Experiencia de consentimiento para aplicaciones en el id. de Microsoft Entra
En este artículo, aprenderás cómo es la experiencia de usuario del consentimiento de la aplicación Microsoft Entra. Puedes administrar las aplicaciones para tu organización o desarrollar aplicaciones de manera inteligente con una experiencia de consentimiento más sencilla.
El consentimiento es el proceso por el cual un usuario concede autorización para que una aplicación acceda a recursos protegidos en su nombre. Se puede solicitar el consentimiento a un administrador o usuario para que permita el acceso a los datos de la organización o de personas.
La experiencia real del usuario para otorgar el consentimiento difiere en función de las directivas establecidas en el inquilino del usuario, el ámbito de autoridad del usuario (o su rol) y el tipo de permisos que solicita la aplicación cliente. Esto significa que los desarrolladores de aplicaciones y los administradores de inquilinos tienen cierto control sobre la experiencia de consentimiento. Los administradores tienen la flexibilidad de configurar y deshabilitar las directivas en una aplicación o inquilino para controlar la experiencia de consentimiento en su inquilino. Los desarrolladores de aplicaciones pueden dictar qué tipos de permiso se solicitan y si quieren guiar a los usuarios a través del flujo de consentimiento del usuario o el flujo de consentimiento del administrador.
- El flujo de consentimiento del usuario es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de autorización con la intención de registrar el consentimiento solo para el usuario actual.
- El flujo de consentimiento del administrador es cuando un desarrollador de aplicaciones dirige a los usuarios al punto de conexión de consentimiento del administrador con la intención de registrar el consentimiento para todo el inquilino. Para asegurarse de que el flujo de consentimiento del administrador funcione correctamente, los desarrolladores de aplicaciones deben enumerar todos los permisos en la propiedad
RequiredResourceAccess
en el manifiesto de aplicación. Para más información, consulte Manifiesto de aplicación.
Bloques de creación de la petición de consentimiento
La petición de consentimiento está diseñada para garantizar que los usuarios tengan suficiente información para determinar si confían en que la aplicación cliente acceda a recursos protegidos en su nombre. Comprender los bloques de creación ayuda a los usuarios que otorgan consentimientos a tomar decisiones más informadas y a los desarrolladores a crear mejores experiencias de usuario.
En el diagrama y la tabla siguientes se proporciona información sobre los bloques de creación de la petición de consentimiento.
# | Componente | Propósito |
---|---|---|
1 | Identificador de usuario | Este identificador representa al usuario en cuyo nombre la aplicación cliente solicita acceso a recursos protegidos. |
2 | Título | El título cambia en función de si los usuarios siguen el flujo de consentimiento del usuario o del administrador. En el flujo de consentimiento del usuario, el título es "Permisos solicitados", mientras que en el flujo de consentimiento del administrador, el título tiene una línea adicional "Aceptar para tu organización". |
3 | Logotipo de la aplicación | Esta imagen debe ayudar a los usuarios a tener una indicación visual de si esta aplicación es la aplicación a la que pretenden acceder. Los desarrolladores de aplicaciones proporcionan esta imagen, y no se valida la propiedad de esta imagen. |
4 | Nombre de la aplicación | Este valor debe informar a los usuarios qué aplicación solicita acceso a sus datos. Tenga en cuenta que los desarrolladores proporcionan este nombre, y no se valida la propiedad del nombre de esta aplicación. |
5 | Nombre y comprobación del publicador | El distintivo azul de "comprobado" significa que el publicador de la aplicación ha comprobado su identidad mediante una cuenta de Microsoft Partner Network y ha completado el proceso de comprobación. Si se comprueba el publicador, se muestra su nombre. Si no se comprueba el publicador de la aplicación, se muestra "Sin comprobar" en lugar de un nombre de publicador. Para más información, lea sobre la Comprobación del publicador. Al seleccionar el nombre del publicador, estará disponible más información de la aplicación, como el nombre del publicador, el dominio del publicador, la fecha de creación, los detalles de la certificación y las direcciones URL de respuesta. |
6 | Certificación de Microsoft 365 | El logotipo de la certificación de Microsoft 365 significa que una aplicación se ha examinado con los controles derivados de marcos estándar líderes de sector y que aplica prácticas sólidas de seguridad y cumplimiento para proteger los datos de los clientes. Para más información, lea sobre la Certificación de Microsoft 365. |
7 | Información del anunciante | Muestra si Microsoft ha publicado la aplicación. |
8 | Permisos | Esta lista contiene los permisos solicitados por la aplicación cliente. Los usuarios deben evaluar siempre los tipos de permisos que se solicitan a fin de comprender a qué datos estará autorizada a acceder en su nombre la aplicación cliente si aceptan. Como desarrollador de aplicaciones es mejor solicitar acceso a los permisos con los privilegios mínimos. |
9 | Descripción del permiso | El servicio que expone los permisos proporciona este valor. Para ver las descripciones de los permisos, debe activar o desactivar el botón de contenido adicional junto al permiso. |
10 | https://myapps.microsoft.com |
Este es el vínculo donde los usuarios pueden revisar y quitar las aplicaciones que no son de Microsoft que actualmente tienen acceso a sus datos. |
11 | Notifíquelo aquí | Este vínculo se usa para notificar de una aplicación sospechosa si no confía en ella, si cree que la aplicación está suplantando a otra, si cree que la aplicación hará un uso incorrecto de sus datos o por algún otro motivo. |
Escenarios comunes y experiencias de consentimiento
En la siguiente sección se describen los escenarios comunes y la experiencia de consentimiento esperada para cada uno de ellos.
