Créer des rôles d’application
Le rôle d’application est une autre fonctionnalité que vous pouvez et devez configurer lors de l’inscription d’une application. En outre, le rôle d’application est une balise ou une revendication pouvant être appliquée à un utilisateur, un groupe ou une application qui apparaît avec le jeton généré quand un utilisateur s’authentifie pour accéder à une application. Les données de rôle d’application contenues dans le jeton peuvent ensuite être utilisées dans l’application à des fins d’autorisation. Le rôle d’application constitue une autre solution de contournement de l’utilisation excessive des groupes affectés à une application, car il s’agit d’une fonctionnalité Microsoft Entra P1. Pour bénéficier de cette fonctionnalité, l’administrateur d’une application définit des rôles d’application qui autorisent des utilisateurs et des groupes en tant que types de membres. Comme indiqué dans l’écran suivant Inscriptions d’applications – Rôles d’application – Créer un rôle d’application, sélectionnez Utilisateurs/Groupes pour Types de membres autorisés.
Après avoir créé le rôle d’application dans l’inscription de l’application, les professionnels de l’informatique peuvent attribuer des utilisateurs et des groupes au rôle. Votre application obtient une revendication de rôles dans votre jeton (jeton d’ID pour l’application, jeton d’accès pour les API) avec tous les rôles attribués par l’utilisateur connecté, comme indiqué dans l’exemple de jeton suivant.
"iss": "https://login.microsoftonline.com/833ced3d-cb2e-41de-92f1-29e2af035ddc/v2.0",
"iat": 1670826509, "nbf": 1670826509, "exp": 1670830409,
"name": "Kyle Marsh",
"oid": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"preferred_username": "kylemar@idfordevs.dev",
"roles": [
"Approver",
"Reviewer"
],
"sub": "dx-4lf-0loB3c3uVrULnZ2VTLuRRWYff0q7-QlIfYU4",
"tid": "bbbbcccc-1111-dddd-2222-eeee3333ffff",
Quand vous créez des rôles d’application qui autorisent l’utilisateur et les groupes en tant que membres, définissez toujours un rôle d’utilisateur de référence sans rôle d’autorisation élevé. Quand une configuration d’application Entreprise nécessite une affectation, seuls les utilisateurs disposant d’une affectation directe à une application ou appartenant à un groupe affecté à l’application peuvent utiliser l’application. Si votre application dispose de rôles d’application définis qui autorisent les utilisateurs et les groupes en tant que membres, quand un utilisateur ou un groupe est attribué à l’application, l’un des rôles d’application définis doit faire partie de l’affectation des utilisateurs ou du groupe à l’application. Si votre application dispose uniquement de rôles élevés (comme l’administrateur) pour l’application, le rôle d’administrateur est attribué à tous les utilisateurs et groupes. Quand vous définissez un rôle de base (comme l’utilisateur), le rôle d’utilisateur de base peut être attribué aux utilisateurs et groupes attribués à l’application.
Les rôles permettent non seulement d’éviter les revendications de dépassement de groupe, mais ils présentent également l’avantage qu’il n’est pas nécessaire de mapper un ID de groupe ou un nom à sa signification dans votre application. Votre code peut par exemple rechercher la revendication de rôle d’administrateur au lieu d’effectuer une itération dans les groupes des revendications de groupes et de déterminer les ID de groupe qui doivent être autorisés pour les fonctionnalités d’administration.