Neočekávaná výzva k vyjádření souhlasu při přihlášení k aplikaci

Mnoho aplikací, které se integrují s Microsoft Entra ID, vyžaduje oprávnění k různým prostředkům, aby bylo možné spouštět. Pokud jsou tyto prostředky také integrovány s Microsoft Entra ID, oprávnění k přístupu k nim je požadováno pomocí architektury souhlasu Microsoft Entra. Tyto žádosti vedou k zobrazení výzvy k vyjádření souhlasu při prvním použití aplikace, což je často jednorázová operace.

V určitých scénářích se můžou zobrazit další výzvy k vyjádření souhlasu, když se uživatel pokusí přihlásit. V tomto článku diagnostikujeme důvod zobrazování neočekávaných výzev k vyjádření souhlasu a způsob řešení potíží.

Scénáře, ve kterých se uživatelům zobrazují výzvy k vyjádření souhlasu

Další výzvy lze očekávat v různých scénářích:

• Aplikace byla nakonfigurována tak, aby vyžadovala přiřazení. U aplikací, které vyžadují přiřazení, se v současné době nepodporuje souhlas jednotlivých uživatelů. oprávnění proto musí udělit správce pro celý adresář. Pokud nakonfigurujete aplikaci tak, aby vyžadovala přiřazení, nezapomeňte také udělit souhlas správce v rámci celého tenanta, aby se přiřazený uživatel mohl přihlásit.

• Sada oprávnění vyžadovaná aplikací se změnila vývojářem a musí být znovu udělena.

• Uživatel, který původně udělil souhlas s použitím aplikace, nebyl správcem, a nyní aplikaci poprvé používá jiný uživatel (nesprávce).

• Uživatel, který původně souhlasil s aplikací, byl správcem, ale neschvaloval jménem celé organizace.

• Aplikace používá přírůstkový a dynamický souhlas k vyžádání dalších oprávnění po udělení počátečního souhlasu. Přírůstkový a dynamický souhlas se často používá, když volitelné funkce aplikace vyžadují oprávnění nad rámec těch, které jsou vyžadovány pro základní funkce.

• Souhlas byl nejprve udělen a poté odvolán.

• Vývojář nakonfiguroval aplikaci tak, aby při každém použití vyžadovala výzvu k vyjádření souhlasu (poznámka: toto chování není osvědčeným postupem).

  Poznámka

  Podle doporučení a osvědčených postupů Microsoftu mnoho organizací zakázalo nebo omezilo oprávnění uživatelů k udělení souhlasu s aplikacemi. Pokud aplikace vynutí, aby uživatelé při každém přihlášení udělili souhlas, bude většina uživatelů blokovaná v používání těchto aplikací i v případě, že správce udělí souhlas správce v rámci celého tenanta. Pokud narazíte na aplikaci, která vyžaduje souhlas uživatele i po udělení souhlasu správce, obraťte se na vydavatele aplikace a zjistěte, jestli má nastavení nebo možnost ukončit vynucení souhlasu uživatele při každém přihlášení.

Kroky pro řešení potíží

Porovnání požadovaných a udělených oprávnění pro aplikace

Pokud chcete zajistit, aby oprávnění udělená pro aplikaci byla up-to-date, můžete porovnat oprávnění, která aplikace požaduje, s oprávněními, která už byla udělena v tenantovi.

1. Přihlaste se do centra pro správu Microsoft Entra minimálně jako Správce cloudových aplikací.
2. Přejděte na Identity>Aplikace>Podnikové aplikace>Všechny aplikace.
3. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.
4. V části Zabezpečení v levém navigačním panelu zvolte Oprávnění
5. Zobrazení seznamu již udělených oprávnění z tabulky na stránce Oprávnění
6. Pokud chcete zobrazit požadovaná oprávnění, vyberte tlačítko Udělit souhlas správce. Otevře se výzva k vyjádření souhlasu se seznamem všech požadovaných oprávnění. Nevybírejte Přijmout na výzvě k vyjádření souhlasu, pokud si nejste jistí, že chcete udělit souhlas správce v rámci celého tenanta.
7. V rámci výzvy k vyjádření souhlasu rozbalte uvedená oprávnění a porovnejte ji s tabulkou na stránce oprávnění. Pokud se některá oprávnění zobrazí ve výzvě k vyjádření souhlasu, ale ne na stránce s oprávněními, tento souhlas ještě nebyl udělen. Nekonsentovaná oprávnění můžou být příčinou neočekávaných výzev k vyjádření souhlasu u aplikace.

Zobrazení nastavení přiřazení uživatele

Pokud aplikace vyžaduje přiřazení, jednotliví uživatelé nemůžou souhlasit sami. Pokud chcete zkontrolovat, jestli se pro aplikaci vyžaduje přiřazení, postupujte takto:

1. Na stránce aplikace vyberte Vlastnosti v části Spravovat.
2. Zkontrolujte, jestli Je zadání povinné? je nastaveno na Ano.
3. Pokud je tato možnost nastavená na ano, musí správce udělit souhlas s oprávněními jménem celé organizace.

Kontrola nastavení souhlasu uživatele v rámci celého tenanta

Určení, jestli může jednotlivý uživatel udělit souhlas s aplikací, může být nakonfigurovaný každou organizací a může se lišit od adresáře k adresáři. I když všechna oprávnění ve výchozím nastavení nevyžadují souhlas správce, může vaše organizace zakázat souhlas uživatele úplně a zabránit tak individuálnímu uživateli, aby souhlasil sám pro sebe pro aplikaci. Pokud chcete zobrazit nastavení souhlasu uživatele vaší organizace, postupujte takto:

1. Přejděte na stránku podnikové aplikace Centra pro správu Entra od Microsoftu.
2. V části Zabezpečenízvolte Souhlas a oprávnění.
3. Zobrazte nastavení souhlasu uživatele. Pokud je tato možnost nastavená na Nepovolit souhlas uživatele, uživatelé nikdy nebudou moct vyjádřit souhlas jménem uživatele pro aplikaci.

Další kroky

• Obory působnosti, oprávnění a souhlas v Microsoft Identity Platform (verze 2.0 koncového bodu)

• neočekávaná chyba při udělování souhlasu s aplikací