La aplicación requiere un permiso que el usuario tiene derecho a conceder
En este escenario de consentimiento, el usuario accede a una aplicación que requiere un conjunto de permisos dentro del ámbito de autoridad del usuario. Se dirige al usuario al flujo de consentimiento del usuario.
Los administradores ven un control adicional en la solicitud de consentimiento tradicional que les permitirá dar su consentimiento en nombre de toda la cuenta empresarial. El control estará desactivado de manera predeterminada, por lo que solo cuando los administradores marquen la casilla explícitamente se otorgará el consentimiento en nombre de toda la cuenta empresarial. Esta casilla solo se mostrará para al menos el rol de Administrador de roles con privilegios, por lo que el Administrador en la nube y el Administrador de aplicaciones no verán esta casilla.
Los usuarios ven la petición de consentimiento tradicional.
La aplicación requiere un permiso que el usuario no tiene derecho a conceder
En este escenario de consentimiento común, el usuario accede a una aplicación que requiere como mínimo un permiso fuera del ámbito de autoridad del usuario.
Los administradores ven un control adicional en la petición de consentimiento tradicional que les permitirá dar su consentimiento en nombre de toda la cuenta empresarial.
Los usuarios que no son administradores no pueden otorgar consentimiento a la aplicación y se les indicará que pidan al administrador acceso a la aplicación. Si el flujo de trabajo de consentimiento del administrador está habilitado en la cuenta empresarial del usuario, los usuarios pueden enviar una solicitud de aprobación de administrador desde la petición de consentimiento. Para más información sobre el flujo de trabajo de consentimiento del administrador, consulte Flujo de trabajo de consentimiento del administrador.
Se dirige al usuario al flujo de consentimiento del administrador
En este escenario de consentimiento, el usuario navega o se dirige al flujo de consentimiento del administrador.
Los usuarios administradores ven la petición de consentimiento del administrador. El título y las descripciones de permisos cambiaron en esta petición, los cambios destacan el hecho de que, al aceptar esta petición, se otorgará a la aplicación acceso a los datos solicitados en el nombre de todo el inquilino.
Los usuarios no pueden otorgar consentimiento a la aplicación y se les indica que pidan al administrador acceso a la aplicación.
Consentimiento del administrador mediante el Centro de administración de Microsoft Entra
En este escenario, un administrador da su consentimiento a todos los permisos que solicita una aplicación, que pueden incluir permisos delegados en nombre de todos los usuarios del inquilino. El administrador da su consentimiento a través de la página Permisos de API del registro de la aplicación en Centro de administración de Microsoft Entra.
Todos los usuarios de ese inquilino no verán el cuadro de diálogo de consentimiento a menos que la aplicación requiera nuevos permisos. Para obtener más información sobre qué roles de administrador pueden consentir permisos delegados, consulte Permisos de rol de administrador en id. de Microsoft Entra.
Importante
Actualmente es obligatorio conceder explícitamente el consentimiento con el botón Conceder permisos para las aplicaciones de página única (SPA) que usan MSAL.js. En caso contrario, se produce un error en la aplicación cuando se solicita el token de acceso.
Problemas comunes
En esta sección se describen los problemas comunes con la experiencia de consentimiento y las posibles sugerencias de solución de problemas.
Error 403
- ¿Se trata de un escenario delegado? ¿Qué permisos tiene un usuario?
- ¿Se han agregado los permisos necesarios para usar el punto de conexión?
- Compruebe el token para ver si tiene las notificaciones necesarias para llamar al punto de conexión.
- ¿A qué permisos se ha dado consentimiento? ¿Quién ha dado consentimiento?
El usuario no puede dar su consentimiento
- Compruebe si el administrador de inquilinos ha deshabilitado el consentimiento del usuario para su organización
- Confirme si los permisos que solicita son permisos restringidos por administradores.
El usuario sigue bloqueado incluso después de que el administrador haya dado su consentimiento
- Compruebe si los permisos estáticos están configurados para ser un superconjunto de permisos solicitados dinámicamente.
- Compruebe si la asignación de usuarios es necesaria para la aplicación.
Solucionar problemas de errores conocidos
Para aplicar los pasos de solución de problemas, vea Error inesperado al otorgar consentimiento a una aplicación.
Consulte también
- Obtenga una descripción general paso a paso de cómo el marco de consentimiento de Microsoft Entra implementa el consentimiento.
- Para más detalles, aprenda cómo una aplicación multiinquilino puede utilizar el marco de consentimiento para implementar el consentimiento de "usuario" y "administrador", compatible con patrones de aplicación de niveles múltiples más avanzados.
- Obtenga información sobre cómo configurar el dominio de editor de la aplicación.