Sdílet prostřednictvím

Vyžádání oprávnění, která vyžadují souhlas správce

  • Článek

V tomto článku popisujeme prostředí oprávnění a souhlasu pro scénář, ve kterém jako vývojář píšete kód aplikace, který vyžaduje oprávnění aplikace, která vyžadují souhlas správce. Ukázkové snímky obrazovky s dialogovými okny oprávnění a souhlasem a Centrem pro správu Microsoft Entra vám poskytnou představu o prostředí uživatelů a správců tenantů. Vylepšete spolupráci se správci, abyste ve svých aplikacích implementovali princip nulová důvěra (Zero Trust) nejnižších oprávnění.

Při vývoji aplikace napíšete kód, který požaduje přístup k prostředku vyžádáním přístupového tokenu s konkrétním oborem (nebo oprávněním). Použijete parametr oboru, jak je popsáno ve standardu OAuth 2.0 , který někteří lidé popisují jako oprávnění. Vlastníci prostředků udělují nebo zakazují žádosti o oprávnění. V Microsoft Entra ID je vlastníkem prostředku buď uživatel aplikace, nebo správce, který má práva udělit souhlas s tímto prostředkem jménem všech uživatelů.

Když vaše aplikace požádá o oprávnění pro přístup k prostředku, může se uživateli zobrazit dialogové okno požadovaná oprávnění podobná tomuto příkladu.

Snímek obrazovky s dialogovým oknem Požadovaná oprávnění popisující oprávnění, která aplikace požaduje, pomocí tlačítek Zrušit a Přijmout

V dialogovém okně výše uvedeného příkladu udělí uživatel souhlas, aby aplikace mohla číst data svým jménem výběrem možnosti Přijmout nebo zamítnout žádost výběrem možnosti Storno. Aplikace obdrží přístupový token a může pokračovat ve svých procesech poté, co uživatel udělí souhlas. Nezapomeňte zajistit, že je vaše aplikace připravená k řádnému zpracování, když neobdrží token.

U některých žádostí o přístup může souhlas udělit jenom správce. Pokud je požadovaný přístup výkonný nebo zahrnuje prostředky, jejichž vlastníci nejsou aktuálními uživateli, kód tak, aby žádosti mohl udělit jenom správce.

Nikdy ale nevíte, která oprávnění vyžadují souhlas správce a která umožňují normálnímu uživateli udělit souhlas, protože správci tenanta můžou nakonfigurovat svého tenanta tak, aby nepovolili souhlas uživatele (všechna oprávnění vyžadují souhlas správce), jak je znázorněno na následujícím příkladu nastavení souhlasu uživatele v Centru pro správu Microsoft Entra.

Snímek obrazovky Centra pro správu Microsoft Entra Nastavení souhlasu uživatele, které konfiguruje souhlas pro aplikace pro přístup k datům organizace

Správa mohou také Povolit souhlas uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění, jak je znázorněno na následujícím příkladu obrazovky s nastavením souhlasu uživatele v Centru pro správu Microsoft Entra.

Snímek obrazovky Centra pro správu Microsoft Entra s nastavením souhlasu uživatele, který konfiguruje souhlas pro aplikace od ověřených vydavatelů

Správa pak můžouPřidejte oprávnění, ke kterým můžou uživatelé souhlasit, jak je znázorněno na následujícím příkladu snímku obrazovky s klasifikacemi oprávnění v Centru pro správu Microsoft Entra.

Snímek obrazovky Centra pro správu Microsoft Entra – Klasifikace oprávnění, která konfiguruje klasifikace oprávnění, které umožňují souhlas uživatele

Když vaše aplikace požádá o oprávnění, které vyžaduje souhlas správce (podle návrhu nebo konfigurace správce), může se uživateli zobrazit dialogové okno Vyžadovat schválení správce podobné tomuto příkladu.

Snímek obrazovky s dialogovým oknem Potřebujete schválení správcem, které popisuje, jak správci udělují požadovaná oprávnění

Výše uvedené ukázkové dialogové okno zobrazuje výchozí prostředí (mimo toto políčko) pro oprávnění, která vyžadují souhlas správce. Většina uživatelů v tomto scénáři neví, co dělat. Neví, kdo je jeho správcem, ale neví, kdo se má ke schválení dostat. Tato nejistota může omezit schopnost uživatele dosáhnout požadovaných výsledků.

Aby se zlepšila oprávnění a prostředí souhlasu, může správce tenanta nakonfigurovat pracovní postup souhlasu správce, jak je znázorněno na následujícím příkladu obrazovky s nastavením uživatele v Centru pro správu Microsoft Entra.

Snímek obrazovky Centra pro správu Microsoft Entra s nastavením uživatele, který konfiguruje žádosti o souhlas Správa

V Správa žádosti o udělení souhlasu může správce tenanta vylepšit oprávnění a možnosti souhlasu uživatele výběrem možnosti Ano u uživatelů může požádat o souhlas správce s aplikacemi, u kterých nemůžou souhlasit a konfigurovat další nastavení žádostí o souhlas Správa.

