Megosztás a következőn keresztül:

Szerepköralapú hozzáférés-vezérlés használata alkalmazásokhoz

  • Cikk

A következőkre vonatkozik:Fehér kör szürke X szimbólummal. Munkaerő-bérlők Zöld kör fehér pipa jellel. Külső bérlők (további információ)

A szerepköralapú hozzáférés-vezérlés (RBAC) egy népszerű mechanizmus az alkalmazásokban való engedélyezés kikényszerítésére. Amikor egy szervezet RBAC-t használ, az alkalmazás fejlesztője definiálja az alkalmazás szerepköreit. A rendszergazdák ezután szerepköröket rendelhetnek különböző felhasználókhoz és csoportokhoz, így szabályozhatják, hogy ki férhet hozzá az alkalmazás tartalmához és funkcióihoz.

Az alkalmazások általában felhasználói szerepkör-információkat kapnak jogcímként egy biztonsági jogkivonatban. A fejlesztők rugalmasan biztosíthatják saját implementációjukat a szerepkör-jogcímek alkalmazásengedélyekként való értelmezéséhez. Az engedélyek értelmezése magában foglalhatja a köztes szoftver vagy az alkalmazások vagy a kapcsolódó kódtárak platformja által biztosított egyéb lehetőségek használatát.

Alkalmazásszerepkörök

Microsoft Entra Külső ID lehetővé teszi, hogy alkalmazásszerepköröket definiáljon az alkalmazáshoz, és hozzárendelje ezeket a szerepköröket a felhasználókhoz és csoportokhoz. A felhasználóhoz vagy csoporthoz hozzárendelt szerepkörök határozzák meg az alkalmazás erőforrásaihoz és műveleteihez való hozzáférés szintjét.

Ha Microsoft Entra Külső ID biztonsági jogkivonatot ad ki egy hitelesített felhasználó számára, az tartalmazza a felhasználóhoz vagy csoporthoz hozzárendelt szerepkörök nevét a biztonsági jogkivonat szerepkör-jogcímén. Egy olyan alkalmazás, amely megkapja a biztonsági jogkivonatot egy kérelemben, a szerepkör-jogcím értékei alapján hozhat engedélyezési döntéseket.

Tipp.

Kipróbálás

A funkció kipróbálásához nyissa meg a Woodgrove Groceries bemutatóját, és indítsa el a "Szerepköralapú hozzáférés-vezérlés" használati esetet.

Csoportok

A fejlesztők biztonsági csoportokkal is implementálhatják az RBAC-t az alkalmazásaikban, ahol az adott csoportokban lévő felhasználó tagságait a rendszer szerepkör-tagságként értelmezi. Ha egy szervezet biztonsági csoportokat használ, a jogkivonat tartalmaz egy csoportjogcímet. A csoportok jogcíme megadja az összes csoport azonosítóját, amelyhez a felhasználó hozzá van rendelve az aktuális külső bérlőn belül.

Tipp.

Kipróbálás

A funkció kipróbálásához nyissa meg a Woodgrove Groceries bemutatóját, és indítsa el a "Csoportalapú hozzáférés-vezérlés" használati esetet.

Alkalmazásszerepkörök és csoportok

Bár alkalmazásszerepköröket vagy csoportokat is használhat az engedélyezéshez, a közöttük fennálló fő különbségek befolyásolhatják, hogy melyiket szeretné használni a forgatókönyvéhez.

Alkalmazásszerepkörök Csoportok
Ezek egy alkalmazásra vonatkoznak, és az alkalmazásregisztrációban vannak definiálva. Ezek nem egy alkalmazásra, hanem egy külső bérlőre vonatkoznak.
Nem osztható meg az alkalmazások között. Több alkalmazásban is használható.
Az alkalmazásszerepkörök az alkalmazásregisztráció eltávolításakor törlődnek. A csoportok akkor is érintetlenek maradnak, ha az alkalmazás el lett távolítva.
A jogcímben megadva roles . A jogcímben megadva groups .

Biztonsági csoport létrehozása

A biztonsági csoportok kezelik a megosztott erőforrásokhoz való felhasználói és számítógép-hozzáférést. Létrehozhat egy biztonsági csoportot, hogy minden csoporttag ugyanazokkal a biztonsági engedélyekkel rendelkezzen.

