Demande d’autorisations nécessitant un consentement administratif

Dans cet article, nous allons décrire l’expérience d’autorisation et de consentement pour un scénario dans lequel vous, en tant que développeur, écrivez votre code d’application pour demander des autorisations d’application qui nécessiteront un consentement administratif. Les exemples de captures d’écran des boîtes de dialogue d’autorisation et de consentement et du Centre d’administration Microsoft Entra vous donnent une idée de l’expérience de vos utilisateurs et administrateurs clients. Améliorez la collaboration avec les administrateurs pour implémenter le principe de Confiance Zéro des privilèges minimum dans vos applications.

Lorsque vous développez votre application, vous allez écrire du code qui demande l’accès à une ressource en demandant un jeton d’accès avec une étendue spécifique (ou une autorisation). Vous allez utiliser le paramètre d’étendue comme décrit dans la norme OAuth 2.0 que certaines personnes décrivent comme une autorisation. Un propriétaire de ressource accorde ou refuse chaque demande d’autorisation. Dans Microsoft Entra ID, le propriétaire de ressource est soit l’utilisateur de l’application, soit un administrateur qui a les droits d’accorder son consentement à cette ressource au nom de tous les utilisateurs.

Expérience de consentement de l'utilisateur

Lorsque votre application demande l’autorisation d’accéder à une ressource, votre utilisateur peut voir une boîte de dialogue Autorisations demandée similaire à cet exemple.

Dans l’exemple de boîte de dialogue ci-dessus, l’utilisateur accorde le consentement pour permettre à l’application de lire les données en leur nom en sélectionnant Accepter ou refuser la demande en sélectionnant Annuler. L’application reçoit un jeton d’accès et pourra poursuivre ses processus après l’octroi du consentement de l’utilisateur. N’oubliez pas de vous assurer que votre application est prête à gérer correctement lorsqu’elle ne reçoit pas de jeton.

expérience de consentement Administration

Pour certaines demandes d’accès, seul un administrateur peut accorder son consentement. Si l’accès demandé est puissant ou implique des ressources dont les propriétaires ne sont pas les utilisateurs actuels, code pour que seul un administrateur puisse accorder des demandes.

Toutefois, vous ne savez jamais quelles autorisations nécessiteront le consentement de l’administrateur et qui permettent à un utilisateur régulier d’accorder son consentement, car les admins client peuvent configurer leur locataire avec Ne pas autoriser le consentement de l’utilisateur (toutes les autorisations nécessitent un consentement administrateur), comme illustré dans l’exemple de capture d’écran ci-dessous des paramètres de consentement utilisateur dans le Centre d’administration Microsoft Entra.

les Administration peuvent également Autoriser le consentement de l’utilisateur pour les applications à partir d’éditeurs vérifiés, pour les autorisations sélectionnées, comme illustré dans l’exemple de capture d’écran ci-dessous des paramètres de consentement utilisateur dans le Centre d’administration Microsoft Entra.

les Administration peuvent ensuite Ajoutez des autorisations auxquelles les utilisateurs peuvent donner leur consentement, comme indiqué dans l’exemple de capture d’écran suivant des classifications d’autorisations dans le Centre d’administration Microsoft Entra.

Lorsque votre application demande une autorisation qui nécessite un consentement administrateur (par conception ou configuration d’administrateur), votre utilisateur peut voir une boîte de dialogue d’approbation d’administrateur nécessaire similaire à cet exemple.

L’exemple de boîte de dialogue ci-dessus montre l’expérience par défaut (prête à l’emploi) pour les autorisations qui nécessitent le consentement de l’administrateur. La plupart des utilisateurs ne savent pas quoi faire dans ce scénario. Ils ne savent pas qui est leur administrateur, ils ne savent pas qui aller pour approbation. Cette incertitude peut limiter la capacité de l’utilisateur à obtenir des résultats souhaités.

Amélioration des autorisations et de l’expérience de consentement

Pour améliorer les autorisations et l’expérience de consentement,administrateur client peut configurer le flux de travail de consentement administrateur, comme illustré dans l’exemple de capture d’écran suivant des paramètres utilisateur dans le Centre d’administration Microsoft Entra.

Sous Administration demandes de consentement, administrateur client peut améliorer l’autorisation et l’expérience de consentement de l’utilisateur en sélectionnant Oui sur Les utilisateurs peuvent demander le consentement de l’administrateur aux applications auxquelles ils ne peuvent pas consentir et configurer d’autres paramètres de demandes de consentement Administration.

