Compartir a través de


Solicitud de permisos que requieren consentimiento administrativo

En este artículo, se describe la experiencia de permisos y consentimiento para un escenario en el que, como desarrollador, escribe el código de la aplicación para solicitar permisos de aplicación que requieren consentimiento administrativo. Las capturas de pantalla de ejemplo de cuadros de diálogo de permisos y consentimiento y el Centro de administración Microsoft Entra le proporcionan una idea de la experiencia de los usuarios y administradores de inquilinos. Mejore la colaboración con los administradores para implementar el principio de confianza cero de privilegios mínimos en las aplicaciones.

A medida que desarrolla la aplicación, escribe código que solicita acceso a un recurso solicitando un token de acceso con un ámbito específico (o permiso). Usa el parámetro de ámbito como se describe en el estándar OAuth 2.0 que algunas personas describen como un permiso. Los propietarios de recursos conceden o deniegan las solicitudes de permiso. En Microsoft Entra ID, el propietario del recurso es el usuario de la aplicación o un administrador que tiene los derechos para conceder consentimiento a ese recurso en nombre de todos los usuarios.

Cuando la aplicación solicita permiso para acceder a un recurso, es posible que el usuario vea un cuadro de diálogo de Permisos solicitados similar al de este ejemplo.

Captura de pantalla del cuadro de diálogo Permisos solicitados que describe los permisos que solicita la aplicación con los botones Cancelar y Aceptar.

En el cuadro de diálogo de ejemplo anterior, el usuario concede consentimiento para permitir que la aplicación lea los datos en su nombre seleccionando Aceptar o deniega la solicitud seleccionando Cancelar. La aplicación recibe un token de acceso y puede continuar sus procesos una vez que el usuario da su consentimiento. Recuerde asegurarse de que la aplicación está lista para controlar correctamente cuando no recibe un token.

Para algunas solicitudes de acceso, solo un administrador puede conceder consentimiento. Si el acceso solicitado es eficaz o implica recursos cuyos propietarios no son los usuarios actuales, codifique para que solo un administrador pueda conceder solicitudes.

Sin embargo, nunca sabe qué permisos requieren consentimiento del administrador y cuáles permiten a un usuario normal dar su consentimiento porque los administradores de inquilinos pueden configurar su inquilino con la opción No permitir consentimiento del usuario (todos los permisos requieren consentimiento del administrador), como se muestra en la siguiente captura de pantalla de ejemplo de Configuración del consentimiento de los usuarios en el Centro de administración de Microsoft Entra.

Captura de pantalla del Centro de administración de Microsoft Entra

Los administradores también pueden permitir el consentimiento del usuario para aplicaciones de publicadores comprobados, para los permisos seleccionados, como se muestra en la siguiente captura de pantalla de ejemplo de Configuración de consentimiento del usuario en el Centro de administración Microsoft Entra.

Captura de pantalla de

Después, los administradores pueden agregar permisos a los que los usuarios pueden dar su consentimiento, como se muestra en la siguiente captura de pantalla de ejemplo de clasificaciones de permisos en el Centro de administración Microsoft Entra.

Captura de pantalla del Centro de administración de Microsoft Entra

Cuando la aplicación solicita un permiso que requiere el consentimiento del administrador (por diseño o por configuración del administrador), es posible que el usuario vea un cuadro de diálogo Se necesita la aprobación del administrador similar al de este ejemplo.

Captura de pantalla del cuadro de diálogo

En el cuadro de diálogo de ejemplo anterior se muestra la experiencia predeterminada (lista para usar) para los permisos que requieren consentimiento del administrador. La mayoría de los usuarios no saben qué hacer en este escenario. No saben quién es su administrador, no saben a quién acudir para su aprobación. Esta incertidumbre puede limitar la capacidad del usuario para lograr los resultados deseados.

