Alkalmazási szerepkörök hozzáadása az alkalmazáshoz, és azok fogadása a jogkivonatban

  • Cikk
  • 6 perc alatt elolvasható

A szerepköralapú hozzáférés-vezérlés (RBAC) egy népszerű mechanizmus az alkalmazások engedélyezésének kikényszerítésére. Az RBAC lehetővé teszi a rendszergazdák számára, hogy engedélyeket adjanak a szerepköröknek, nem pedig adott felhasználóknak vagy csoportoknak. A rendszergazda ezután szerepköröket rendelhet különböző felhasználókhoz és csoportokhoz, így szabályozhatja, hogy ki férhet hozzá a tartalomhoz és a funkciókhoz.

Az RBAC alkalmazás-szerepkörökkel és szerepkörjogcímekkel való használatával a fejlesztők kevesebb erőfeszítéssel biztonságosan kikényszeríthetik az engedélyezést az alkalmazásaikban.

Egy másik módszer az Azure Active Directory -Azure AD csoportok és csoportjogcímek használata az active-directory-aspnetcore-webapp-openidconnect-v2 kódmintában látható módon a GitHubon. Azure AD csoportok és alkalmazásszerepkörök nem egymást kölcsönösen kizárják; együtt is használhatók, hogy még finomabb hozzáférés-vezérlést biztosítsanak.

Szerepkörök deklarálása egy alkalmazáshoz

Az alkalmazás-szerepköröket az alkalmazásregisztrációs folyamatsorán a Azure Portal használatával határozhatja meg. Az alkalmazásszerepkörök egy szolgáltatásnak, alkalmazásnak vagy API-nak megfelelő alkalmazásregisztráción vannak definiálva. Amikor egy felhasználó bejelentkezik az alkalmazásba, Azure AD a felhasználó vagy szolgáltatásnév által megadott szerepkörökre vonatkozó jogcímet bocsát kiroles. Ez a jogcímalapú hitelesítés implementálásához használható. Az alkalmazásszerepkörök hozzárendelhetők egy felhasználóhoz vagy egy felhasználói csoporthoz. Az alkalmazásszerepkörök hozzárendelhetők egy másik alkalmazás szolgáltatásnevéhez vagy egy felügyelt identitás szolgáltatásnevéhez is.

Jelenleg, ha hozzáad egy szolgáltatásnevet egy csoporthoz, majd hozzárendel egy alkalmazásszerepkört a csoporthoz, Azure AD nem adja hozzá a jogcímet a roles problémás jogkivonatokhoz.

Az alkalmazásszerepkörök az alkalmazásszerepkörök felhasználói felületén vannak deklarálva a Azure Portal:

A Azure AD által kikényszerített alkalmazásjegyzék-korlátokhoz hozzáadott szerepkörök száma. Ezekről a korlátozásokról az Azure Active Directory alkalmazásjegyzék-referenciájánakJegyzékkorlátok szakaszában olvashat.

Alkalmazásszerepkörök felhasználói felülete

Alkalmazásszerepkör létrehozása a Azure Portal felhasználói felületén:

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz is hozzáféréssel rendelkezik, a felső menü Címtárak + előfizetések szűrőjével váltson arra a bérlőre, amely tartalmazza azt az alkalmazásregisztrációt, amelyhez alkalmazás-szerepkört szeretne hozzáadni.

  3. Keresse meg és válassza ki az Azure Active Directoryt.

  4. A Kezelés alatt válassza az Alkalmazásregisztrációk lehetőséget, majd válassza ki azt az alkalmazást, amelyben alkalmazás-szerepköröket szeretne meghatározni.

  5. Válassza az Alkalmazás-szerepkörök, majd az Alkalmazás-szerepkör létrehozása lehetőséget.

    Alkalmazásregisztráció alkalmazásszerepkörök panelje a Azure Portal

  6. Az Alkalmazás-szerepkör létrehozása panelen adja meg a szerepkör beállításait. A rendszerképet követő táblázat az egyes beállításokat és azok paramétereit ismerteti.

    Az alkalmazásregisztráció alkalmazásszerepkörei környezeti panelt hoznak létre a Azure Portal

    Mező Leírás Példa
    Megjelenített név Megjelenítheti a rendszergazdai hozzájárulásban és az alkalmazás-hozzárendelési szolgáltatásokban megjelenő alkalmazásszerepkulátor nevét. Ez az érték szóközöket tartalmazhat. Survey Writer
    Engedélyezett tagtípusok Meghatározza, hogy ez az alkalmazásszerepkulátor hozzárendelhető-e felhasználókhoz, alkalmazásokhoz vagy mindkettőhöz.

