Udostępnij za pośrednictwem


Środowisko wyrażania zgody dla aplikacji w identyfikatorze Entra firmy Microsoft

W tym artykule dowiesz się więcej o środowisku użytkownika zgody aplikacji Firmy Microsoft Entra. Możesz inteligentnie zarządzać aplikacjami dla organizacji i/lub tworzyć aplikacje przy użyciu bardziej bezproblemowego środowiska wyrażania zgody.

Zgoda to proces udzielania autoryzacji aplikacji przez użytkownika w celu uzyskania dostępu do chronionych zasobów w ich imieniu. Administrator lub użytkownik może zostać poproszony o zgodę na zezwolenie na dostęp do ich organizacji/poszczególnych danych.

Rzeczywiste środowisko użytkownika udzielania zgody różni się w zależności od zasad ustawionych w dzierżawie użytkownika, zakresie urzędu (lub roli) użytkownika oraz typu uprawnień żądanych przez aplikację kliencka. Oznacza to, że deweloperzy aplikacji i administratorzy dzierżawy mają pewną kontrolę nad środowiskiem wyrażania zgody. Administratorzy mają elastyczność ustawiania i wyłączania zasad w dzierżawie lub aplikacji w celu kontrolowania środowiska wyrażania zgody w swojej dzierżawie. Deweloperzy aplikacji mogą dyktować, jakie typy uprawnień są wymagane i czy chcą kierować użytkowników za pośrednictwem przepływu zgody użytkownika, czy też przepływu zgody administratora.

  • Przepływ zgody użytkownika jest wtedy, gdy deweloper aplikacji kieruje użytkowników do punktu końcowego autoryzacji z zamiarem rejestrowania zgody tylko dla bieżącego użytkownika.
  • Przepływ zgody administratora jest wtedy, gdy deweloper aplikacji kieruje użytkowników do punktu końcowego zgody administratora z zamiarem rejestrowania zgody dla całej dzierżawy. Aby upewnić się, że przepływ zgody administratora działa prawidłowo, deweloperzy aplikacji muszą wyświetlić listę wszystkich uprawnień we RequiredResourceAccess właściwości w manifeście aplikacji. Aby uzyskać więcej informacji, zobacz Manifest aplikacji.

Monit o wyrażenie zgody został zaprojektowany w celu zapewnienia użytkownikom wystarczającej ilości informacji, aby określić, czy ufają aplikacji klienckiej w celu uzyskania dostępu do chronionych zasobów w ich imieniu. Zrozumienie bloków konstrukcyjnych ułatwia użytkownikom udzielanie zgody podejmowanie bardziej świadomych decyzji i pomaga deweloperom tworzyć lepsze środowiska użytkownika.

Poniższy diagram i tabela zawierają informacje o blokach konstrukcyjnych monitu o wyrażenie zgody.

