Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, nous décrivons l’expérience d’autorisation et de consentement pour un scénario dans lequel vous, en tant que développeur, écrivez votre code d’application pour demander des autorisations d’application qui nécessitent un consentement administratif. Les exemples de captures d’écran des boîtes de dialogue d’autorisation et de consentement et du Centre d’administration Microsoft Entra vous donnent une idée de l’expérience de vos utilisateurs et administrateurs clients. Améliorez la collaboration avec les administrateurs pour implémenter le principe de confiance zéro du privilège minimum dans vos applications.
Lorsque vous développez votre application, vous écrivez du code qui demande l’accès à une ressource en demandant un jeton d’accès avec une étendue spécifique (ou une autorisation). Vous utilisez le paramètre d’étendue comme décrit dans la norme OAuth 2.0 que certaines personnes décrivent comme une autorisation. Les propriétaires de ressources accordent ou refusent les demandes d’autorisation. Dans Microsoft Entra ID, le propriétaire de ressource est soit l’utilisateur de l’application, soit un administrateur qui a les droits d’accorder son consentement à cette ressource au nom de tous les utilisateurs.
Expérience de consentement de l'utilisateur
Lorsque votre application demande l’autorisation d’accéder à une ressource, votre utilisateur peut voir une boîte de dialogue Autorisations demandées similaire à cet exemple.
Dans l’exemple de boîte de dialogue, l’utilisateur accorde le consentement pour permettre à l’application de lire les données en leur nom en sélectionnant Accepter ou refuser la demande en sélectionnant Annuler. L’application reçoit un jeton d’accès et peut continuer ces processus, une fois le consentement donné par l’utilisateur. N’oubliez pas de vous assurer que votre application est prête à gérer correctement lorsqu’elle ne reçoit pas de jeton.
expérience de consentement Administration
Pour certaines demandes d’accès, seul un administrateur peut accorder son consentement. Si l’accès demandé est puissant ou implique des ressources dont les propriétaires ne sont pas les utilisateurs actuels, code pour que seul un administrateur puisse accorder des demandes.
Toutefois, vous ne savez jamais quelles autorisations nécessitent le consentement de l’administrateur et qui permettent à un utilisateur régulier d’accorder le consentement, car les administrateurs de locataires peuvent configurer leur locataire avec Ne pas autoriser le consentement de l’utilisateur (toutes les autorisations nécessitent le consentement de l’administrateur), comme illustré dans l’exemple de capture d’écran ci-dessous des paramètres de consentement utilisateur dans le Centre d’administration Microsoft Entra.
Les administrateurs peuvent également autoriser le consentement de l’utilisateur pour les applications à partir de serveurs de publication vérifiés, pour les autorisations sélectionnées, comme illustré dans l’exemple de capture d’écran suivant des paramètres de consentement utilisateur dans le Centre d’administration Microsoft Entra.
Les administrateurs peuvent ensuite ajouter des autorisations auxquelles les utilisateurs peuvent donner leur consentement, comme illustré dans l’exemple de capture d’écran suivant des classifications d’autorisations dans le Centre d’administration Microsoft Entra.
Lorsque votre application demande une autorisation qui nécessite un consentement administrateur (par conception ou configuration d’administrateur), votre utilisateur peut voir une boîte de dialogue Besoin d'approbation de l'administrateur similaire à cet exemple.
L’exemple de boîte de dialogue affiche l’expérience par défaut (prête à l’emploi) pour les autorisations qui nécessitent le consentement de l’administrateur. La plupart des utilisateurs ne savent pas quoi faire dans ce scénario. Ils ne savent pas qui est leur administrateur, ils ne savent pas qui aller pour approbation. Cette incertitude peut limiter la capacité de l’utilisateur à obtenir des résultats souhaités.
Amélioration des autorisations et de l’expérience de consentement
Pour améliorer les autorisations et l’expérience de consentement, l’administrateur client peut configurer le flux de travail de consentement administrateur , comme illustré dans l’exemple de capture d’écran suivant des paramètres utilisateur dans le Centre d’administration Microsoft Entra.
Dans les demandes de consentement administrateur, l’administrateur client peut améliorer l’autorisation et l’expérience de consentement de l’utilisateur en sélectionnant Oui sur les utilisateurs peut demander le consentement de l’administrateur aux applications auxquelles il ne peut pas donner son consentement et configurer d’autres paramètres de demandes de consentement administrateur .
