Prostředí pro vyjádření souhlasu pro aplikace v Microsoft Entra ID
V tomto článku se dozvíte o uživatelském prostředí souhlasu aplikace Microsoft Entra. Můžete inteligentně spravovat aplikace pro vaši organizaci nebo vyvíjet aplikace s plynulejším prostředím pro vyjádření souhlasu.
Souhlas je proces uživatele, který uděluje autorizaci aplikaci pro přístup k chráněným prostředkům svým jménem. Správce nebo uživatel může požádat o souhlas s povolením přístupu ke svým organizacím nebo individuálním datům.
Skutečné uživatelské prostředí udělení souhlasu se liší v závislosti na zásadách nastavených v tenantovi uživatele, rozsahu autority (nebo role) uživatele a typu oprávnění požadovaných klientskou aplikací. To znamená, že vývojáři aplikací a správci tenantů mají určitou kontrolu nad prostředím souhlasu. Správci mají možnost flexibilně nastavovat a zakazovat zásady v tenantovi nebo aplikaci, a tím řídit vyjadřování souhlasu ve svém tenantovi. Vývojáři aplikací můžou určovat, jaké typy oprávnění se požadují. Můžou se také rozhodnout, jestli chtějí uživatele vést tokem souhlasu uživatele nebo tokem souhlasu správce.
- Tok souhlasu uživatele je, když vývojář aplikace nasměruje uživatele na koncový bod autorizace se záměrem zaznamenat souhlas pouze pro aktuálního uživatele.
-
Tok souhlasu správce je, když vývojář aplikace nasměruje uživatele na koncový bod souhlasu správce se záměrem zaznamenat souhlas pro celého tenanta. Aby tok souhlasu správce fungoval správně, musí vývojáři aplikací vypsat všechna oprávnění ve
RequiredResourceAccessvlastnosti v manifestu aplikace. Další informace najdete v manifestu aplikace.
Stavební bloky výzvy k vyjádření souhlasu
Výzva k vyjádření souhlasu je navržená tak, aby uživatelům zajistila dostatek informací k určení, jestli klientské aplikaci důvěřují přístupu k chráněným prostředkům jejich jménem. Pochopení stavebních bloků pomáhá uživatelům udělovat souhlas informovanějším rozhodnutím a pomáhá vývojářům vytvářet lepší uživatelská prostředí.
Následující diagram a tabulka obsahují informace o stavebních blocích výzvy k vyjádření souhlasu.
| # | Komponenta | Účel |
|---|---|---|
| 0 | Identifikátor uživatele | Tento identifikátor představuje uživatele, kterého klientská aplikace žádá o přístup k chráněným prostředkům jménem. |
| 2 | Nadpis | Název se změní podle toho, jestli uživatelé procházejí tokem souhlasu uživatele nebo správce. V toku souhlasu uživatele je název "Požadovaná oprávnění", zatímco v toku souhlasu správce má název další řádek "Přijmout pro vaši organizaci". |
| 3 | Logo aplikace | Tento obrázek by měl uživatelům pomoct s vizuálním upozorněním, jestli se jedná o aplikaci, ke které mají přístup. Tuto image poskytují vývojáři aplikací a vlastnictví této image se neověřuje. |
| 4 | Název aplikace | Tato hodnota by měla informovat uživatele, kteří aplikace požadují přístup ke svým datům. Všimněte si, že tento název poskytuje vývojáři a vlastnictví tohoto názvu aplikace se neověřuje. |
| 5 | Název a ověření vydavatele | Modrý odznáček "ověřeno" znamená, že vydavatel aplikace ověřil svou identitu pomocí účtu Microsoft Partner Network a dokončil proces ověření. Pokud je aplikace ověřená vydavatelem, zobrazí se název vydavatele. Pokud aplikace není ověřená vydavatelem, zobrazí se místo názvu vydavatele text Neověřená. Další informace najdete v tématu Ověření vydavatele. Výběrem názvu vydavatele se zobrazí další informace o aplikaci, které jsou k dispozici. Informace zahrnují název vydavatele, doménu vydavatele, datum vytvoření, podrobnosti o certifikaci a adresy URL odpovědí. |
| 6 | Certifikace Microsoftu 365 | Logo Certifikace Microsoftu 365 znamená, že aplikace je prověřena proti ovládacím prvkům odvozeným z předních oborových standardních architektur. Ukazuje, že pro ochranu zákaznických dat se používají silné postupy zabezpečení a dodržování předpisů. Další informace najdete v článku o certifikaci Microsoftu 365. |
| 7 | Informace o vydavateli | Zobrazí, jestli je aplikace publikovaná Microsoftem. |
| 8 | Oprávnění | Tento seznam obsahuje oprávnění požadovaná klientskou aplikací. Uživatelé by měli vždy vyhodnotit typy požadovaných oprávnění, aby porozuměli datům, ke kterým má klientská aplikace oprávnění přistupovat jejich jménem. Jako vývojář aplikací je nejlepší požádat o přístup k oprávněním s nejnižšími oprávněními. |
| 9 | Popis oprávnění | Tuto hodnotu poskytuje služba, která oprávnění vystavuje. Pokud chcete zobrazit popisy oprávnění, musíte zapnout dvojitou šipku vedle oprávnění. |
| 10 | https://myapps.microsoft.com |
Tento odkaz umožňuje uživatelům kontrolovat a odebírat všechny aplikace jiné společnosti než Microsoft, které mají přístup ke svým datům. |
| 11 | Nahlaste ho tady. | Tento odkaz slouží k nahlášení podezřelé aplikace, pokud aplikaci nedůvěřujete, pokud se domníváte, že zosobní jinou aplikaci, pokud je pravděpodobné, že vaše data zneužije nebo z nějakého jiného důvodu. |
Běžné scénáře a prostředí souhlasu
Následující část popisuje běžné scénáře a očekávané prostředí souhlasu pro každý z nich.
