Az engedélyek és hozzájárulások áttekintése a Microsoft Identitásplatform
Egy védett erőforrás, például az e-mail- vagy naptáradatok eléréséhez az alkalmazásnak szüksége van az erőforrás tulajdonosának engedélyére. Az erőforrás tulajdonosa jóváhagyhatja vagy elutasíthatja az alkalmazás kérését. Ezeknek az alapfogalmaknak a megismerése segít biztonságosabb és megbízhatóbb alkalmazásokat létrehozni, amelyek csak a szükséges hozzáférést kérik a felhasználóktól és a rendszergazdáktól, amikor szükségük van rá.
Hozzáférési forgatókönyvek
Alkalmazásfejlesztőként meg kell határoznia, hogyan fog az alkalmazása hozzáférni az adatokhoz. Az alkalmazás csak az alkalmazás saját identitásaként használhat delegált hozzáférést egy bejelentkezett felhasználó nevében vagy csak alkalmazás hozzáféréssel.
Delegált hozzáférés (hozzáférés egy felhasználó nevében)
Ebben a hozzáférési forgatókönyvben egy felhasználó bejelentkezett egy ügyfélalkalmazásba. Az ügyfélalkalmazás a felhasználó nevében fér hozzá az erőforráshoz. A delegált hozzáféréshez delegált engedélyek szükségesek. Az ügyfélnek és a felhasználónak külön kell engedélyeznie a kérést. A delegált hozzáférési forgatókönyvről további információt a delegált hozzáférési forgatókönyvben talál.
Az ügyfélalkalmazáshoz a megfelelő delegált engedélyeket kell megadni. A delegált engedélyek hatóköröknek is nevezhetők. A hatókörök egy adott erőforráshoz tartozó engedélyek, amelyek azt jelzik, hogy egy ügyfélalkalmazás mit érhet el a felhasználó nevében. A hatókörökről további információt a hatókörök és az engedélyek című témakörben talál.
A felhasználó számára az engedélyezés azokra a jogosultságokra támaszkodik, amelyeket a felhasználó kapott az erőforrás eléréséhez. A microsoft Entra szerepköralapú hozzáférés-vezérlés (RBAC) például jogosult lehet a címtárerőforrások elérésére, illetve az Exchange Online RBAC levelezési és naptárerőforrásainak elérésére. Az RBAC alkalmazásokkal kapcsolatos további információi : RBAC for applications.
Csak alkalmazáshoz való hozzáférés (hozzáférés felhasználó nélkül)
Ebben a hozzáférési forgatókönyvben az alkalmazás önállóan működik, és nincs bejelentkezett felhasználó. Az alkalmazáshozzáférést olyan helyzetekben használják, mint az automatizálás és a biztonsági mentés. Ez a forgatókönyv háttérszolgáltatásként vagy démonként futó alkalmazásokat is tartalmaz. Akkor célszerű, ha nem kívánatos, hogy egy adott felhasználó bejelentkezett, vagy ha a szükséges adatokat nem lehet egyetlen felhasználóra korlátozni. A csak alkalmazáselérési forgatókönyvről további információt az App-only-access című témakörben talál.
Az alkalmazáshozzáférés delegált hatókörök helyett alkalmazásszerepköröket használ. Ha hozzájáruláson keresztül adják meg, az alkalmazásszerepköröket alkalmazásengedélyeknek is nevezhetik. Az ügyfélalkalmazásnak megfelelő alkalmazásengedélyeket kell adnia a hívott erőforrásalkalmazáshoz. Miután megadta, az ügyfélalkalmazás hozzáférhet a kért adatokhoz. További információ az alkalmazásszerepkörök ügyfélalkalmazásokhoz való hozzárendeléséről: Alkalmazásszerepkörök hozzárendelése alkalmazásokhoz.
Engedélytípusok
A delegált hozzáférési forgatókönyvben delegált engedélyeket használnak. Ezek az engedélyek lehetővé teszik az alkalmazás számára, hogy a felhasználó nevében járjon el. Az alkalmazás soha nem fog tudni hozzáférni semmihez, amit a bejelentkezett felhasználó maga nem tudott elérni.
Vegyünk például egy alkalmazást, amely a felhasználó nevében megkapta a Files.Read.All delegált engedélyt. Az alkalmazás csak olyan fájlokat tud olvasni, amelyeket a felhasználó személyesen érhet el.
Az alkalmazásengedélyeket, más néven alkalmazásszerepköröket a csak alkalmazáselérési forgatókönyvben használják, anélkül, hogy bejelentkezett felhasználó jelen van. Az alkalmazás hozzáférhet minden olyan adathoz, amelyhez az engedély hozzá van rendelve.
A Microsoft Graph API alkalmazásengedélyével Files.Read.All rendelkező alkalmazások például a Microsoft Graph használatával bármilyen fájlt beolvashatnak a bérlőben. Általában csak egy API szolgáltatásnévének rendszergazdája vagy tulajdonosa járulhat hozzá az adott API által közzétett alkalmazásengedélyekhez.