Une fois que l’administrateur client sélectionne Oui sur les utilisateurs peut demander le consentement de l’administrateur aux applications auxquelles il ne peut pas donner son consentement et qu’une application demande une autorisation qui requiert le consentement de l’administrateur, l’utilisateur voit quelque chose similaire à la boîte de dialogue Approbation requise suivante qui offre une meilleure expérience utilisateur.
Dans l’exemple de boîte de dialogue, l’utilisateur peut entrer une justification pour demander cette application avant de sélectionner Demander l’approbation. La demande d’approbation entre ensuite une file d’attente de demandes de consentement administrateur dans laquelle les administrateurs ont des options pour examiner, accepter ou interdire les applications de leur organisation en fonction du profil de risque.
Lorsqu’un administrateur exécute une application qui nécessite un consentement administrateur sans configurer le consentement dans le Centre d’administration Microsoft Entra, l’utilisateur administrateur voit une boîte de dialogue Autorisations demandées similaire à l’exemple suivant.
Dans l’exemple, l’administrateur voit une description des autorisations demandées par l’application. L’administrateur peut sélectionner Accepter pour exécuter individuellement l’application ou sélectionner Consentement pour le compte de votre organisation avant de sélectionner Accepter. Une fois que l’administrateur a accordé son consentement pour l’organisation, plus aucun utilisateur de l’organisation n’a besoin d’accorder l’autorisation pour cette application, sauf si un administrateur supprime le consentement de la configuration des demandes de consentement administrateur du locataire.
Une autre méthode de consentement de l’administrateur client se trouve dans les autorisations du Centre d’administration Microsoft Entra, où les administrateurs peuvent consulter les détails des autorisations d’application précédemment demandées.
Dans l’exemple de consentement de l’utilisateur , l’administrateur peut examiner les autorisations accordées pour l’application, ainsi que des informations sur les revendications, le type d’autorisation et les personnes qui ont donné leur consentement. L’administrateur peut sélectionner Consentement de l’administrateur pour passer en revue les autorisations accordées qui nécessitent le consentement de l’administrateur.
Demande de consentement administrateur à l’avance
Votre meilleure stratégie d’autorisations d’application consiste à déclarer à l’avance toutes les autorisations dont votre application peut avoir besoin ou demander lorsque vous inscrivez votre application. Vous n’avez pas besoin de demander toutes les autorisations en même temps, mais après avoir déclaré toutes les autorisations dont votre application peut avoir besoin, les administrateurs peuvent sélectionner Accorder le consentement de l’administrateur dans la configuration de votre application dans le locataire pour afficher une boîte de dialogue similaire à cet exemple.
L’exemple montre comment l’administrateur peut préconsenter les autorisations que vous avez déclarées et fournir la meilleure expérience pour vos utilisateurs et administrateurs clients.
La demande de consentement administrateur à l’avance est un excellent choix pour les applications métier( LOB), en particulier les applications que votre organisation développe. Il est plus simple de ne pas demander à votre utilisateur si votre entreprise peut accéder aux données de celle-ci en consentant d’avance à ces demandes. Vous effectuez la demande de consentement de l’administrateur dans le cadre de votre processus d’inscription d’application.
Étapes suivantes
- Acquérir l’autorisation d’accéder aux ressources vous aide à comprendre comment garantir la confiance zéro lors de l’acquisition des autorisations d’accès aux ressources pour votre application.
- La protection des API décrit les meilleures pratiques de protection de votre API via l’inscription, la définition des autorisations et le consentement, et l’application de l’accès pour atteindre vos objectifs confiance zéro.
- Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.
- Personnaliser les jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra. Il explique comment personnaliser des jetons afin d’améliorer la flexibilité et le contrôle tout en augmentant la sécurité confiance zéro de l’application avec des privilèges minimum.
- Vue d’ensemble des autorisations et du consentement dans la plateforme d’identités Microsoft vous aide à comprendre les concepts fondamentaux de l’accès et de l’autorisation.
- Vue d’ensemble du consentement et des autorisations vous permet d’apprendre des concepts fondamentaux et des scénarios autour du consentement et des autorisations dans Microsoft Entra ID.
- Module Learn : Les autorisations et l’infrastructure de consentement vous aident à apprendre les autorisations et les modèles d’infrastructure de consentement.
- Learn Live : Microsoft Identity : Permissions and Consent Framework vous aide à découvrir les principes de base de l’identité Microsoft, notamment les jetons, les types de comptes et les topologies.