    Ha elérhető a applicationsszámára, az alkalmazásszerepkörök alkalmazásengedélyekként jelennek meg az alkalmazásregisztráció Kezelés szakasz API-engedélyeiBen > Engedély > hozzáadása Saját API-k Api-alkalmazásengedélyek >> kiválasztása című szakaszban>.    		 Users/Groups
    Érték Megadja annak a szerepkör-jogcímnek az értékét, amelyet az alkalmazásnak elvárnia kell a jogkivonatban. Az értéknek pontosan meg kell egyeznie az alkalmazás kódjában hivatkozott sztringgel. Az érték nem tartalmazhat szóközöket. Survey.Create
    Leírás A rendszergazdai alkalmazás-hozzárendelés és a hozzájárulási élmény során megjelenő alkalmazásszerepkulátor részletesebb leírása. Writers can create surveys.
    Engedélyezi ezt az alkalmazásszerepkulátort? Meghatározza, hogy az alkalmazásszerepkulátor engedélyezve van-e. Alkalmazásszerepkliens törléséhez törölje a jelölőnégyzet jelölését, és alkalmazza a módosítást a törlési művelet megkísérlése előtt. Ellenőrizni

  7. A módosítások mentéséhez válassza az Alkalmaz elemet.

Felhasználók és csoportok hozzárendelése szerepkörökhöz

Miután hozzáadott alkalmazásszerepköröket az alkalmazásban, felhasználókat és csoportokat rendelhet hozzá a szerepkörökhöz. A felhasználók és csoportok szerepkörökhöz való hozzárendelése a portál felhasználói felületén, vagy programozott módon, Microsoft Graph használatával végezhető el. Amikor a különböző alkalmazásszerepkörökhöz rendelt felhasználók bejelentkeznek az alkalmazásba, a jogkivonataikhoz hozzárendelt szerepkörök lesznek a roles jogcímben.

Felhasználók és csoportok szerepkörökhöz való hozzárendelése a Azure Portal használatával:

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Active Directoryban válassza a vállalati alkalmazások lehetőséget a bal oldali navigációs menüben.
  3. Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
  4. Válassza ki azt az alkalmazást, amelyben a felhasználókat vagy a biztonsági csoportokat szerepkörökhöz kívánja hozzárendelni.
  5. A Kezelés menüpontban válassza a Felhasználók és csoportok lehetőséget.
  6. Kattintson a Felhasználó hozzáadása lehetőségre a Hozzárendelés felvétele lap megnyitásához.
  7. Válassza a Felhasználók és csoportok kiválasztót a Hozzárendelés felvétele panelen. Megjelenik a felhasználók és a biztonsági csoportok listája. A listában rákereshet egy bizonyos felhasználóra vagy csoportra, és többet is kiválaszthat.
  8. A felhasználók és csoportok kiválasztása után kattintson a Kiválasztás gombra a folytatáshoz.
  9. Válassza ki a Szerepkör kiválasztása lehetőséget a Hozzárendelés felvétele panelen. Megjelenik az alkalmazáshoz definiált összes szerepkör.
  10. Válasszon ki egy szerepkört, majd kattintson a Kiválasztás gombra.
  11. Kattintson a Hozzárendelés gombra a felhasználók és csoportok alkalmazáshoz való hozzárendelésének befejezéséhez.

Győződjön meg arról, hogy a hozzáadott felhasználók és csoportok megjelennek a Felhasználók és csoportok listában.

Alkalmazásszerepkörök hozzárendelése alkalmazásokhoz

Miután hozzáadott alkalmazásszerepköröket az alkalmazáshoz, hozzárendelhet egy alkalmazásszerepkört egy ügyfélalkalmazáshoz a Azure Portal vagy programozott módon a Microsoft Graph használatával.

Amikor alkalmazásszerepköröket rendel egy alkalmazáshoz, alkalmazásengedélyeket hoz létre. Az alkalmazásengedélyeket általában démonalkalmazások vagy háttérszolgáltatások használják, amelyeknek hitelesíteniük kell magukat, és a felhasználó beavatkozása nélkül hitelesíteniük kell az engedélyezett API-hívásokat.

Alkalmazásszerepkörök hozzárendelése alkalmazáshoz a Azure Portal használatával:

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Active Directoryban válassza a bal oldali navigációs menü Alkalmazásregisztrációk elemét.
  3. Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
  4. Válassza ki azt az alkalmazást, amelyhez alkalmazás-szerepkört szeretne hozzárendelni.
  5. Válassza az API-engedélyek>Engedély hozzáadása lehetőséget.
  6. Válassza a Saját API-k lapot, majd válassza ki azt az alkalmazást, amelyhez alkalmazásszerepköröket definiált.
  7. Válassza az Alkalmazásengedélyek lehetőséget.
  8. Válassza ki a hozzárendelni kívánt szerepkör(ek)et.
  9. Válassza az Engedélyek hozzáadása gombot a szerepkör(ek) teljes hozzáadásához.