Une fois que l’admin client sélectionne Oui sur les utilisateurs peut demander le consentement de l’administrateur aux applications auxquelles il ne peut pas donner son consentement et qu’une application demande une autorisation qui requiert le consentement administrateur, l’utilisateur voit quelque chose similaire à la boîte de dialogue Approbation requise suivante qui offre une meilleure expérience utilisateur.

Dans l’exemple de boîte de dialogue ci-dessus, l’utilisateur peut entrer une justification pour demander cette application avant de sélectionner Demander l’approbation. La demande d’approbation entre ensuite une file d’attente de demandes de consentement Administration (exemple de capture d’écran ci-dessous) où les administrateurs ont des options pour passer en revue, accepter ou interdire les applications dans leur organisation en fonction du profil de risque.

Lorsqu’un administrateur exécute une application qui nécessite le consentement de l’administrateur (et que l’administrateur n’a pas encore configuré ce consentement dans le Centre d’administration Microsoft Entra), l’utilisateur administrateur voit une boîte de dialogue d’autorisations légèrement différente , similaire à l’exemple suivant.

Dans l’exemple ci-dessus, l’administrateur voit une description des autorisations demandées par l’application. L’administrateur peut sélectionner Accepter pour exécuter individuellement l’application ou sélectionner Consentement pour le compte de votre organisation avant de sélectionner Accepter. Une fois que l’administrateur a accordé son consentement pour l’organisation, aucun utilisateur de l’organisation n’aura besoin d’accorder l’autorisation pour cette application, sauf si un administrateur supprime le consentement du locataire Administration configuration des demandes de consentement.

Une autre méthode de consentement administrateur client se trouve dans les autorisations du Centre d’administration Microsoft Entra, où les administrateurs peuvent consulter les détails des autorisations existantes que l’application a déjà demandées comme dans cet exemple.

Dans l’exemple de consentement de l’utilisateur ci-dessus, l’administrateur peut examiner les autorisations accordées pour l’application, ainsi que des informations sur les revendications, le type d’autorisation et qui a donné son consentement. L’administrateur peut sélectionner Administration consentement pour passer en revue les autorisations accordées qui nécessitent le consentement de l’administrateur.

Demande de consentement administrateur à l’avance

Votre meilleure stratégie d’autorisations d’application consiste à déclarer à l’avance toutes les autorisations dont votre application peut avoir besoin ou éventuellement demander lorsque vous inscrivez votre application. Vous n’avez pas besoin de demander toutes les autorisations en même temps, mais après avoir déclaré toutes les autorisations dont votre application peut avoir besoin, les administrateurs peuvent sélectionner Accorder le consentement administrateur dans la configuration de votre application dans le locataire pour afficher une boîte de dialogue similaire à cet exemple.

L’exemple ci-dessus montre comment l’administrateur peut pré-consentir aux autorisations que vous avez déclarées et fournir la meilleure expérience pour vos utilisateurs et admins client.

La demande de consentement administrateur à l’avance est un excellent choix pour les applications métier( LOB), en particulier les applications que votre organisation développe. Il est plus facile de ne pas avoir à demander à votre utilisateur si votre entreprise peut accéder aux données de votre entreprise en pré-consentant ces applications. Vous effectuez la demande de consentement de l’administrateur dans le cadre de votre processus d’inscription d’application.

Étapes suivantes

• L’acquisition d’une autorisation d’accès aux ressources vous aide à comprendre comment garantir le meilleur Confiance Zéro lors de l’acquisition d’autorisations d’accès aux ressources pour votre application.
• API Protection décrit les meilleures pratiques pour protéger votre API par le biais de l'enregistrement, de la définition des autorisations et du consentement, et de l'application de l'accès pour atteindre vos objectifs de confiance zéro.
• Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.
• La personnalisation des jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra et comment personnaliser des jetons pour améliorer la flexibilité et le contrôle tout en augmentant la sécurité de l’application confiance zéro avec des privilèges minimum.
• Vue d’ensemble des autorisations et du consentement dans le Plateforme d'identités Microsoft vous aide à comprendre les concepts fondamentaux de l’accès et de l’autorisation.
• Vue d'ensemble du consentement et des autorisations vous permet d’apprendre des concepts fondamentaux et des scénarios autour du consentement et des autorisations dans Microsoft Entra ID.
• Module Learn : Les autorisations et l’infrastructure de consentement vous aident à apprendre les autorisations et les modèles d’infrastructure de consentement.
• Learn Live : Microsoft Identity : Permissions and Consent Framework vous aide à découvrir les principes de base de l’identité Microsoft, notamment les jetons, les types de comptes et les topologies.