Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto článku popisujeme prostředí oprávnění a souhlasu pro scénář, ve kterém jako vývojář píšete kód aplikace, který vyžaduje oprávnění aplikace, která vyžadují souhlas správce. Ukázkové snímky obrazovky s dialogovými okny oprávnění a souhlasem a Centrem pro správu Microsoft Entra vám poskytnou představu o prostředí uživatelů a správců tenantů. Vylepšete spolupráci se správci, abyste ve svých aplikacích implementovali princip nulová důvěra (Zero Trust) nejnižších oprávnění.
Při vývoji aplikace napíšete kód, který požaduje přístup k prostředku vyžádáním přístupového tokenu s konkrétním oborem (nebo oprávněním). Použijete parametr oboru, jak je popsáno ve standardu OAuth 2.0 , který někteří lidé popisují jako oprávnění. Vlastníci prostředků udělují nebo zamítají požadavky na oprávnění. V Microsoft Entra ID je vlastníkem prostředku buď uživatel aplikace, nebo správce, který má práva udělit souhlas s tímto prostředkem jménem všech uživatelů.
Prostředí souhlasu uživatele
Když vaše aplikace požádá o oprávnění pro přístup k prostředku, může se uživateli zobrazit dialogové okno požadovaná oprávnění podobná tomuto příkladu.
V ukázkovém dialogovém okně uživatel udělí souhlas, aby aplikace mohla číst data svým jménem výběrem možnosti Přijmout nebo zamítnout žádost výběrem možnosti Storno. Aplikace obdrží přístupový token a může pokračovat ve svých procesech poté, co uživatel udělí souhlas. Nezapomeňte zajistit, že je vaše aplikace připravena správně reagovat, když neobdrží token.
Uživatelská zkušenost souhlasu správce
U některých žádostí o přístup může souhlas udělit jenom správce. Pokud je požadovaný přístup výkonný nebo zahrnuje prostředky, jejichž vlastníci nejsou aktuálními uživateli, kód tak, aby žádosti mohl udělit jenom správce.
Nikdy ale nevíte, která oprávnění vyžadují souhlas správce a která umožňují normálnímu uživateli udělit souhlas, protože správci tenanta můžou nakonfigurovat svého tenanta tak, aby nepovolili souhlas uživatele (všechna oprávnění vyžadují souhlas správce), jak je znázorněno na následujícím příkladu nastavení souhlasu uživatele v Centru pro správu Microsoft Entra.
Správci můžou také povolit souhlas uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění, jak je znázorněno na následujícím příkladu obrazovky s nastavením souhlasu uživatele v Centru pro správu Microsoft Entra.
Správci pak můžou přidat oprávnění , ke kterým můžou uživatelé souhlasit, jak je znázorněno na následujícím příkladu obrazovky s klasifikacemi oprávnění v Centru pro správu Microsoft Entra.
Když vaše aplikace požádá o oprávnění, které vyžaduje souhlas správce (podle návrhu nebo konfigurace správce), může se uživateli zobrazit dialogové okno Vyžadovat schválení správce podobné tomuto příkladu.
V ukázkovém dialogovém okně se zobrazí výchozí prostředí pro oprávnění, která vyžadují souhlas správce. Většina uživatelů v tomto scénáři neví, co dělat. Neví, kdo je jejich správcem, a neví, na koho se obrátit ohledně schválení. Tato nejistota může omezit schopnost uživatele dosáhnout požadovaných výsledků.
Vylepšení oprávnění a prostředí souhlasu
Aby se zlepšila zkušenost s oprávněními a souhlasy, může správce tenanta nakonfigurovat workflow souhlasu správce, jak je znázorněno na následujícím příkladu snímku obrazovky uživatelských nastavení v Administračním centru Microsoft Entra.
V nastaveních žádostí o souhlas správce může správce tenanta vylepšit uživatelská oprávnění a možnosti souhlasu výběrem možnosti Ano v části uživatelé mohou požádat o souhlas správce s aplikacemi, k nimž nemohou sami dát souhlas a nastavit další parametry žádostí o souhlas správce.