Bloki konstrukcyjne monitu o wyrażenie zgody

# Składnik Przeznaczenie
1 Identyfikator użytkownika Ten identyfikator reprezentuje użytkownika, którego aplikacja kliencka żąda dostępu do chronionych zasobów w imieniu użytkownika.
2 Tytuł Tytuł zmienia się w zależności od tego, czy użytkownicy przechodzą przez przepływ zgody użytkownika, czy administratora. W przepływie zgody użytkownika tytuł to "Żądane uprawnienia", podczas gdy w przepływie zgody administratora tytuł ma inny wiersz "Akceptuj dla twojej organizacji".
3 Logo aplikacji Ten obraz powinien pomóc użytkownikom mieć wizualną wskazówkę, czy ta aplikacja jest aplikacją, do której mają uzyskiwać dostęp. Ten obraz jest dostarczany przez deweloperów aplikacji, a własność tego obrazu nie jest weryfikowana.
100 Nazwa aplikacji Ta wartość powinna informować użytkowników, którzy aplikacja żąda dostępu do swoich danych. Pamiętaj, że ta nazwa jest dostarczana przez deweloperów, a własność tej nazwy aplikacji nie jest weryfikowana.
5 Nazwa i weryfikacja wydawcy Niebieski wskaźnik "zweryfikowany" oznacza, że wydawca aplikacji zweryfikował swoją tożsamość przy użyciu konta microsoft Partner Network i zakończył proces weryfikacji. Jeśli aplikacja zostanie zweryfikowana przez wydawcę, zostanie wyświetlona nazwa wydawcy. Jeśli aplikacja nie jest zweryfikowana przez wydawcę, zostanie wyświetlona wartość "Niezweryfikowane" zamiast nazwy wydawcy. Aby uzyskać więcej informacji, przeczytaj o weryfikacji wydawcy. Wybranie nazwy wydawcy powoduje wyświetlenie dodatkowych informacji o aplikacji jako dostępnych, takich jak nazwa wydawcy, domena wydawcy, data utworzenia, szczegóły certyfikacji i adresy URL odpowiedzi.
6 Certyfikacja platformy Microsoft 365 Logo certyfikacji platformy Microsoft 365 oznacza, że aplikacja została zweryfikowana przed mechanizmami kontroli pochodzącymi z wiodących platform branżowych i że obowiązują silne praktyki w zakresie zabezpieczeń i zgodności w celu ochrony danych klientów. Aby uzyskać więcej informacji, przeczytaj informacje na temat certyfikacji platformy Microsoft 365.
7 Informacje o wydawcy Wyświetla, czy aplikacja jest publikowana przez firmę Microsoft.
8 Uprawnienia Ta lista zawiera uprawnienia żądane przez aplikację kliencą. Użytkownicy powinni zawsze oceniać żądane typy uprawnień, aby zrozumieć, jakie dane aplikacja kliencka będzie autoryzowana do uzyskiwania dostępu w ich imieniu, jeśli zaakceptują. Jako deweloper aplikacji najlepiej zażądać dostępu do uprawnień z najniższymi uprawnieniami.
9 Opis uprawnień Ta wartość jest dostarczana przez usługę ujawniając uprawnienia. Aby wyświetlić opisy uprawnień, musisz przełączyć pagon obok uprawnienia.
10 https://myapps.microsoft.com To jest link, w którym użytkownicy mogą przeglądać i usuwać wszystkie aplikacje firmy innej niż Microsoft, które mają obecnie dostęp do swoich danych.
11 Zgłoś go tutaj Ten link służy do zgłaszania podejrzanej aplikacji, jeśli nie ufasz aplikacji, jeśli uważasz, że aplikacja personifikuje inną aplikację, jeśli uważasz, że aplikacja będzie niewłaściwie używać danych lub z jakiegoś innego powodu.

W poniższej sekcji opisano typowe scenariusze i oczekiwane środowisko zgody dla każdego z nich.

Aplikacja wymaga uprawnienia, które użytkownik ma prawo przyznać

W tym scenariuszu zgody użytkownik uzyskuje dostęp do aplikacji, która wymaga zestawu uprawnień należącego do zakresu urzędu użytkownika. Użytkownik jest kierowany do przepływu zgody użytkownika.

Administratorzy widzą kolejną kontrolę w tradycyjnym monicie zgody, który umożliwi udzielenie zgody w imieniu całej dzierżawy. Kontrolka jest domyślnie wyłączona, więc tylko wtedy, gdy administratorzy jawnie zaznaczą pole wyboru, zostanie udzielona w imieniu całej dzierżawy. To pole wyboru będzie wyświetlane tylko dla co najmniej roli Administrator ról uprzywilejowanych, dlatego to pole wyboru nie będzie widoczne dla administratora chmury i administratora aplikacji.

Monit o wyrażenie zgody dla scenariusza 1a

Użytkownicy widzą tradycyjny monit o wyrażenie zgody.

Zrzut ekranu przedstawiający tradycyjny monit o wyrażenie zgody.

Aplikacja wymaga uprawnienia, którego użytkownik nie ma prawa przyznać

W tym scenariuszu zgody użytkownik uzyskuje dostęp do aplikacji, która wymaga co najmniej jednego uprawnienia spoza zakresu uprawnień użytkownika.

