Begär behörigheter som kräver administrativt medgivande

I den här artikeln beskriver vi behörighets- och medgivandeupplevelsen för ett scenario där du som utvecklare skriver din programkod för att begära programbehörigheter som kräver administrativt medgivande. Exempel på skärmbilder av behörighets- och medgivandedialogrutor och administrationscentret för Microsoft Entra ger dig en uppfattning om vad dina användare och klientadministratörer upplever. Förbättra samarbetet med administratörer för att implementera Nolltillit principen om lägsta behörighet i dina program.

När du utvecklar ditt program skriver du kod som begär åtkomst till en resurs genom att begära en åtkomsttoken med ett specifikt omfång (eller behörighet). Du använder omfångsparametern enligt beskrivningen i OAuth 2.0-standarden som vissa personer beskriver som en behörighet. Resursägare beviljar eller nekar behörighetsbegäranden. I Microsoft Entra-ID är resursägaren antingen användaren av appen eller en administratör som har behörighet att bevilja medgivande till resursen för alla användares räkning.

Användarmedgivandeupplevelse

När programmet begär behörighet att komma åt en resurs kan användaren se en dialogruta som liknar det här exemplet.

I dialogrutan ovan ger användaren sitt medgivande så att appen kan läsa data för deras räkning genom att välja Acceptera eller neka begäran genom att välja Avbryt. Programmet tar emot en åtkomsttoken och kan fortsätta sina processer efter att användaren har gett sitt medgivande. Kom ihåg att se till att din app är redo att hantera korrekt när den inte tar emot en token.

Erfarenhet av administratörsmedgivande

För vissa åtkomstbegäranden kan endast en administratör bevilja medgivande. Om den begärda åtkomsten är kraftfull eller omfattar resurser vars ägare inte är de aktuella användarna, koda så att endast en administratör kan bevilja begäranden.

Du vet dock aldrig vilka behörigheter som kräver administratörsmedgivande och som tillåter att en vanlig användare beviljar medgivande eftersom klientadministratörer kan konfigurera sin klientorganisation med Tillåt inte användarmedgivande (alla behörigheter kräver administratörsmedgivande) som visas i följande exempel på skärmbilden av inställningar för användarmedgivande i administrationscentret för Microsoft Entra.

Administratörer kan också tillåta användarmedgivande för appar från verifierade utgivare, för valda behörigheter som visas i följande exempel skärmbild av inställningar för användarmedgivande i administrationscentret för Microsoft Entra.

Administratörer kan sedan lägga till behörigheter som användarna kan samtycka till enligt följande skärmbild av behörighetsklassificeringar i administrationscentret för Microsoft Entra.

När din app begär en behörighet som kräver administratörsmedgivande (genom design eller administratörskonfiguration) kan användaren se dialogrutan Behöver administratörsgodkännande som liknar det här exemplet.

I dialogrutan ovan visas standardupplevelsen (i rutan) för behörigheter som kräver administratörsmedgivande. De flesta användare vet inte vad de ska göra i det här scenariot. De vet inte vem deras administratör är, de vet inte vem de ska gå till för godkännande. Den här osäkerheten kan begränsa användarens förmåga att uppnå önskat resultat.

Förbättra behörigheter och medgivande

För att förbättra behörigheter och medgivande kan klientadministratören konfigurera arbetsflödet för administratörsmedgivande enligt följande exempel på skärmbild av användarinställningar i administrationscentret för Microsoft Entra.

I Begäranden om administratörsmedgivande kan klientadministratören förbättra användarens behörighet och medgivande genom att välja Ja på Användare kan begära administratörsmedgivande till appar som de inte kan samtycka till och konfigurera andra inställningar för begäranden om administratörsmedgivande.

När klientadministratören har valt Ja på Användare kan begära administratörsmedgivande till appar som de inte kan samtycka till och ett program begär en behörighet som kräver administratörsmedgivande, ser användaren något som liknar följande dialogruta för godkännande som ger en bättre användarupplevelse.

