti tokenu podle typu vyberte ID skupiny.
  9. Vyberte Přidat a přidejte deklaraci identity skupin.

Přidání členů do skupiny

Teď, když jste do aplikace přidali deklaraci identity skupin aplikací, přidejte uživatele do skupin zabezpečení. Pokud skupinu zabezpečení nemáte, vytvořte ji.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte do skupin>identit>Všechny skupiny.
  4. Vyberte skupinu, kterou chcete spravovat.
  5. Vyberte členy.
  6. Vyberte + Přidat členy.
  7. Projděte seznam nebo zadejte název do vyhledávacího pole. Můžete zvolit více názvů. Až budete připraveni, zvolte Vybrat.
  8. Stránka Přehled skupiny se aktualizuje a zobrazí počet členů, kteří jsou nyní přidaní do skupiny.

Pokud chcete otestovat aplikaci, odhlaste se a znovu se přihlaste pomocí uživatele, který jste přidali do skupiny zabezpečení. Zkontrolujte token zabezpečení a ujistěte se, že obsahuje členství uživatele ve skupině.

Podpora skupin a aplikačních rolí

Externí tenant se řídí modelem správy uživatelů a skupin a přiřazením aplikací Microsoft Entra. Mnoho základních funkcí Microsoft Entra se postupně přesouvá do externích tenantů.

Následující tabulka ukazuje, které funkce jsou aktuálně dostupné.

Funkce Aktuálně k dispozici?
Vytvoření role aplikace pro prostředek Ano, úpravou manifestu aplikace
Přiřazení role aplikace uživatelům Ano
Přiřazení role aplikace ke skupinám Ano, pouze přes Microsoft Graph
Přiřazení role aplikace k aplikacím Ano, prostřednictvím oprávnění aplikace
Přiřazení uživatele k roli aplikace Ano
Přiřazení aplikace k roli aplikace (oprávnění aplikace) Ano
Přidání skupiny do aplikace nebo instančního objektu (deklarace identity skupin) Ano, pouze přes Microsoft Graph
Vytvoření, aktualizace nebo odstranění zákazníka (místního uživatele) prostřednictvím Centra pro správu Microsoft Entra Ano
Resetování hesla pro zákazníka (místního uživatele) prostřednictvím Centra pro správu Microsoft Entra Ano
Vytvoření, aktualizace nebo odstranění zákazníka (místního uživatele) přes Microsoft Graph Ano
Resetování hesla pro zákazníka (místního uživatele) prostřednictvím Microsoft Graphu Ano, pouze pokud se instanční objekt přidá do role globálního správce.
Vytvoření, aktualizace nebo odstranění skupiny zabezpečení prostřednictvím Centra pro správu Microsoft Entra Ano
Vytvoření, aktualizace nebo odstranění skupiny zabezpečení prostřednictvím rozhraní Microsoft Graph API Ano
Změna členů skupiny zabezpečení pomocí Centra pro správu Microsoft Entra Ano
Změna členů skupiny zabezpečení pomocí rozhraní Microsoft Graph API Ano
Vertikální navýšení kapacity až na 50 000 uživatelů a 50 000 skupin Aktuálně nedostupné
Přidání 50 000 uživatelů do alespoň dvou skupin Aktuálně nedostupné

Další kroky