Aplikace vyžaduje oprávnění, které má uživatel právo udělit
V tomto scénáři souhlasu uživatel přistupuje k aplikaci, která vyžaduje sadu oprávnění, která je v rozsahu autority uživatele. Uživatel se směruje do toku souhlasu uživatele.
Správci vidí jiný ovládací prvek na tradiční výzvě k vyjádření souhlasu, který jim umožňuje udělit souhlas jménem celého tenanta. Ovládací prvek je ve výchozím nastavení vypnutý, takže pouze když správci toto políčko explicitně zaškrtnou, udělí se souhlas jménem celého tenanta. Zaškrtávací políčko se zobrazuje alespoň pro roli správce privilegovaných rolí, takže toto políčko nevidí správce cloudu a správce aplikací.
Uživatelům se zobrazí tradiční výzva k vyjádření souhlasu.
Aplikace vyžaduje oprávnění, které uživatel nemá právo udělit.
V tomto scénáři souhlasu uživatel přistupuje k aplikaci, která vyžaduje alespoň jedno oprávnění, které je mimo rozsah autority uživatele.
Správci vidí jiný ovládací prvek na tradiční výzvě k vyjádření souhlasu, který jim umožňuje souhlas jménem celého tenanta.
Uživatelům, kteří nejsou správcem, se zablokují udělení souhlasu s aplikací a budou jim řečeno, aby požádali správce o přístup k aplikaci. Pokud je v tenantovi uživatele povolený pracovní postup souhlasu správce, můžou uživatelé odeslat žádost o schválení správcem z výzvy k vyjádření souhlasu. Další informace o pracovním postupu souhlasu správce najdete v tématu Pracovní postup souhlasu správce.
Uživatel se směruje do toku souhlasu správce.
V tomto scénáři souhlasu uživatel přejde nebo se přesměruje na tok souhlasu správce.
Uživatelům s oprávněním správce se zobrazí výzva k vyjádření souhlasu správce. Název a popisy oprávnění se v této výzvě změnily, změny zvýrazňují skutečnost, že přijetí této výzvy uděluje aplikaci přístup k požadovaným datům jménem celého tenanta.
Uživatelům se zablokuje udělení souhlasu s aplikací a jim se řekne, aby požádali správce o přístup k aplikaci.
Souhlas správce prostřednictvím Centra pro správu Microsoft Entra
V tomto scénáři správce souhlasí se všemi oprávněními, která aplikace požaduje, což může zahrnovat delegovaná oprávnění jménem všech uživatelů v tenantovi. Správce udělí souhlas prostřednictvím stránky oprávnění rozhraní API registrace aplikace v Centru pro správu Microsoft Entra.
Pokud aplikace nevyžaduje nová oprávnění, všichni uživatelé v tomto tenantovi neuvidí dialogové okno souhlasu. Informace o tom, které role správce můžou udělit souhlas s delegovanými oprávněními, najdete v tématu Oprávnění role správce v Microsoft Entra ID.
Důležité
Udělení výslovného souhlasu pomocí tlačítka Udělit oprávnění je aktuálně vyžadováno pro jednostránkové aplikace (SPA), které používají MSAL.js. V opačném případě aplikace selže při vyžádání přístupového tokenu.
Běžné problémy
Tato část popisuje běžné problémy s prostředím souhlasu a možnými tipy pro řešení potíží.
Chyba 403
- Je případ delegovaný scénář? Jaká oprávnění má uživatel?
- Jsou pro používání koncového bodu přidaná potřebná oprávnění?
- Zkontrolujte token a zkontrolujte, jestli má k volání koncového bodu potřebné deklarace identity.
- Jaká oprávnění jsou udělena? Kdo souhlas udělil?
Uživatel nemůže udělit souhlas
- Kontrola, jestli správce tenanta zakázal souhlas uživatele pro vaši organizaci
- Ověřte, jestli oprávnění, která požadujete, jsou oprávnění omezená správcem.
Uživatel je stále zablokovaný i po souhlasu správce.
- Zkontrolujte, jestli jsou statická oprávnění nakonfigurovaná tak, aby byla dynamicky požadovaná nadmnožinou oprávnění.
- Zkontrolujte, jestli se pro aplikaci vyžaduje přiřazení uživatele.
Řešení známých chyb
Postup řešení potíží najdete v tématu Neočekávaná chyba při provádění souhlasu s aplikací.
Související obsah
- Získejte podrobný přehled o tom, jak architektura souhlasu Microsoft Entra implementuje souhlas.
- Pro hlubší porozumění se naučte , jak může víceklientská aplikace používat rámec souhlasu k implementaci souhlasu uživatele a správce, což podporuje pokročilejší vzory vícevrstvých aplikací.
- Zjistěte , jak nakonfigurovat doménu vydavatele aplikace.