I dialogrutan ovan kan användaren ange en motivering för att begära den här appen innan han eller hon väljer Begäran om godkännande. Begäran om godkännande anger sedan en kö för begäranden om administratörsmedgivande där administratörer har alternativ för att granska, acceptera eller förbjuda program i organisationen baserat på riskprofil.

När en administratör kör ett program som kräver administratörsmedgivande utan att konfigurera medgivande i administrationscentret för Microsoft Entra ser administratörsanvändaren en dialogruta med behörigheter som liknar följande exempel.

I exemplet ovan ser administratören en beskrivning av de behörigheter som programmet begär. Administratören kan välja Acceptera för att köra programmet individuellt eller välja Medgivande åt din organisation innan de väljer Acceptera. När administratören har gett sitt medgivande till organisationen behöver ingen framtida organisationsanvändare bevilja behörighet för det här programmet om inte en administratör tar bort medgivandet från konfigurationen för klientadministratörens begäranden .

En annan metod för innehavaradministratörsmedgivande finns i Administrationscenter för Microsoft Entra Behörigheter där administratörer kan granska information om tidigare begärda appbehörigheter.

I exemplet med användarmedgivande ovan kan administratören granska de beviljade behörigheterna för appen tillsammans med information om anspråk, behörighetstyp och vem som gav medgivande. Administratören kan välja Administratörsmedgivande för att granska beviljade behörigheter som kräver administratörsmedgivande.

Begära administratörsmedgivande i förväg

Din bästa strategi för programbehörigheter är att i förväg deklarera alla behörigheter som din app kan behöva eller begära när du registrerar din app. Du behöver inte begära alla behörigheter samtidigt, men när du har deklarerat alla behörigheter som appen kan behöva kan administratörer välja Bevilja administratörsmedgivande för i appens konfiguration i klientorganisationen för att visa en dialogruta som liknar det här exemplet.

Exemplet ovan visar hur administratören kan förkonfigurera de behörigheter som du har deklarerat och ge bästa möjliga upplevelse för dina användare och klientadministratörer.

Att begära administratörsmedgivande i förväg är ett utmärkt val för verksamhetsspecifika appar, särskilt de appar som din organisation utvecklar. Det är lättare att inte behöva fråga användaren om företaget kan komma åt företagets data genom att förkonsektera dessa program. Du gör begäran om administratörsmedgivande som en del av appregistreringsprocessen.

Nästa steg

• Med auktorisering för åtkomst till resurser kan du förstå hur du bäst kan se till att Nolltillit när du hämtar behörigheter för resursåtkomst för ditt program.
• API Protection beskriver metodtips för att skydda ditt API genom registrering, definiera behörigheter och medgivande samt framtvinga åtkomst för att uppnå dina Nolltillit mål.
• Metodtips för auktorisering hjälper dig att implementera de bästa auktoriserings-, behörighets- och medgivandemodellerna för dina program.
• Anpassa token beskriver den information som du kan ta emot i Microsoft Entra-token. Den förklarar hur du anpassar token för att förbättra flexibiliteten och kontrollen samtidigt som du ökar säkerheten för program utan förtroende med minsta möjliga behörighet.
• Översikt över behörigheter och medgivande i Microsofts identitetsplattform hjälper dig att förstå grundläggande begrepp om åtkomst och auktorisering.
• Översikt över medgivande och behörigheter hjälper dig att lära dig grundläggande begrepp och scenarier kring medgivande och behörigheter i Microsoft Entra-ID.
• Learn-modul: Behörigheter och ramverk för medgivande hjälper dig att lära dig behörigheter och ramverksmodeller för medgivande.
• Learn Live: Microsoft Identity: Permissions and Consent Framework hjälper dig att lära dig grunderna i Microsofts identitet, inklusive token, kontotyper och topologier.