Sdílet prostřednictvím


Prostředí pro vyjádření souhlasu pro aplikace v Microsoft Entra ID

V tomto článku se dozvíte o uživatelském prostředí souhlasu aplikace Microsoft Entra. Můžete inteligentně spravovat aplikace pro vaši organizaci nebo vyvíjet aplikace s plynulejším prostředím pro vyjádření souhlasu.

Souhlas je proces uživatele, který uděluje autorizaci aplikaci pro přístup k chráněným prostředkům svým jménem. Správce nebo uživatel může požádat o souhlas s povolením přístupu ke svým organizacím nebo individuálním datům.

Skutečné uživatelské prostředí udělení souhlasu se liší v závislosti na zásadách nastavených v tenantovi uživatele, rozsahu autority (nebo role) uživatele a typu oprávnění požadovaných klientskou aplikací. To znamená, že vývojáři aplikací a správci tenantů mají určitou kontrolu nad prostředím souhlasu. Správci mají možnost flexibilně nastavovat a zakazovat zásady v tenantovi nebo aplikaci, a tím řídit vyjadřování souhlasu ve svém tenantovi. Vývojáři aplikací můžou určit, jaké typy oprávnění se vyžadují, a jestli uživatelé mají projít tokem vyjádření souhlasu uživatele nebo správce.

  • Tok souhlasu uživatele je, když vývojář aplikace nasměruje uživatele na koncový bod autorizace se záměrem zaznamenat souhlas pouze pro aktuálního uživatele.
  • Správa tok souhlasu spočívá v tom, že vývojář aplikace nasměruje uživatele na koncový bod souhlasu správce se záměrem zaznamenat souhlas pro celého tenanta. Aby tok souhlasu správce fungoval správně, musí vývojáři aplikací vypsat všechna oprávnění ve RequiredResourceAccess vlastnosti v manifestu aplikace. Další informace najdete v manifestu aplikace.

Výzva k vyjádření souhlasu je navržená tak, aby uživatelům zajistila dostatek informací k určení, jestli klientské aplikaci důvěřují přístupu k chráněným prostředkům jejich jménem. Pochopení stavebních bloků pomáhá uživatelům udělovat souhlas informovanějším rozhodnutím a pomáhá vývojářům vytvářet lepší uživatelská prostředí.

Následující diagram a tabulka obsahují informace o stavebních blocích výzvy k vyjádření souhlasu.

Stavební bloky výzvy k vyjádření souhlasu

# Komponenta Účel
0 Identifikátor uživatele Tento identifikátor představuje uživatele, kterého klientská aplikace žádá o přístup k chráněným prostředkům jménem.
2 Nadpis Název se změní podle toho, jestli uživatelé procházejí tokem souhlasu uživatele nebo správce. V toku souhlasu uživatele je název "Požadovaná oprávnění", zatímco v toku souhlasu správce má název další řádek "Přijmout pro vaši organizaci".
3 Logo aplikace Tento obrázek by měl uživatelům pomoct s vizuálním upozorněním, jestli se jedná o aplikaci, ke které mají přístup. Tuto image poskytují vývojáři aplikací a vlastnictví této image se neověřuje.
4 Název aplikace Tato hodnota by měla informovat uživatele, kteří aplikace požadují přístup ke svým datům. Všimněte si, že tento název poskytuje vývojáři a vlastnictví tohoto názvu aplikace se neověřuje.
5 Název a ověření vydavatele Modrý odznáček "ověřeno" znamená, že vydavatel aplikace ověřil svou identitu pomocí účtu Microsoft Partner Network a dokončil proces ověření. Pokud je aplikace ověřená vydavatelem, zobrazí se název vydavatele. Pokud aplikace není ověřená vydavatelem, zobrazí se místo názvu vydavatele text Neověřená. Další informace najdete v tématu Ověření vydavatele. Výběrem názvu vydavatele se zobrazí další informace o aplikaci, například název vydavatele, doména vydavatele, datum vytvoření, podrobnosti o certifikaci a adresy URL odpovědí.
6 Certifikace Microsoftu 365 Logo Certifikace Microsoftu 365 znamená, že aplikace byla prověřena proti kontrolním mechanismům odvozeným od špičkových standardních architektur a že jsou zavedeny silné postupy zabezpečení a dodržování předpisů za účelem ochrany zákaznických dat. Další informace najdete v článku o certifikaci Microsoftu 365.
7 Informace o vydavateli Zobrazí, jestli je aplikace publikovaná Microsoftem.
8 Oprávnění Tento seznam obsahuje oprávnění požadovaná klientskou aplikací. Uživatelé by měli vždy vyhodnotit typy požadovaných oprávnění, aby porozuměli datům, ke kterým bude klientská aplikace oprávněna přistupovat jejich jménem, pokud přijmou. Jako vývojář aplikací je nejlepší požádat o přístup k oprávněním s nejnižšími oprávněními.
9 Popis oprávnění Tuto hodnotu poskytuje služba, která oprávnění vystavuje. Pokud chcete zobrazit popisy oprávnění, musíte zapnout dvojitou šipku vedle oprávnění.
10 https://myapps.microsoft.com Toto je odkaz, na kterém můžou uživatelé kontrolovat a odebírat všechny aplikace od jiných společností než Microsoft, které mají přístup ke svým datům.
11 Nahlaste ho tady. Tento odkaz slouží k hlášení podezřelé aplikace, pokud aplikaci nedůvěřujete, pokud se domníváte, že aplikace zosobní jinou aplikaci, pokud se domníváte, že aplikace bude vaše data zneužít nebo z nějakého jiného důvodu.