Az újonnan hozzáadott szerepköröknek meg kell jelennie az alkalmazásregisztráció API-engedélyek paneljén.

Mivel ezek alkalmazásengedélyek, nem delegált engedélyek, a rendszergazdának hozzájárulást kell adnia az alkalmazáshoz rendelt alkalmazásszerepkörök használatához.

  1. Az alkalmazásregisztráció API-engedélyek paneljén válassza a Rendszergazdai hozzájárulás megadása a bérlő nevének> megadásához <lehetőséget.
  2. Válassza az Igen lehetőséget, amikor a rendszer engedélyt kér a kért engedélyekhez.

Az Állapot oszlopnak azt kell tükröznie, hogy a hozzájárulás meg lett adva a bérlő nevéhez<>.

Alkalmazásszerepkörök használati forgatókönyve

Ha olyan alkalmazásszerepkör-üzleti logikát implementál, amely bejelentkezik a felhasználókba az alkalmazásforgatókönyvben, először határozza meg az alkalmazásszerepköröket a Alkalmazásregisztrációk. Ezután egy rendszergazda hozzárendeli őket a Vállalati alkalmazások panelen lévő felhasználókhoz és csoportokhoz. Ezek a hozzárendelt alkalmazásszerepkörök minden, az alkalmazáshoz kibocsátott jogkivonathoz tartoznak, vagy hozzáférési jogkivonatok, amikor az alkalmazás egy alkalmazás által meghívott API, vagy azonosító jogkivonatok, amikor az alkalmazás bejelentkezik egy felhasználóba.

Ha alkalmazásszerepkulátor-üzleti logikát implementál egy alkalmazáshívási-API-forgatókönyvben, két alkalmazásregisztrációval rendelkezik. Az egyik alkalmazásregisztráció az alkalmazásra, a második pedig az API-ra van regisztrálva. Ebben az esetben határozza meg az alkalmazás-szerepköröket, és rendelje hozzá őket a felhasználóhoz vagy csoporthoz az API alkalmazásregisztrációjában. Amikor a felhasználó hitelesíti magát az alkalmazással, és egy azonosító jogkivonatot kér az API meghívásához, az azonosító jogkivonat tartalmaz egy szerepkörjogcímet. A következő lépés az, hogy kódot ad hozzá a webes API-hoz, hogy ellenőrizze ezeket a szerepköröket az API meghívásakor.

Ha meg szeretné tudni, hogyan adhat hozzá hitelesítést a webes API-hoz, olvassa el a Védett webes API: Hatókörök és alkalmazásszerepkörök ellenőrzése című témakört.

Alkalmazásszerepkörök és csoportok

Bár alkalmazásszerepköröket vagy csoportokat is használhat az engedélyezéshez, a közöttük fennálló fő különbségek befolyásolhatják, hogy melyiket szeretné használni a forgatókönyvéhez.

Alkalmazásszerepkörök Csoportok
Ezek egy alkalmazásra vonatkoznak, és az alkalmazásregisztrációban vannak definiálva. Az alkalmazással együtt mozognak. Ezek nem egy alkalmazásra, hanem egy Azure AD bérlőre vonatkoznak.
Az alkalmazás-szerepkörök az alkalmazásregisztráció eltávolításakor törlődnek. A csoportok akkor is érintetlenek maradnak, ha az alkalmazást eltávolítják.
A jogcímben megadva roles . A jogcímben megadva groups .

A fejlesztők az alkalmazási szerepkörök segítségével szabályozhatják, hogy a felhasználó bejelentkezhet-e egy alkalmazásba, vagy hogy egy alkalmazás kaphat-e hozzáférési jogkivonatot egy webes API-hoz. Ezen biztonsági szabályozás csoportokra való kiterjesztéséhez a fejlesztők és a rendszergazdák biztonsági csoportokat is hozzárendelhetnek az alkalmazás-szerepkörökhöz.

Az alkalmazás-szerepköröket a fejlesztők akkor részesítik előnyben, ha saját maguk szeretnék leírni és szabályozni az alkalmazásuk engedélyezési paramétereit. Például egy csoportokat használó alkalmazás az engedélyezéshez megszakad a következő bérlőben, mivel a csoportazonosító és a név is eltérő lehet. Az alkalmazásszerepköröket használó alkalmazások biztonságosak maradnak. Valójában a csoportok alkalmazás-szerepkörökhöz való hozzárendelése az SaaS-alkalmazásokban is népszerű, ugyanazon okok miatt, amelyek lehetővé teszik, hogy az SaaS-alkalmazás több bérlőben legyen kiépítve.

Következő lépések

További információ az alkalmazásszerepkörökről az alábbi forrásanyagokkal.