Jakmile správce tenanta vybere možnost Ano pro uživatele, může požádat správce o souhlas s aplikacemi, se kterými nemůžou souhlasit , a aplikace požádá o oprávnění vyžadující souhlas správce, zobrazí se uživateli něco podobného jako v následujícím dialogovém okně Požadováno schválení, které poskytuje lepší uživatelské prostředí.

Snímek obrazovky s dialogovým oknem Požadováno schválení, které popisuje oprávnění, která aplikace požaduje, s textovým polem pro zadání odůvodnění žádosti o tuto aplikaci

V dialogovém okně výše uvedeného příkladu může uživatel zadat odůvodnění žádosti o tuto aplikaci před výběrem možnosti Požádat o schválení. Žádost o schválení pak zadá frontu žádostí o souhlas Správa (jak je znázorněno na následujícím příkladu snímku obrazovky), kde mají správci možnost kontrolovat, přijímat nebo zakázat aplikace v organizaci na základě profilu rizika.

Snímek obrazovky centra pro správu Microsoft Entra

Když správce spustí aplikaci, která vyžaduje souhlas správce bez konfigurace souhlasu v Centru pro správu Microsoft Entra, zobrazí se uživateli s žádostí o oprávnění dialogové okno podobné následujícímu příkladu.

Snímek obrazovky s dialogovým oknem Požadovaná oprávnění, která aplikace požaduje, se zaškrtávacím zaškrtávacím políčkam přepnout možnost Souhlas jménem vaší organizace

V předchozím příkladu správce zobrazí popis oprávnění, která aplikace požaduje. Správce může vybrat Možnost Přijmout, aby aplikaci spustil jednotlivě, nebo může před výběrem možnosti Přijmout vybrat souhlas jménem vaší organizace. Po udělení souhlasu správce pro organizaci nemusí žádný budoucí uživatel organizace udělit oprávnění pro tuto aplikaci, pokud správce neodebere souhlas z tenanta Správa žádosti o souhlas.

Další metodou souhlasu správce tenanta je v Centru pro správu Microsoft Entra Oprávnění , kde správci můžou zkontrolovat podrobnosti o dříve požadovaných oprávněních aplikace.

Snímek obrazovky Centra pro správu Microsoft Entra – Oprávnění zobrazující podrobnosti o existujících požadavcích aplikace

V předchozím příkladu souhlasu uživatele může správce zkontrolovat udělená oprávnění pro aplikaci spolu s informacemi o deklarací identity, typu oprávnění a o tom, kdo udělil souhlas. Správce může vybrat Správa souhlas s kontrolou udělených oprávnění, která vyžadují souhlas správce.

Nejlepší strategií oprávnění aplikace je deklarovat předem všechna oprávnění, která může vaše aplikace potřebovat, nebo požádat při registraci aplikace. Nemusíte požadovat všechna oprávnění současně, ale po deklarování všech oprávnění, která může vaše aplikace potřebovat, můžou správci v konfiguraci vaší aplikace v tenantovi vybrat udělení souhlasu správce, aby zobrazili dialogové okno podobné tomuto příkladu.

Snímek obrazovky s dialogovým oknem Oprávnění požadovaná kontrola pro vaši organizaci, které popisuje oprávnění, která aplikace požaduje, pomocí tlačítek Zrušit a Přijmout

Výše uvedený příklad ukazuje, jak může správce předem určit oprávnění, která jste deklarovali, a poskytnout uživatelům a správcům tenanta nejlepší prostředí.

Žádost o souhlas správce předem je skvělou volbou pro obchodní aplikace , zejména pro aplikace, které vaše organizace vyvíjí. Není jednodušší se zeptat uživatele, jestli vaše společnost bude mít přístup k datům vaší společnosti tím, že tyto aplikace předem propojí. Žádost o souhlas správce provedete jako součást procesu registrace aplikace.

Další kroky

  • Získání autorizace pro přístup k prostředkům vám pomůže pochopit, jak nejlépe zajistit nulová důvěra (Zero Trust) při získávání oprávnění přístupu k prostředkům pro vaši aplikaci.
  • Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení vašich cílů nulová důvěra (Zero Trust).
  • Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
  • Přizpůsobení tokenů popisuje informace, které můžete přijímat v tokenech Microsoft Entra. Vysvětluje, jak přizpůsobit tokeny, aby se zlepšila flexibilita a řízení a současně se zvýšilo zabezpečení nulové důvěryhodnosti aplikace s nejnižšími oprávněními.
  • Přehled oprávnění a souhlasu na platformě Microsoft Identity Platform vám pomůže pochopit základní koncepty přístupu a autorizace.
  • Přehled souhlasu a oprávnění vám pomůže naučit se základní koncepty a scénáře související se souhlasem a oprávněními v Microsoft Entra ID.
  • Modul Learn: Architektura oprávnění a souhlasu vám pomůže naučit se s oprávněními a modely architektury souhlasu.
  • Learn Live: Microsoft Identity: Permissions and Consent Framework pomáhá naučit se základy identity Microsoftu, včetně tokenů, typů účtů a topologií.