Experiencia de consentimiento para aplicaciones en el id. de Microsoft Entra
En este artículo, aprenderás cómo es la experiencia de usuario del consentimiento de la aplicación Microsoft Entra. Puedes administrar las aplicaciones para tu organización o desarrollar aplicaciones de manera inteligente con una experiencia de consentimiento más sencilla.
El consentimiento es el proceso por el cual un usuario concede autorización para que una aplicación acceda a recursos protegidos en su nombre. Se puede solicitar el consentimiento a un administrador o usuario para que permita el acceso a los datos de la organización o de personas.
La experiencia real del usuario para otorgar el consentimiento difiere en función de las directivas establecidas en el inquilino del usuario, el ámbito de autoridad del usuario (o su rol) y el tipo de permisos que solicita la aplicación cliente. Esto significa que los desarrolladores de aplicaciones y los administradores de inquilinos tienen cierto control sobre la experiencia de consentimiento. Los administradores tienen la flexibilidad de configurar y deshabilitar las directivas en una aplicación o inquilino para controlar la experiencia de consentimiento en su inquilino. Los desarrolladores de aplicaciones pueden dictar qué tipos de permisos se solicitan. También pueden decidir si quieren guiar a los usuarios a través del flujo de consentimiento del usuario o el flujo de consentimiento del administrador.
- El flujo de consentimiento del usuario es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de autorización con la intención de registrar el consentimiento solo para el usuario actual.
- El flujo de consentimiento del administrador es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de consentimiento del administrador con la intención de registrar el consentimiento para todo el inquilino. Para asegurarse de que el flujo de consentimiento del administrador funcione correctamente, los desarrolladores de aplicaciones deben enumerar todos los permisos en la propiedad
RequiredResourceAccess
en el manifiesto de aplicación. Para más información, consulte Manifiesto de aplicación.
Bloques de creación de la petición de consentimiento
La petición de consentimiento está diseñada para garantizar que los usuarios tengan suficiente información para determinar si confían en que la aplicación cliente acceda a recursos protegidos en su nombre. Comprender los bloques de creación ayuda a los usuarios que otorgan consentimientos a tomar decisiones más informadas y a los desarrolladores a crear mejores experiencias de usuario.
En el diagrama y la tabla siguientes se proporciona información sobre los bloques de creación de la petición de consentimiento.
# | Componente | Propósito |
---|---|---|
1 | Identificador de usuario | Este identificador representa al usuario en cuyo nombre la aplicación cliente solicita acceso a recursos protegidos. |
2 | Título | El título cambia en función de si los usuarios siguen el flujo de consentimiento del usuario o del administrador. En el flujo de consentimiento del usuario, el título es "Permisos solicitados" mientras que en el flujo de consentimiento del administrador, el título tiene otra línea "Aceptar para su organización". |
3 | Logotipo de la aplicación | Esta imagen debe ayudar a los usuarios a tener una indicación visual de si esta aplicación es la aplicación a la que pretenden acceder. Los desarrolladores de aplicaciones proporcionan esta imagen, y no se valida la propiedad de esta imagen. |
4 | Nombre de la aplicación | Este valor debe informar a los usuarios qué aplicación solicita acceso a sus datos. Tenga en cuenta que los desarrolladores proporcionan este nombre, y no se valida la propiedad del nombre de esta aplicación. |
5 | Nombre y comprobación del publicador | El distintivo azul "comprobado" significa que el publicador de la aplicación comprobó su identidad con una cuenta de Microsoft Partner Network y completó el proceso de comprobación. Si se comprueba el publicador, se muestra su nombre. Si no se comprueba el publicador de la aplicación, se muestra "Sin comprobar" en lugar de un nombre de publicador. Para más información, lea sobre la Comprobación del publicador. Al seleccionar el nombre del editor, se muestra más información de la aplicación cuando está disponible. La información incluye el nombre del publicador, el dominio del publicador, la fecha de creación, los detalles de la certificación y las direcciones URL de respuesta. |
6 | Certificación de Microsoft 365 | El logotipo de certificación de Microsoft 365 significa que una aplicación se examina con los controles derivados de marcos estándar líderes del sector. Muestra que existen prácticas sólidas de seguridad y cumplimiento para proteger los datos de los clientes. Para más información, lea sobre la Certificación de Microsoft 365. |
7 | Información del anunciante | Muestra si Microsoft ha publicado la aplicación. |
8 | Permisos | Esta lista contiene los permisos solicitados por la aplicación cliente. Los usuarios siempre deben evaluar los tipos de permisos que se solicitan para comprender los datos a los que está autorizada la aplicación cliente para acceder en su nombre. Como desarrollador de aplicaciones es mejor solicitar acceso a los permisos con los privilegios mínimos. |
9 | Descripción del permiso | El servicio que expone los permisos proporciona este valor. Para ver las descripciones de los permisos, debe activar o desactivar el botón de contenido adicional junto al permiso. |
10 | https://myapps.microsoft.com |
Este vínculo permite a los usuarios revisar y quitar las aplicaciones que no son de Microsoft que actualmente tienen acceso a sus datos. |
11 | Notifíquelo aquí | Este vínculo se usa para informar sobre una aplicación sospechosa si no confía en la aplicación, si cree que puede suplantar a otra aplicación, si es probable que use indebidamente sus datos, o por cualquier otro motivo. |
Escenarios comunes y experiencias de consentimiento
En la siguiente sección se describen los escenarios comunes y la experiencia de consentimiento esperada para cada uno de ellos.