Delegált és alkalmazásengedélyek összehasonlítása
| Engedélytípusok | Delegált engedélyek | Alkalmazásengedélyek |
|---|---|---|
| Alkalmazástípusok | Web / Mobil / egyoldalas alkalmazás (SPA) | Web/démon |
| Hozzáférési kontextus | Hozzáférés kérése egy felhasználó nevében | Hozzáférés kérése felhasználó nélkül |
| Ki adhat hozzájárulást? | - A felhasználók hozzájárulást adhatnak adataikhoz - a Rendszergazda minden felhasználó számára engedélyezhetik |
Csak a rendszergazda adhat hozzájárulást |
| Hozzájárulási módszerek | - Statikus: konfigurált lista az alkalmazásregisztrációban - Dinamikus: egyéni engedélyek kérése bejelentkezéskor |
- Statikus CSAK: konfigurált lista az alkalmazásregisztrációban |
| Egyéb nevek | -Hatókörök - OAuth2 engedély hatókörei |
- Alkalmazásszerepkörök – Csak alkalmazásengedélyek |
| Hozzájárulás eredménye (a Microsoft Graphra jellemző) | OAuth2PermissionGrant | appRoleAssignment |
Hozzájárulás
Az alkalmazások engedélyezésének egyik módja a hozzájárulás. A hozzájárulás egy olyan folyamat, amelyben a felhasználók vagy rendszergazdák engedélyezik az alkalmazás számára, hogy hozzáférjenek egy védett erőforráshoz. Ha például egy felhasználó először próbál bejelentkezni egy alkalmazásba, az alkalmazás engedélyt kérhet a felhasználó profiljának megtekintésére és a felhasználó postaládájának tartalmának olvasására. A felhasználó egy hozzájárulási kérésen keresztül látja az alkalmazás által kért engedélyek listáját. Egyéb forgatókönyvek, ahol a felhasználók a hozzájárulási kérést láthatják, a következők:
- Ha a korábban megadott hozzájárulást visszavonják.
- Ha az alkalmazás úgy van kódolt, hogy kifejezetten hozzájárulást kérjen a bejelentkezés során.
- Ha az alkalmazás dinamikus hozzájárulást használ az új engedélyek kéréséhez a futtatáskor.
A hozzájárulási kérés legfontosabb részletei az alkalmazás által igényelt engedélyek listája és a közzétevő adatai. A rendszergazdai és a végfelhasználói hozzájárulási kérelemről és a hozzájárulási felületről további információt az alkalmazás hozzájárulási felületében talál.
Felhasználói hozzájárulás
A felhasználói hozzájárulás akkor történik, ha egy felhasználó megpróbál bejelentkezni egy alkalmazásba. A felhasználó megadja bejelentkezési hitelesítő adatait, amelyek ellenőrzik, hogy a hozzájárulás már meg lett-e adva. Ha a szükséges engedélyekhez nincs korábbi felhasználói vagy rendszergazdai hozzájárulási rekord, a felhasználó megjelenik egy hozzájárulási kérésben, és kéri, hogy adja meg az alkalmazásnak a kért engedélyeket. Előfordulhat, hogy a rendszergazda hozzájárulást kér a felhasználó nevében.
Rendszergazda istrator hozzájárulás
A szükséges engedélyektől függően előfordulhat, hogy egyes alkalmazásokhoz rendszergazda szükséges a hozzájárulás megadásához. Az alkalmazásengedélyeket és számos magas jogosultságú delegált engedélyt például csak rendszergazda adhat hozzá.
Rendszergazda istratorok hozzájárulást adhatnak maguknak vagy a teljes szervezetnek. A felhasználói és rendszergazdai hozzájárulással kapcsolatos további információkért tekintse meg a felhasználói és rendszergazdai hozzájárulások áttekintését.
A hitelesítési kérések rendszergazdai hozzájárulást kérnek, ha nem adták meg a hozzájárulást, és ha a magas jogosultságú engedélyek egyikét kérik.
Az egyéni alkalmazás hatóköreit tartalmazó engedélykérések nem minősülnek magas szintű jogosultságnak, ezért nem igényelnek rendszergazdai hozzájárulást.
Preauthorization
Az előhitelesítés lehetővé teszi, hogy az erőforrás-alkalmazás tulajdonosa anélkül adjon engedélyeket, hogy a felhasználóknak meg kellene jeleníteniük az előhitelesített engedélykészlethez tartozó hozzájárulási kérést. Így az előhitelesített alkalmazások nem fogják megkérni a felhasználókat, hogy járuljanak hozzá az engedélyekhez. Az erőforrás-tulajdonosok előhitelesíthetik az ügyfélalkalmazásokat az Azure Portalon, vagy PowerShell és API-k, például a Microsoft Graph használatával.