Biztonsági csoport létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább csoportadminisztrátorként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával válthat a külső bérlőre a Könyvtárak + előfizetések menüből.
  3. Tallózással keresse meg a Minden csoport identitáscsoportot>>.
  4. Válassza az Új csoportot.
  5. A Csoporttípus legördülő menüben válassza a Biztonság lehetőséget.
  6. Adja meg a biztonsági csoport csoportnevét , például Contoso_App_Administrators.
  7. Adja meg a biztonsági csoport csoportleírását , például a Contoso alkalmazás biztonsági rendszergazdáját.
  8. Válassza a Létrehozás lehetőséget.

Az új biztonsági csoport megjelenik a Minden csoport listában. Ha nem látja azonnal, frissítse a lapot.

Microsoft Entra Külső ID a felhasználó csoporttagsági adatait belefoglalhatja a jogkivonatba az alkalmazásokban való használatra. Megtudhatja, hogyan veheti fel a csoportjogkivonatot a jogkivonatokhoz a Felhasználók és csoportok hozzárendelése szerepkörökhöz szakaszban.

Szerepkörök deklarálása egy alkalmazáshoz

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával válthat a külső bérlőre a Könyvtárak + előfizetések menüből.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.

  4. Válassza ki azt az alkalmazást, amelyben alkalmazásszerepköröket szeretne definiálni.

  5. Válassza az Alkalmazás-szerepkörök, majd az Alkalmazás-szerepkör létrehozása lehetőséget.

  6. Az Alkalmazás-szerepkör létrehozása panelen adja meg a szerepkör beállításait. Az alábbi táblázat az egyes beállításokat és azok paramétereit ismerteti.

    Mező Leírás Példa
    Megjelenített név Az alkalmazás-hozzárendelési szolgáltatásokban megjelenő alkalmazásszerepkör neve. Ez az érték szóközöket tartalmazhat. Orders manager
    Engedélyezett tagtípusok Megadja, hogy ez az alkalmazásszerepkör hozzárendelhető-e felhasználókhoz, alkalmazásokhoz vagy mindkettőhöz. Users/Groups
    Érték Megadja annak a szerepkör-jogcímnek az értékét, amelyet az alkalmazásnak elvárnia kell a jogkivonatban. Az értéknek pontosan meg kell egyeznie az alkalmazás kódjában hivatkozott sztringgel. Az érték nem tartalmazhat szóközöket. Orders.Manager
    Leírás A rendszergazdai alkalmazás-hozzárendelési szolgáltatások során megjelenő alkalmazásszerepkör részletesebb leírása. Manage online orders.
    Engedélyezi ezt az alkalmazásszerepkört? Megadja, hogy az alkalmazásszerepkör engedélyezve van-e. Alkalmazásszerepkör törléséhez törölje ezt a jelölőnégyzetet, és alkalmazza a módosítást a törlési művelet megkísérlése előtt. Kockás

  7. Az alkalmazásszerepkör létrehozásához válassza az Alkalmaz lehetőséget.

Felhasználók és csoportok hozzárendelése szerepkörökhöz

Miután hozzáadott alkalmazásszerepköröket az alkalmazásban, a rendszergazda felhasználókat és csoportokat rendelhet a szerepkörökhöz. A felhasználók és csoportok szerepkörökhöz való hozzárendelése a felügyeleti központban vagy a Microsoft Graph programozott módon végezhető el. Amikor a különböző alkalmazásszerepkörökhöz rendelt felhasználók bejelentkeznek az alkalmazásba, a jogkivonataikhoz hozzárendelt szerepkörök vannak a roles jogcímben.

