Az engedélyek és hozzájárulások bemutatása

A védett erőforrások, például az e-mailek vagy a naptáradatok eléréséhez az alkalmazásnak szüksége van az erőforrás tulajdonosának engedélyére. Az erőforrás tulajdonosa jóváhagyhatja vagy elutasíthatja az alkalmazás kérését. Ezeknek az alapfogalmaknak a megértésével biztonságosabb és megbízhatóbb alkalmazásokat hozhat létre, amelyek csak a szükséges hozzáférést kérik a felhasználóktól és a rendszergazdáktól, amikor szükségük van rá.

Hozzáférési forgatókönyvek

Alkalmazásfejlesztőként meg kell határoznia, hogy az alkalmazás hogyan fér hozzá az adatokhoz. Az alkalmazás delegált hozzáférést használhat, amely egy bejelentkezett felhasználó nevében jár el, vagy csak alkalmazásalapú hozzáférést, amely csak az alkalmazás saját identitásaként működik.

A képen a hozzáférési forgatókönyvek illusztrációja látható.

Delegált hozzáférés (hozzáférés egy felhasználó nevében)

Ebben a hozzáférési forgatókönyvben egy felhasználó bejelentkezett egy ügyfélalkalmazásba. Az ügyfélalkalmazás a felhasználó nevében fér hozzá az erőforráshoz. A delegált hozzáféréshez delegált engedélyek szükségesek. Az ügyfélnek és a felhasználónak külön kell engedélyeznie a kérést. A delegált hozzáférési forgatókönyvről további információt a delegált hozzáférési forgatókönyvben talál.

Az ügyfélalkalmazáshoz a megfelelő delegált engedélyeket kell megadni. A delegált engedélyek hatóköröknek is nevezhetők. A hatókörök egy adott erőforrás engedélyeit jelentik, amelyek azt felelnek meg, hogy az ügyfélalkalmazás milyen engedélyekhez férhet hozzá a felhasználó nevében. A hatókörökről további információt a hatókörök és engedélyek című témakörben talál.

A felhasználó számára az engedélyezés azokra a jogosultságokra támaszkodik, amelyeket a felhasználó kapott az erőforrás eléréséhez. A felhasználó például jogosult lehet a címtárerőforrások elérésére az Azure Active Directory (Azure AD) szerepköralapú hozzáférés-vezérlés (RBAC) vagy a levelezési és naptárerőforrások elérésére Exchange Online RBAC-vel. Az alkalmazások RBAC-ről további információt az RBAC for applications (RBAC for applications) című témakörben talál.

Csak alkalmazáshoz való hozzáférés (hozzáférés felhasználó nélkül)

Ebben a hozzáférési forgatókönyvben az alkalmazás önállóan működik, és nincs bejelentkezett felhasználó. Az alkalmazáshozzáférést olyan helyzetekben használják, mint az automatizálás és a biztonsági mentés. Ez a forgatókönyv háttérszolgáltatásként vagy démonként futtatott alkalmazásokat is tartalmaz. Akkor célszerű, ha nem kívánatos, hogy egy adott felhasználó bejelentkezett, vagy ha a szükséges adatokat nem lehet egyetlen felhasználóra korlátozni.

A csak alkalmazásalapú hozzáférés delegált hatókörök helyett alkalmazásszerepköröket használ. Ha hozzájáruláson keresztül adják meg, az alkalmazásszerepköröket alkalmazásengedélyeknek is nevezik. Csak alkalmazáshoz való hozzáférés esetén az ügyfélalkalmazásnak megfelelő alkalmazásszerepkört kell biztosítani az általa hívott erőforrásalkalmazáshoz a kért adatok eléréséhez. További információ az alkalmazásszerepkörök ügyfélalkalmazásokhoz való hozzárendeléséről: Alkalmazásszerepkörök hozzárendelése alkalmazásokhoz.

Engedélytípusok

A delegált jogosultságok a delegált hozzáférési forgatókönyvben használatosak. Ezek olyan engedélyek, amelyek lehetővé teszik, hogy az alkalmazás a felhasználó nevében járjon el. Az alkalmazás soha nem fog tudni hozzáférni semmihez, amit a bejelentkezett felhasználó maga nem tudott elérni.

Képzeljen el például egy olyan alkalmazást, amely megkapta a Files.Read.All delegált engedélyt Tom, a felhasználó nevében. Az alkalmazás csak olyan fájlokat tud olvasni, amelyeket Tom személyesen érhet el.

