Hozzájárulási élmény a Microsoft Entra-azonosítójú alkalmazásokhoz
Ebben a cikkben megismerheti a Microsoft Entra alkalmazás hozzájárulási felhasználói felületét. Intelligensen kezelheti a szervezet alkalmazásait, és/vagy zökkenőmentesebb hozzájárulási felülettel fejleszthet alkalmazásokat.
A hozzájárulás annak a folyamatnak a folyamata, amely során egy felhasználó engedélyt ad egy alkalmazásnak a védett erőforrások elérésére a nevükben. A rendszergazda vagy a felhasználó hozzájárulást kérhet a szervezeti/egyéni adatokhoz való hozzáférés engedélyezéséhez.
A hozzájárulás megadásának tényleges felhasználói élménye a felhasználó bérlőjétől, a felhasználó jogosultsági körétől (vagy szerepkörétől) és az ügyfélalkalmazás által kért engedélyek típusától függően eltérő. Ez azt jelenti, hogy az alkalmazásfejlesztők és a bérlői rendszergazdák némi vezérléssel rendelkeznek a hozzájárulási felület felett. A rendszergazdák rugalmasan állíthatnak be és tilthatnak le szabályzatokat egy bérlőn vagy alkalmazásban a hozzájárulási folyamat szabályozásához a bérlőben. Az alkalmazásfejlesztők megszabhatják, hogy milyen típusú engedélyeket lehet kérni, és hogy a felhasználókat a felhasználói vagy a rendszergazdai hozzájárulási folyamaton kívánják végigvezetni.
- A felhasználói hozzájárulási folyamat az, amikor egy alkalmazásfejlesztő átirányítja a felhasználókat az engedélyezési végpontra azzal a szándékkal, hogy csak az aktuális felhasználó hozzájárulását rögzítse.
- Rendszergazda hozzájárulási folyamat az, amikor egy alkalmazásfejlesztő átirányítja a felhasználókat a rendszergazdai hozzájárulás végpontjához azzal a szándékkal, hogy a teljes bérlőre vonatkozóan rögzítse a hozzájárulást. Ahhoz, hogy a rendszergazdai hozzájárulási folyamat megfelelően működjön, az alkalmazásfejlesztőknek fel kell sorolnia az alkalmazásjegyzékben lévő
RequiredResourceAccess
tulajdonság összes engedélyét. További információ: Alkalmazásjegyzék.
A hozzájárulási kérés építőelemei
A hozzájárulási kérés célja annak biztosítása, hogy a felhasználók elegendő információval rendelkezzenek annak megállapításához, hogy megbíznak-e az ügyfélalkalmazásban, hogy a nevükben hozzáférjenek a védett erőforrásokhoz. Az építőelemek megértése segít a hozzájárulást adó felhasználóknak megalapozottabb döntéseket hozni, és jobb felhasználói élményt nyújt a fejlesztőknek.
Az alábbi diagram és táblázat a hozzájárulási kérés építőelemeiről nyújt tájékoztatást.
Gyakori forgatókönyvek és hozzájárulási élmények
Az alábbi szakasz az egyes forgatókönyvek gyakori forgatókönyveit és a várt hozzájárulási élményt ismerteti.
Az alkalmazás olyan engedélyt igényel, amelyet a felhasználónak meg kell adnia
Ebben a hozzájárulási forgatókönyvben a felhasználó olyan alkalmazáshoz fér hozzá, amelyhez egy olyan engedélykészlet szükséges, amely a felhasználó jogosultsági körén belül van. A felhasználó a felhasználói hozzájárulási folyamathoz lesz irányítva.
Rendszergazda egy másik vezérlő jelenik meg a hagyományos hozzájárulási kérésen, amely lehetővé teszi a hozzájárulás megadását a teljes bérlő nevében. A vezérlő alapértelmezés szerint ki van kapcsolva, ezért csak akkor, ha a rendszergazdák kifejezetten bejelölik a jelölőnégyzetet, a teljes bérlő nevében jóváhagyást kapnak. A jelölőnégyzet csak a Globális Rendszergazda istrator szerepkörhöz jelenik meg, így a Cloud Rendszergazda és az App Rendszergazda nem fogja látni ezt a jelölőnégyzetet.
A felhasználók a hagyományos hozzájárulási kérést látják.
Az alkalmazás olyan engedélyt igényel, amelyet a felhasználó nem adhat meg
Ebben a hozzájárulási forgatókönyvben a felhasználó olyan alkalmazáshoz fér hozzá, amelyhez legalább egy, a felhasználó jogosultsági körén kívüli engedély szükséges.