Administratorzy widzą inną kontrolę w tradycyjnym monicie zgody, który pozwoli im wyrazić zgodę w imieniu całej dzierżawy.

Monit o wyrażenie zgody dla scenariusza 1a

Użytkownicy, którzy nie są administratorami, nie mogą wyrazić zgody na aplikację i poproś administratora o dostęp do aplikacji. Jeśli przepływ pracy zgody administratora jest włączony w dzierżawie użytkownika, użytkownicy mogą przesłać żądanie zatwierdzenia przez administratora z poziomu monitu o wyrażenie zgody. Aby uzyskać więcej informacji na temat przepływu pracy zgody administratora, zobacz Przepływ pracy zgody administratora.

Zrzut ekranu przedstawiający monit o wyrażenie zgody informujący użytkownika o prośbę administratora o dostęp do aplikacji.

W tym scenariuszu zgody użytkownik przechodzi do przepływu zgody administratora lub jest kierowany do przepływu zgody administratora.

Użytkownicy administracyjni widzą monit o zgodę administratora. Tytuł i opisy uprawnień zmieniły się w tym monicie. Zmiany podkreślają fakt, że zaakceptowanie tego monitu spowoduje przyznanie aplikacji dostępu do żądanych danych w imieniu całej dzierżawy.

Monit o wyrażenie zgody dla scenariusza 3a

Użytkownicy nie mogą wyrazić zgody na aplikację i poproś administratora o dostęp do aplikacji.

Zrzut ekranu przedstawiający monit o wyrażenie zgody informujący użytkownika o prośbę administratora o dostęp do aplikacji.

W tym scenariuszu administrator wyraża zgodę na wszystkie uprawnienia, które żąda aplikacji, które mogą obejmować delegowane uprawnienia w imieniu wszystkich użytkowników w dzierżawie. Administrator udziela zgody za pośrednictwem strony uprawnień interfejsu API rejestracji aplikacji w centrum administracyjnym firmy Microsoft Entra.

Zrzut ekranu przedstawiający jawną zgodę administratora za pośrednictwem centrum administracyjnego firmy Microsoft Entra.

Wszyscy użytkownicy w tej dzierżawie nie zobaczą okna dialogowego zgody, chyba że aplikacja wymaga nowych uprawnień. Aby dowiedzieć się, które role administratora mogą wyrazić zgodę na delegowane uprawnienia, zobacz Uprawnienia roli administratora w identyfikatorze Entra firmy Microsoft.

Ważne

Udzielenie jawnej zgody przy użyciu przycisku Udziel uprawnień jest obecnie wymagane dla aplikacji jednostronicowych (SPA), które używają MSAL.js. W przeciwnym przypadku wystąpi błąd aplikacji przy żądaniu tokenu dostępu.

Typowe problemy

W tej sekcji opisano typowe problemy związane ze środowiskiem wyrażania zgody i możliwymi poradami dotyczącymi rozwiązywania problemów.

  • Błąd 403

    • Czy jest to scenariusz delegowany? Jakie uprawnienia ma użytkownik?
    • Czy do korzystania z punktu końcowego są dodawane niezbędne uprawnienia?
    • Sprawdź token, aby sprawdzić, czy ma wymagane oświadczenia do wywołania punktu końcowego.
    • Na jakie uprawnienia wyrażono zgodę? Kto wyraził zgodę?
  • Użytkownik nie może wyrazić zgody

    • Sprawdź, czy administrator dzierżawy wyłączył zgodę użytkownika dla twojej organizacji
    • Sprawdź, czy żądane uprawnienia są uprawnieniami ograniczonymi przez administratora.
  • Użytkownik jest nadal blokowany nawet po wyrażeniu zgody przez administratora

    • Sprawdź, czy uprawnienia statyczne są skonfigurowane jako nadzbiór uprawnień żądanych dynamicznie.
    • Sprawdź, czy przypisanie użytkownika jest wymagane dla aplikacji.

Rozwiązywanie problemów ze znanymi błędami

Aby uzyskać instrukcje rozwiązywania problemów, zobacz Nieoczekiwany błąd podczas wyrażania zgody na aplikację.

Zobacz też