Při přihlášení k aplikaci se uživateli nečekaně zobrazí výzva k získání souhlasu

Mnoho aplikací, které se integrují s Microsoft Entra ID, vyžaduje oprávnění k různým prostředkům, aby bylo možné spouštět. Pokud jsou tyto prostředky také integrovány s Microsoft Entra ID, oprávnění k přístupu k nim je požadováno pomocí architektury souhlasu Microsoft Entra. Tyto žádosti vedou k zobrazení výzvy k vyjádření souhlasu při prvním použití aplikace, což je často jednorázová operace.

V určitých scénářích se můžou zobrazit další výzvy k vyjádření souhlasu, když se uživatel pokusí přihlásit. V tomto článku diagnostikujeme důvod zobrazování neočekávaných výzev k vyjádření souhlasu a způsob řešení potíží.

Scénáře, ve kterých se uživatelům zobrazují výzvy k vyjádření souhlasu

Další výzvy lze očekávat v různých scénářích:

• Aplikace byla nakonfigurována tak, aby vyžadovala přiřazení. U aplikací, které vyžadují přiřazení, se v současné době nepodporuje souhlas jednotlivých uživatelů. oprávnění proto musí udělit správce pro celý adresář. Pokud nakonfigurujete aplikaci tak, aby vyžadovala přiřazení, nezapomeňte také udělit souhlas správce v rámci celého tenanta, aby se přiřazený uživatel mohl přihlásit.

• Sada oprávnění vyžadovaná aplikací se změnila vývojářem a musí být znovu udělena.

• Uživatel, který původně souhlasil s aplikací, nebyl správcem a teď aplikaci poprvé používá jiný (nesprávní).

• Uživatel, který původně souhlasil s aplikací, byl správcem, ale neschvaloval jménem celé organizace.

• Aplikace používá přírůstkový a dynamický souhlas k vyžádání dalších oprávnění po počátečním udělení souhlasu. Přírůstkový a dynamický souhlas se často používá, když volitelné funkce aplikace vyžadují oprávnění nad rámec těch, které jsou vyžadovány pro základní funkce.

• Po počátečním udělení souhlasu byl odvolán.

• Vývojář nakonfiguroval aplikaci tak, aby při každém použití vyžadovala výzvu k vyjádření souhlasu (poznámka: toto chování není osvědčeným postupem).

  Poznámka:

  Podle doporučení a osvědčených postupů Microsoftu mnoho organizací zakázalo nebo omezilo oprávnění uživatelů k udělení souhlasu s aplikacemi. Pokud aplikace vynutí, aby uživatelé při každém přihlášení udělili souhlas, bude většina uživatelů blokovaná v používání těchto aplikací i v případě, že správce udělí souhlas správce v rámci celého tenanta. Pokud narazíte na aplikaci, která vyžaduje souhlas uživatele i po udělení souhlasu správce, obraťte se na vydavatele aplikace a zjistěte, jestli má nastavení nebo možnost ukončit vynucení souhlasu uživatele při každém přihlášení.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Postup při řešení potíží

Porovnání požadovaných a udělených oprávnění pro aplikace

Pokud chcete zajistit, aby oprávnění udělená pro aplikaci byla aktuální, můžete porovnat oprávnění, která aplikace požaduje, s oprávněními, která už byla udělena v tenantovi.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.
3. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.
4. V části Zabezpečení v levém navigačním panelu zvolte Oprávnění.
5. Zobrazení seznamu již udělených oprávnění z tabulky na stránce Oprávnění
6. Pokud chcete zobrazit požadovaná oprávnění, vyberte tlačítko Udělit souhlas správce. Otevře se výzva k vyjádření souhlasu se seznamem všech požadovaných oprávnění. Pokud si nejste jistí, že chcete udělit souhlas správce v rámci celého tenanta, nevybírejte možnost Přijmout na příkazovém řádku k vyjádření souhlasu.
7. V rámci výzvy k vyjádření souhlasu rozbalte uvedená oprávnění a porovnejte ji s tabulkou na stránce oprávnění. Pokud se některá zobrazí v výzvě k vyjádření souhlasu, ale ne na stránce s oprávněními, musí se s tímto oprávněním souhlasit. Nekonsentovaná oprávnění můžou být příčinou neočekávaných výzev k vyjádření souhlasu u aplikace.

Zobrazení nastavení přiřazení uživatele

Pokud aplikace vyžaduje přiřazení, jednotliví uživatelé nemůžou souhlasit sami. Pokud chcete zkontrolovat, jestli se pro aplikaci vyžaduje přiřazení, postupujte takto:

1. Na stránce aplikace vyberte vlastnosti v části Spravovat.
2. Zkontrolujte, jestli je požadováno přiřazení? Je nastavená hodnota Ano.
3. Pokud je tato možnost nastavená na ano, musí správce udělit souhlas s oprávněními jménem celé organizace.

Kontrola nastavení souhlasu uživatele v rámci celého tenanta

Určení, jestli může jednotlivý uživatel udělit souhlas s aplikací, může být nakonfigurovaný každou organizací a může se lišit od adresáře k adresáři. I když všechna oprávnění ve výchozím nastavení nevyžadují souhlas správce, může vaše organizace zakázat souhlas uživatele úplně a zabránit tak individuálnímu uživateli, aby souhlasil sám pro sebe pro aplikaci. Pokud chcete zobrazit nastavení souhlasu uživatele vaší organizace, postupujte takto:

1. Přejděte na stránku Podnikové aplikace v Centru pro správu Microsoft Entra.
2. V části Zabezpečení zvolte Souhlas a oprávnění.
3. Zobrazte nastavení souhlasu uživatele. Pokud je nastavená možnost Nepovolit souhlas uživatele, uživatelé nebudou moct souhlasit jménem sebe sama pro aplikaci.

Další kroky

• Obory, oprávnění a souhlas na platformě Microsoft Identity Platform (koncový bod v2.0)

• Při povolování spuštění aplikace se zobrazí neočekávaná chyba