La aplicación requiere un permiso que el usuario tiene derecho a conceder
En este escenario de consentimiento, el usuario accede a una aplicación que requiere un conjunto de permisos dentro del ámbito de autoridad del usuario. Se dirige al usuario al flujo de consentimiento del usuario.
Los administradores ven otro control en la solicitud de consentimiento tradicional que les permite dar su consentimiento en nombre de todo el inquilino. El control está desactivado de forma predeterminada, por lo que solo cuando los administradores activan explícitamente la casilla se concede el consentimiento en nombre de todo el inquilino. La casilla solo se muestra para el rol de Administrador de Roles con Privilegios de como mínimo, por lo que el Administrador de la Nube y el Administrador de Aplicaciones no ven esta casilla.
Los usuarios ven la petición de consentimiento tradicional.
La aplicación requiere un permiso que el usuario no tiene derecho a conceder
En este escenario de consentimiento común, el usuario accede a una aplicación que requiere como mínimo un permiso fuera del ámbito de autoridad del usuario.
Los administradores ven otro control en la solicitud de consentimiento tradicional que les permite dar su consentimiento en nombre de todo el inquilino.
Los usuarios que no son administradores no pueden otorgar consentimiento a la aplicación y se les indicará que pidan al administrador acceso a la aplicación. Si el flujo de trabajo de consentimiento del administrador está habilitado en la cuenta empresarial del usuario, los usuarios pueden enviar una solicitud de aprobación de administrador desde la petición de consentimiento. Para más información sobre el flujo de trabajo de consentimiento del administrador, consulte Flujo de trabajo de consentimiento del administrador.
Se dirige al usuario al flujo de consentimiento del administrador
En este escenario de consentimiento, el usuario navega o se dirige al flujo de consentimiento del administrador.
Los usuarios administradores ven la petición de consentimiento del administrador. El título y las descripciones de permisos han cambiado en esta solicitud. Los cambios destacan el hecho de que aceptar este mensaje concede a la aplicación acceso a los datos solicitados en nombre de todo el arrendatario.
Los usuarios no pueden otorgar consentimiento a la aplicación y se les indica que pidan al administrador acceso a la aplicación.
Consentimiento del administrador mediante el Centro de administración de Microsoft Entra
En este escenario, un administrador da su consentimiento a todos los permisos que solicita una aplicación, que pueden incluir permisos delegados en nombre de todos los usuarios del inquilino. El administrador da su consentimiento a través de la página Permisos de API del registro de la aplicación en Centro de administración de Microsoft Entra.
Todos los usuarios de ese inquilino no ven el cuadro de diálogo de consentimiento a menos que la aplicación requiera nuevos permisos. Para obtener más información sobre qué roles de administrador pueden consentir permisos delegados, consulte Permisos de rol de administrador en id. de Microsoft Entra.
Importante
Actualmente es obligatorio conceder explícitamente el consentimiento con el botón Conceder permisos para las aplicaciones de página única (SPA) que usan MSAL.js. En caso contrario, se produce un error en la aplicación cuando se solicita el token de acceso.
Problemas comunes
En esta sección se describen los problemas comunes con la experiencia de consentimiento y las posibles sugerencias de solución de problemas.
Error 403
- ¿Es el caso un escenario delegado? ¿Qué permisos tiene un usuario?
- ¿Se han agregado los permisos necesarios para usar el punto de conexión?
- Compruebe el token para ver si tiene las notificaciones necesarias para llamar al punto de conexión.
- ¿Qué permisos se han concedido? ¿Quién ha dado consentimiento?
El usuario no puede dar su consentimiento
- Compruebe si el administrador de inquilinos ha deshabilitado el consentimiento del usuario para su organización
- Confirme si los permisos que solicita son permisos restringidos por administradores.
El usuario todavía está bloqueado incluso después de que el administrador consiente
- Compruebe si los permisos estáticos están configurados para ser un superconjunto de permisos solicitados dinámicamente.
- Compruebe si la asignación de usuarios es necesaria para la aplicación.
Solucionar problemas de errores conocidos
Para aplicar los pasos de solución de problemas, vea Error inesperado al otorgar consentimiento a una aplicación.
Contenido relacionado
- Obtenga una descripción general paso a paso de cómo el marco de consentimiento de Microsoft Entra implementa el consentimiento.
- Para obtener más profundidad, aprenda cómo una aplicación multicliente puede usar el marco de consentimiento para implementar el consentimiento de "usuario" y "administrador", lo que admite patrones de aplicación de varios niveles más avanzados.
- Obtenga información sobre cómo configurar el dominio de editor de la aplicación.