Żądanie uprawnień wymagających zgody administracyjnej

W tym artykule opisano środowisko uprawnień i zgody dla scenariusza, w którym jako deweloper piszesz kod aplikacji w celu żądania uprawnień aplikacji, które wymagają zgody administracyjnej. Przykładowe zrzuty ekranu z oknami dialogowymi uprawnień i zgody oraz centrum administracyjnym firmy Microsoft Entra umożliwiają określenie środowiska użytkowników i administratorów dzierżawy. Zwiększ współpracę z administratorami, aby zaimplementować zasadę zerowego zaufania najniższych uprawnień w aplikacjach.

Podczas opracowywania aplikacji piszesz kod, który żąda dostępu do zasobu , żądając tokenu dostępu z określonym zakresem (lub uprawnieniem). Parametr zakresu jest używany zgodnie z opisem w standardzie OAuth 2.0 , który niektórzy ludzie opisują jako uprawnienie. Właściciele zasobów udzielają lub odmawiają żądań uprawnień. W usłudze Microsoft Entra ID właściciel zasobu jest użytkownikiem aplikacji lub administratorem, który ma uprawnienia do udzielenia zgody na ten zasób w imieniu wszystkich użytkowników.

Środowisko zgody użytkownika

Gdy aplikacja żąda uprawnień dostępu do zasobu, może zostać wyświetlone okno dialogowe Uprawnienia żądane w podobny sposób do tego przykładu.

W powyższym przykładowym oknie dialogowym użytkownik udziela zgody, aby zezwolić aplikacji na odczytywanie danych w ich imieniu, wybierając pozycję Akceptuj lub odmawiając żądania, wybierając pozycję Anuluj. Aplikacja otrzymuje token dostępu i może kontynuować swoje procesy po udzielaniu zgody przez użytkownika. Pamiętaj, aby upewnić się, że aplikacja jest gotowa do bezproblemowego obsługi, gdy nie otrzyma tokenu.

Środowisko zgody administratora

W przypadku niektórych żądań dostępu tylko administrator może udzielić zgody. Jeśli żądany dostęp jest zaawansowany lub obejmuje zasoby, których właściciele nie są bieżącymi użytkownikami, kod, aby tylko administrator mógł udzielać żądań.

Jednak nigdy nie wiesz, które uprawnienia wymagają zgody administratora i które umożliwiają zwykłemu użytkownikowi udzielenie zgody, ponieważ administratorzy dzierżawy mogą skonfigurować swoją dzierżawę z ustawieniem Nie zezwalaj na zgodę użytkownika (wszystkie uprawnienia wymagają zgody administratora), jak pokazano na poniższym przykładzie zrzut ekranu ustawień zgody użytkownika w centrum administracyjnym firmy Microsoft Entra.

Administratorzy mogą również zezwalać na zgodę użytkownika dla aplikacji ze zweryfikowanych wydawców dla wybranych uprawnień , jak pokazano na poniższym przykładzie zrzut ekranu przedstawiający ustawienia zgody użytkownika w centrum administracyjnym firmy Microsoft Entra.

Administratorzy mogą następnie dodawać uprawnienia , do których użytkownicy mogą wyrazić zgodę, jak pokazano na poniższym przykładowym zrzucie ekranu przedstawiający klasyfikacje uprawnień w centrum administracyjnym firmy Microsoft Entra.

Gdy aplikacja żąda uprawnień, które wymagają zgody administratora (zgodnie z projektem lub konfiguracją administratora), użytkownik może zobaczyć okno dialogowe Wymagaj zatwierdzenia przez administratora podobne do tego przykładu.

Powyższe przykładowe okno dialogowe pokazuje domyślne (gotowe) środowisko uprawnień, które wymagają zgody administratora. Większość użytkowników nie wie, co zrobić w tym scenariuszu. Nie wiedzą, kim jest ich administrator, nie wiedzą, kto ma przejść do zatwierdzenia. Ta niepewność może ograniczyć zdolność użytkownika do osiągnięcia pożądanych wyników.

Ulepszanie środowiska uprawnień i zgody

Aby poprawić uprawnienia i środowisko wyrażania zgody, administrator dzierżawy może skonfigurować przepływ pracy zgody administratora, jak pokazano na poniższym przykładzie zrzut ekranu ustawień użytkownika w centrum administracyjnym firmy Microsoft Entra.

W obszarze Żądania zgody administratora administrator dzierżawy może poprawić środowisko uprawnień i zgody użytkownika, wybierając pozycję Tak w obszarze Użytkownicy mogą zażądać zgody administratora na aplikacje, na które nie mogą wyrazić zgody i skonfigurować innych ustawień żądań zgody administratora.

Gdy administrator dzierżawy wybierze pozycję Tak w obszarze Użytkownicy mogą zażądać zgody administratora na aplikacje, na które nie mogą wyrazić zgody, a aplikacja żąda uprawnień, które wymagają zgody administratora, użytkownik zobaczy coś podobnego do następującego okna dialogowego Wymagane zatwierdzenie, które zapewnia lepsze środowisko użytkownika.