Následující část popisuje běžné scénáře a očekávané prostředí souhlasu pro každý z nich.

Aplikace vyžaduje oprávnění, které má uživatel právo udělit

V tomto scénáři souhlasu uživatel přistupuje k aplikaci, která vyžaduje sadu oprávnění, která je v rozsahu autority uživatele. Uživatel se směruje do toku souhlasu uživatele.

Správa uvidí jiný ovládací prvek na tradiční výzvě k vyjádření souhlasu, který umožní udělit souhlas jménem celého tenanta. Ovládací prvek je ve výchozím nastavení vypnutý, takže pouze když správci toto políčko explicitně zaškrtnou, udělí se souhlas jménem celého tenanta. Zaškrtávací políčko se zobrazí jenom pro alespoň roli privilegované role Správa istrator, takže toto políčko neuvidí cloudová Správa a Správa aplikace.

Výzva k vyjádření souhlasu pro scénář 1a

Uživatelům se zobrazí tradiční výzva k vyjádření souhlasu.

Snímek obrazovky znázorňující tradiční výzvu k vyjádření souhlasu

Aplikace vyžaduje oprávnění, které uživatel nemá právo udělit.

V tomto scénáři souhlasu uživatel přistupuje k aplikaci, která vyžaduje alespoň jedno oprávnění, které je mimo rozsah autority uživatele.

Správa uvidí jiný ovládací prvek na tradiční výzvě k vyjádření souhlasu, který jim umožní souhlas jménem celého tenanta.

Výzva k vyjádření souhlasu pro scénář 1a

Uživatelům, kteří nejsou správcem, se zablokují udělení souhlasu s aplikací a budou jim řečeno, aby požádali správce o přístup k aplikaci. Pokud je v tenantovi uživatele povolený pracovní postup souhlasu správce, můžou uživatelé odeslat žádost o schválení správcem z výzvy k vyjádření souhlasu. Další informace o pracovním postupu souhlasu správce najdete v tématu Správa pracovního postupu souhlasu.

Snímek obrazovky s výzvou k vyjádření souhlasu s výzvou uživateli, aby požádal správce o přístup k aplikaci

V tomto scénáři souhlasu uživatel přejde nebo se přesměruje na tok souhlasu správce.

Správa se uživatelům zobrazí výzva k vyjádření souhlasu správce. Název a popisy oprávnění se v této výzvě změnily, změny zvýrazňují skutečnost, že přijetí této výzvy aplikaci udělí přístup k požadovaným datům jménem celého tenanta.

Výzva k vyjádření souhlasu pro scénář 3a

Uživatelům se zablokuje udělení souhlasu s aplikací a jim se řekne, aby požádali správce o přístup k aplikaci.

Snímek obrazovky s výzvou k vyjádření souhlasu s výzvou uživateli, aby požádal správce o přístup k aplikaci

V tomto scénáři správce souhlasí se všemi oprávněními, která aplikace požaduje, což může zahrnovat delegovaná oprávnění jménem všech uživatelů v tenantovi. Správce udělí souhlas prostřednictvím stránky oprávnění rozhraní API registrace aplikace v Centru pro správu Microsoft Entra.

Snímek obrazovky s explicitním souhlasem správce prostřednictvím Centra pro správu Microsoft Entra

Pokud aplikace nevyžaduje nová oprávnění, neuvidí dialogové okno souhlasu všichni uživatelé v tomto tenantovi. Informace o tom, které role správce můžou udělit souhlas s delegovanými oprávněními, najdete v tématu Správa istrator oprávnění role v Microsoft Entra ID.

Důležité

Udělení výslovného souhlasu pomocí tlačítka Udělit oprávnění je aktuálně vyžadováno pro jednostránkové aplikace (SPA), které používají MSAL.js. V opačném případě aplikace selže při vyžádání přístupového tokenu.

Běžné problémy

Tato část popisuje běžné problémy s prostředím souhlasu a možnými tipy pro řešení potíží.

  • Chyba 403

    • Jedná se o delegovaný scénář? Jaká oprávnění má uživatel?
    • Jsou pro používání koncového bodu přidaná potřebná oprávnění?
    • Zkontrolujte token a zkontrolujte, jestli má k volání koncového bodu potřebné deklarace identity.
    • Jaká oprávnění se odsouhlasila? Kdo souhlas udělil?
  • Uživatel nemůže udělit souhlas

    • Kontrola, jestli správce tenanta zakázal souhlas uživatele pro vaši organizaci
    • Ověřte, jestli oprávnění, která požadujete, jsou oprávnění omezená správcem.
  • Uživatel je i po vyjádření souhlasu správce stále zablokovaný

    • Zkontrolujte, jestli jsou statická oprávnění nakonfigurovaná tak, aby byla dynamicky požadovaná nadmnožinou oprávnění.
    • Zkontrolujte, jestli se pro aplikaci vyžaduje přiřazení uživatele.

Řešení známých chyb

Postup řešení potíží najdete v tématu Neočekávaná chyba při provádění souhlasu s aplikací.

Viz také