Az alkalmazásengedélyeket, más néven alkalmazásszerepköröket az alkalmazás-csak hozzáférési forgatókönyvben használják, anélkül, hogy bejelentkezett felhasználó jelen van. Az alkalmazás hozzáférhet minden olyan adathoz, amelyhez az engedély hozzá van rendelve. Ha például egy alkalmazás megkapta a Files.Read.All alkalmazásengedélyt, a bérlőben lévő összes fájlt be tudja olvasni. Csak a szolgáltatásnév rendszergazdája vagy tulajdonosa járulhat hozzá az alkalmazásengedélyek megadásához.

Más módokon is engedélyezhetők az alkalmazások a csak alkalmazáshoz való hozzáféréshez. Egy alkalmazás például hozzárendelhető egy Azure AD RBAC-szerepkörhöz.

Delegált és alkalmazásengedélyek összehasonlítása

Delegált engedélyek Alkalmazásengedélyek
Alkalmazástípusok Web/ Mobil/ egyoldalas alkalmazás (SPA) Web / Démon
Hozzáférési környezet Hozzáférés kérése egy felhasználó nevében Hozzáférés kérése felhasználó nélkül
Ki adhat hozzájárulást? – A felhasználók hozzájárulást adhatnak adataikhoz
– A rendszergazdák minden felhasználónak engedélyezhetik a hozzájárulást
Csak rendszergazda adhat hozzájárulást
Egyéb nevek -Hatókörök
– OAuth2 engedély hatókörei
– Alkalmazásszerepkörök
– Csak alkalmazásengedélyek
Hozzájárulás eredménye (a Microsoft Graphra jellemző) oAuth2PermissionGrant appRoleAssignment

Az alkalmazások engedélyeinek egyik módja a hozzájárulás. A hozzájárulás egy olyan folyamat, amelyben a felhasználók vagy rendszergazdák engedélyezik az alkalmazás számára, hogy hozzáférjenek egy védett erőforráshoz. Ha például egy felhasználó először próbál bejelentkezni egy alkalmazásba, az alkalmazás engedélyt kérhet a felhasználó profiljának megtekintésére és a felhasználó postaládájának tartalmának olvasására. A felhasználó egy hozzájárulási kérésen keresztül látja az alkalmazás által kért engedélyek listáját. Egyéb forgatókönyvek, amikor a felhasználók a hozzájárulási kérést láthatják, a következők:

  • Ha a korábban megadott hozzájárulást visszavonják.
  • Ha az alkalmazás úgy van kódva, hogy minden bejelentkezés során kifejezetten hozzájárulást kérjen.
  • Ha az alkalmazás növekményes vagy dinamikus hozzájárulást használ bizonyos engedélyek előzetes és további igény szerinti megadásához.

A hozzájárulási kérés fő részletei az alkalmazás által igényelt engedélyek listája és a közzétevő adatai. A hozzájárulási kérésről és a rendszergazdai és a végfelhasználói hozzájárulási felületről további információt az alkalmazás-hozzájárulási felület című témakörben talál.

A felhasználói hozzájárulás akkor történik, ha egy felhasználó megpróbál bejelentkezni egy alkalmazásba. A felhasználó megadja a bejelentkezési hitelesítő adatait. A rendszer ellenőrzi ezeket a hitelesítő adatokat annak megállapításához, hogy a hozzájárulás már meg lett-e adva. Ha a szükséges engedélyekhez nem található korábbi felhasználói vagy rendszergazdai hozzájárulási rekord, a felhasználó megjelenik egy hozzájárulási kérésben, és megkéri az alkalmazást, hogy adja meg a kért engedélyeket. Sok esetben előfordulhat, hogy egy rendszergazdának hozzájárulást kell adnia a felhasználó nevében.

A szükséges engedélyektől függően előfordulhat, hogy egyes alkalmazásokhoz rendszergazda szükséges a hozzájárulás megadásához. Az alkalmazásengedélyeket és számos magas jogosultságú delegált engedélyt például csak egy rendszergazda engedélyezheti. A rendszergazdák engedélyt adhatnak maguknak vagy a teljes szervezetnek. További információ a felhasználói és rendszergazdai hozzájárulásról: felhasználói és rendszergazdai hozzájárulás áttekintése.

Előhitelesítés

Az előhitelesítés lehetővé teszi az erőforrás-alkalmazás tulajdonosának, hogy engedélyeket adjon meg anélkül, hogy a felhasználóknak meg kellene jelennie a jóváhagyásra vonatkozó kérésnek, amely ugyanazokat az engedélyeket kéri, amelyek előre lettek felvéve. Így egy előre kiépített alkalmazás nem fogja megkérni a felhasználókat, hogy járuljanak hozzá az engedélyekhez. Az erőforrás-tulajdonosok előhitelesíthetik az ügyfélalkalmazásokat a Azure Portal vagy a PowerShell és API-k, például a Microsoft Graph használatával.

Következő lépések