Para mejorar los permisos y la experiencia de consentimiento, el administrador de inquilinos puede configurar el flujo de trabajo de consentimiento del administrador, como se muestra en la siguiente captura de pantalla de ejemplo de Configuración de usuario en el Centro de administración Microsoft Entra.

Captura de pantalla del Centro de administración de Microsoft Entra

En Solicitudes de consentimiento del administrador, el administrador de inquilinos puede mejorar la experiencia de consentimiento y de permisos del usuario seleccionando en Los usuarios pueden solicitar el consentimiento del administrador para las aplicaciones en las que no puedan proporcionar un consentimiento y configurando otras opciones en Solicitudes de consentimiento del administrador.

Una vez que el administrador de inquilinos selecciona en Los usuarios pueden solicitar el consentimiento del administrador para las aplicaciones en las que no puedan proporcionar un consentimiento, si una aplicación solicita un permiso que requiere consentimiento del administrador, el usuario ve un cuadro de diálogo de Aprobación necesaria similar al siguiente que proporciona una mejor experiencia de usuario.

Captura de pantalla del cuadro de diálogo

En el cuadro de diálogo de ejemplo anterior, el usuario puede especificar la justificación para solicitar esta aplicación antes de seleccionar Solicitar aprobación. A continuación, la solicitud de aprobación escribe una cola de solicitudes de consentimiento del administrador en la que los administradores tienen opciones para revisar, aceptar o prohibir aplicaciones de su organización en función del perfil de riesgo.

Cuando un administrador ejecuta una aplicación que requiere consentimiento del administrador sin configurar el consentimiento en el Centro de administración de Microsoft Entra, el usuario administrador ve un cuadro de diálogo de Permisos solicitados similar al siguiente.

Captura de pantalla del cuadro de diálogo

En el ejemplo anterior, el administrador ve una descripción de los permisos que solicita la aplicación. El administrador puede seleccionar Aceptar para ejecutar individualmente la aplicación o puede seleccionar Consentimiento en nombre de su organización antes de seleccionar Aceptar. Cuando el administrador da su consentimiento a la organización, ningún usuario futuro de la organización necesita conceder permiso para esta aplicación a menos que un administrador quite el consentimiento en la configuración de Solicitudes de consentimiento del administrador del inquilino.

Otro método de consentimiento del administrador de inquilinos son los Permisos del Centro de administración de Microsoft Entra, donde los administradores pueden revisar los detalles de los permisos de aplicación solicitados anteriormente.

Captura de pantalla del Centro de administración de Microsoft Entra

En el ejemplo de consentimiento del usuario anterior, el administrador puede revisar los permisos concedidos para la aplicación junto con información sobre notificaciones, tipo de permiso y quién dio su consentimiento. El administrador puede seleccionar Consentimiento del administrador para revisar los permisos concedidos que requieren consentimiento del administrador.

La mejor estrategia de permisos de aplicación es declarar con antelación todos los permisos que la aplicación podría necesitar o solicitar al registrar la aplicación. No tiene que solicitar todos los permisos al mismo tiempo, pero, después de declarar todos los permisos que podría necesitar la aplicación, los administradores pueden seleccionar Conceder consentimiento de administrador para en la configuración de la aplicación en el inquilino para mostrar un cuadro de diálogo similar al del siguiente ejemplo.

Captura de pantalla del cuadro de diálogo

En el ejemplo anterior se muestra cómo el administrador puede dar consentimiento previo para los permisos declarados y proporcionar la mejor experiencia para los usuarios y los administradores de inquilinos.

Solicitar el consentimiento del administrador con antelación es una excelente elección para las aplicaciones de línea de negocio (LOB), especialmente las aplicaciones que está desarrollando su organización. Es más fácil no tener que preguntar al usuario si su empresa puede acceder a los datos de su empresa dando consentimiento previo a esas aplicaciones. Realiza la solicitud de consentimiento del administrador como parte del proceso de registro de la aplicación.

Pasos siguientes