Jakmile správce tenanta vybere možnost Ano u nastavení uživatelé mohou požádat správce o souhlas s aplikacemi, ke kterým nemohou dát souhlas sami a aplikace požádá o oprávnění vyžadující souhlas správce, zobrazí se uživateli dialogové okno Vyžadováno schválení, podobné následujícímu, které poskytuje lepší uživatelské prostředí.
V ukázkovém dialogovém okně může uživatel zadat odůvodnění žádosti o tuto aplikaci před výběrem možnosti Požádat o schválení. Na základě profilu rizika je žádost o schválení následně zařazena do fronty požadavků na souhlas správců, kde mají správci možnost kontrolovat, přijímat nebo zakazovat aplikace ve své organizaci.
Když správce spustí aplikaci, která vyžaduje souhlas správce bez nakonfigurování souhlasu v správním centru Microsoft Entra, uživateli se zobrazí dialogové okno s žádostí o oprávnění podobné tomuto příkladu.
V tomto příkladu správce zobrazí popis oprávnění, která aplikace požaduje. Správce může vybrat Možnost Přijmout, aby aplikaci spustil jednotlivě, nebo může před výběrem možnosti Přijmout vybrat souhlas jménem vaší organizace. Jakmile správce udělí souhlas organizaci, žádný další uživatel organizace nemusí udělit přístup této aplikaci, pokud správce neodebere souhlas z konfigurace žádostí o souhlas správce Admin consent requests.
Další metodou souhlasu správce tenanta je v Centru pro správu Microsoft Entra Oprávnění , kde správci můžou zkontrolovat podrobnosti o dříve požadovaných oprávněních aplikace.
V příkladu souhlasu uživatele může správce zkontrolovat udělená oprávnění pro aplikaci spolu s informacemi o deklarací identity, typu oprávnění a o tom, kdo udělil souhlas. Správce může vybrat souhlas správce a zkontrolovat udělená oprávnění, která vyžadují souhlas správce.
Žádost o souhlas správce předem
Nejlepší strategií oprávnění aplikace je deklarovat předem všechna oprávnění, která může vaše aplikace potřebovat, nebo požádat při registraci aplikace. Nemusíte požadovat všechna oprávnění současně, ale po deklarování všech oprávnění, která může vaše aplikace potřebovat, můžou správci v konfiguraci vaší aplikace v tenantovi vybrat udělení souhlasu správce, aby zobrazili dialogové okno podobné tomuto příkladu.
Příklad ukazuje, jak může správce předem určit oprávnění, která jste deklarovali, a poskytnout uživatelům a správcům tenanta nejlepší prostředí.
Žádost o souhlas správce předem je skvělou volbou pro obchodní aplikace , zejména pro aplikace, které vaše organizace vyvíjí. Je jednodušší se vyhnout nutnosti ptát se uživatele na souhlas s přístupem vaší společnosti k datům tím, že těmto aplikacím předem udělíte souhlas. Žádost o souhlas správce provedete jako součást procesu registrace aplikace.
Další kroky
- Získání autorizace pro přístup k prostředkům vám pomůže pochopit, jak nejlépe zajistit nulová důvěra (Zero Trust) při získávání oprávnění přístupu k prostředkům pro vaši aplikaci.
- Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení vašich cílů nulová důvěra (Zero Trust).
- Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
- Přizpůsobení tokenů popisuje informace, které můžete přijímat v tokenech Microsoft Entra. Vysvětluje, jak přizpůsobit tokeny, aby se zlepšila flexibilita a řízení při zvýšení zabezpečení nulové důvěryhodnosti aplikací s nejnižšími oprávněními.
- Přehled oprávnění a souhlasu na platformě Microsoft Identity Platform vám pomůže pochopit základní koncepty přístupu a autorizace.
- Přehled souhlasu a oprávnění vám pomůže naučit se základní koncepty a scénáře související se souhlasem a oprávněními v Microsoft Entra ID.
- Modul Learn: Architektura oprávnění a souhlasu vám pomůže naučit se s oprávněními a modely architektury souhlasu.
- Learn Live: Microsoft Identity: Permissions and Consent Framework pomáhá naučit se základy identity Microsoftu, včetně tokenů, typů účtů a topologií.