Rendszergazda egy másik vezérlő jelenik meg a hagyományos hozzájárulási kérésen, amely lehetővé teszi számukra a teljes bérlő nevében történő hozzájárulást.
Azok a felhasználók, akik nem rendszergazdai jogosultságokkal rendelkeznek, nem adhatnak hozzájárulást az alkalmazáshoz, és azt mondják nekik, hogy kérjenek hozzáférést a rendszergazdájuktól az alkalmazáshoz. Ha a rendszergazdai hozzájárulás munkafolyamata engedélyezve van a felhasználó bérlőjében, a felhasználók a hozzájárulási kérésből elküldhetik a rendszergazdai jóváhagyásra vonatkozó kérést. További információ a rendszergazdai hozzájárulási munkafolyamatról: Rendszergazda hozzájárulási munkafolyamat.
A felhasználó a rendszergazdai hozzájárulási folyamathoz lesz irányítva
Ebben a hozzájárulási forgatókönyvben a felhasználó a rendszergazdai hozzájárulási folyamathoz navigál vagy átirányítja.
Rendszergazda felhasználók láthatják a rendszergazdai hozzájárulási kérést. A cím és az engedélyleírások módosultak ebben a kérdésben, a módosítások kiemelik, hogy a kérés elfogadása hozzáférést biztosít az alkalmazásnak a kért adatokhoz a teljes bérlő nevében.
A felhasználók nem adhatnak hozzájárulást az alkalmazáshoz, és azt mondják nekik, hogy kérjenek hozzáférést a rendszergazdájuktól az alkalmazáshoz.
Rendszergazda hozzájárulás a Microsoft Entra felügyeleti központon keresztül
Ebben a forgatókönyvben a rendszergazda hozzájárul az alkalmazás által kért összes engedélyhez, amely delegált engedélyeket is tartalmazhat a bérlő összes felhasználója nevében. A rendszergazda a Microsoft Entra felügyeleti központban az alkalmazásregisztráció API-engedélyoldalán keresztül adja meg a hozzájárulást.
A bérlő összes felhasználója csak akkor fogja látni a hozzájárulási párbeszédpanelt, ha az alkalmazás új engedélyeket igényel. Ha meg szeretné tudni, hogy mely rendszergazdai szerepkörök járulhatnak hozzá a delegált engedélyekhez, tekintse meg Rendszergazda istrator szerepkör-engedélyeket a Microsoft Entra ID-ban.
Fontos
A MSAL.js használó egyoldalas alkalmazásokhoz (SPA) jelenleg explicit hozzájárulás megadása szükséges az Engedélyek megadása gombbal. Ellenkező esetben az alkalmazás meghiúsul, amikor a hozzáférési jogkivonatot kérik.
Gyakori problémák
Ez a szakasz a hozzájárulási felülettel kapcsolatos gyakori problémákat és a lehetséges hibaelhárítási tippeket ismerteti.
403-as hiba
- Delegált forgatókönyvről van szó? Milyen engedélyekkel rendelkezik a felhasználó?
- Hozzá vannak adva a végpont használatához szükséges engedélyek?
- Ellenőrizze a jogkivonatot , hogy rendelkezik-e a végpont meghívásához szükséges jogcímekkel.
- Milyen engedélyek kaptak hozzájárulást? Ki adta a hozzájárulást?
A felhasználó nem tud hozzájárulni
- Ellenőrizze, hogy a bérlői rendszergazda letiltotta-e a szervezet felhasználói hozzájárulását
- Ellenőrizze, hogy a kért engedélyek rendszergazda által korlátozott engedélyek-e.
A felhasználó még a rendszergazda hozzájárulását követően is le van tiltva
- Ellenőrizze, hogy a statikus engedélyek a dinamikusan kért engedélyek szuperhalmazának vannak-e konfigurálva.
- Ellenőrizze, hogy szükség van-e felhasználói hozzárendelésre az alkalmazáshoz.
Ismert hibák elhárítása
A hibaelhárítási lépésekért lásd : Váratlan hiba az alkalmazáshoz való hozzájárulás végrehajtásakor.
Lásd még
- Részletes áttekintést kaphat arról , hogy a Microsoft Entra hozzájárulási keretrendszer hogyan valósítja meg a hozzájárulást.
- Részletesebben megtudhatja , hogyan használhatja a több-bérlős alkalmazások a hozzájárulási keretrendszert a "felhasználó" és a "rendszergazda" hozzájárulás implementálásához, támogatva a fejlettebb többrétegű alkalmazásmintákat.
- Megtudhatja , hogyan konfigurálhatja az alkalmazás közzétevői tartományát.