W powyższym przykładowym oknie dialogowym użytkownik może wprowadzić uzasadnienie żądania tej aplikacji przed wybraniem pozycji Żądanie zatwierdzenia. Żądanie zatwierdzenia następnie wprowadza kolejkę żądań zgody administratora, w której administratorzy mają opcje przeglądania, akceptowania lub zakazu aplikacji w organizacji na podstawie profilu ryzyka.

Gdy administrator uruchamia aplikację, która wymaga zgody administratora bez konfigurowania zgody w centrum administracyjnym firmy Microsoft Entra, administrator zobaczy okno dialogowe Uprawnienia żądane w podobny sposób do poniższego przykładu.

W powyższym przykładzie administrator widzi opis uprawnień, których żąda aplikacja. Administrator może wybrać pozycję Akceptuj , aby uruchomić pojedynczo aplikację lub wybrać pozycję Zgoda w imieniu organizacji przed wybraniem pozycji Akceptuj. Gdy administrator udzieli zgody dla organizacji, żaden przyszły użytkownik organizacji nie musi udzielać uprawnień dla tej aplikacji, chyba że administrator usunie zgodę z konfiguracji żądań zgody administratora dzierżawy.

Inną metodą zgody administratora dzierżawy jest w centrum administracyjnym firmy Microsoft Entra Uprawnienia , gdzie administratorzy mogą przejrzeć szczegóły wcześniej żądanych uprawnień aplikacji.

W powyższym przykładzie zgody użytkownika administrator może przejrzeć przyznane uprawnienia dla aplikacji wraz z informacjami o oświadczeniach, typie uprawnień i osobach, które udzieliły zgody. Administrator może wybrać pozycję Zgoda administratora, aby przejrzeć przyznane uprawnienia, które wymagają zgody administratora.

Żądanie zgody administratora z wyprzedzeniem

Najlepszą strategią uprawnień aplikacji jest zadeklarowanie z wyprzedzeniem wszystkich uprawnień, których aplikacja może potrzebować lub zażądać podczas rejestrowania aplikacji. Nie musisz żądać wszystkich uprawnień jednocześnie, ale po zadeklarowaniu wszystkich uprawnień, których aplikacja może potrzebować, administratorzy mogą wybrać pozycję Udziel zgody administratora w konfiguracji aplikacji w dzierżawie, aby wyświetlić okno dialogowe podobne do tego przykładu.

W powyższym przykładzie pokazano, jak administrator może wstępnie przygotować zadeklarowane uprawnienia i zapewnić najlepsze środowisko dla użytkowników i administratorów dzierżawy.

Żądanie zgody administratora z wyprzedzeniem jest doskonałym wyborem dla aplikacji biznesowych (LOB), zwłaszcza aplikacji opracowywanych przez organizację. Łatwiej jest nie pytać użytkownika, czy firma może uzyskiwać dostęp do danych firmy przez wstępne tworzenie tych aplikacji. Żądanie zgody administratora należy wykonać w ramach procesu rejestracji aplikacji.

Następne kroki

• Uzyskiwanie autoryzacji dostępu do zasobów pomaga zrozumieć, jak najlepiej zapewnić zero trust podczas uzyskiwania uprawnień dostępu do zasobów dla aplikacji.
• Usługa API Protection opisuje najlepsze rozwiązania dotyczące ochrony interfejsu API za pośrednictwem rejestracji, definiowania uprawnień i zgody oraz wymuszania dostępu w celu osiągnięcia celów zero trust.
• Najlepsze rozwiązania dotyczące autoryzacji pomagają zaimplementować najlepsze modele autoryzacji, uprawnień i zgody dla aplikacji.
• Dostosowywanie tokenów opisuje informacje, które można otrzymywać w tokenach firmy Microsoft Entra. Wyjaśniono w nim, jak dostosować tokeny w celu zwiększenia elastyczności i kontroli przy jednoczesnym zwiększeniu poziomu zabezpieczeń zerowego zaufania aplikacji z najmniejszymi uprawnieniami.
• Omówienie uprawnień i zgody w Platforma tożsamości Microsoft ułatwia zrozumienie podstawowych pojęć dotyczących dostępu i autoryzacji.
• Omówienie zgody i uprawnień ułatwia poznanie podstawowych pojęć i scenariuszy dotyczących zgody i uprawnień w usłudze Microsoft Entra ID.
• Moduł szkoleniowy: Platforma uprawnień i wyrażania zgody ułatwia naukę modeli uprawnień i struktury wyrażania zgody .
• Learn Live: Microsoft Identity: Permissions and Consent Framework (Informacje na żywo: tożsamość firmy Microsoft: uprawnienia i struktura wyrażania zgody) ułatwia poznanie podstaw tożsamości firmy Microsoft, w tym tokenów, typów kont i topologii.