Felhasználók és csoportok hozzárendelése alkalmazásszerepkörökhöz az Azure Portal használatával:

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával válthat a külső bérlőre a Könyvtárak + előfizetések menüből.
  3. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
  4. Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
  5. Válassza ki azt az alkalmazást, amelyben a felhasználókat vagy a biztonsági csoportokat szerepkörökhöz kívánja hozzárendelni.
  6. A Kezelés menüpontban válassza a Felhasználók és csoportok lehetőséget.
  7. Kattintson a Felhasználó hozzáadása lehetőségre a Hozzárendelés felvétele lap megnyitásához.
  8. A Hozzárendelés hozzáadása panelen válassza a Felhasználók és csoportok lehetőséget. Megjelenik a felhasználók és biztonsági csoportok listája. A listában több felhasználót és csoportot is kijelölhet.
  9. Miután kiválasztotta a felhasználókat és csoportokat, válassza a Kiválasztás lehetőséget.
  10. A Hozzárendelés hozzáadása panelen válassza a Szerepkör kiválasztása lehetőséget. Megjelenik az alkalmazáshoz definiált összes szerepkör.
  11. Jelöljön ki egy szerepkört, majd válassza a Kiválasztás lehetőséget.
  12. Válassza a Hozzárendelés lehetőséget a felhasználók és csoportok alkalmazáshoz való hozzárendelésének befejezéséhez.
  13. Győződjön meg arról, hogy a hozzáadott felhasználók és csoportok megjelennek a Felhasználók és csoportok listában.

Az alkalmazás teszteléséhez jelentkezzen ki, és jelentkezzen be újra a szerepkörökhöz rendelt felhasználóval. Ellenőrizze a biztonsági jogkivonatot, hogy tartalmazza-e a felhasználó szerepkörét.

Csoportjogcímek hozzáadása biztonsági jogkivonatokhoz

A csoporttagsági jogcímek biztonsági jogkivonatokban való kibocsátásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásadminisztrátorként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával válthat a külső bérlőre a Könyvtárak + előfizetések menüből.
  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
  4. Válassza ki azt az alkalmazást, amelyben hozzá szeretné adni a csoportok jogcímét.
  5. A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
  6. Válassza a Csoportok hozzáadása jogcím lehetőséget.
  7. Válassza ki a biztonsági jogkivonatokban felvenni kívánt csoporttípusokat.
  8. A jogkivonat tulajdonságainak típus szerinti testreszabásához válassza a Csoportazonosító lehetőséget.
  9. Válassza a Hozzáadás lehetőséget a csoportok jogcímének hozzáadásához.

Tagok hozzáadása csoporthoz

Most, hogy hozzáadta az alkalmazáscsoportok jogcímét az alkalmazásban, vegyen fel felhasználókat a biztonsági csoportokba. Ha nincs biztonsági csoportja, hozzon létre egyet.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább csoportadminisztrátorként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával válthat a külső bérlőre a Könyvtárak + előfizetések menüből.
  3. Tallózással keresse meg a Minden csoport identitáscsoportot>>.
  4. Jelölje ki a kezelni kívánt csoportot.
  5. Válassza a Tagok lehetőséget.
  6. Válassza a + Tagok hozzáadása lehetőséget.
  7. Görgessen végig a listán, vagy írjon be egy nevet a keresőmezőbe. Több nevet is választhat. Ha készen áll, válassza a Kiválasztás lehetőséget.
  8. A csoport – áttekintés lap frissül és mutatja a csoportba most felvett tagok számát.

Az alkalmazás teszteléséhez jelentkezzen ki, majd jelentkezzen be újra a biztonsági csoporthoz hozzáadott felhasználóval. Ellenőrizze a biztonsági jogkivonatot, hogy tartalmazza-e a felhasználó csoporttagságát.

Csoportok és alkalmazásszerepkörök támogatása

A külső bérlő a Microsoft Entra felhasználói és csoportkezelési modelljét és alkalmazás-hozzárendelését követi. A Microsoft Entra számos alapvető funkcióját külső bérlőkre bontják.

Az alábbi táblázat azt mutatja be, hogy mely funkciók érhetők el jelenleg.

Szolgáltatás Jelenleg elérhető?
Alkalmazásszerepkör létrehozása erőforráshoz Igen, az alkalmazásjegyzék módosításával
Alkalmazásszerepkör hozzárendelése felhasználókhoz Igen
Alkalmazásszerepkör hozzárendelése csoportokhoz Igen, csak Microsoft Graphon keresztül
Alkalmazásszerepkör hozzárendelése alkalmazásokhoz Igen, alkalmazásengedélyekkel
Felhasználó hozzárendelése alkalmazásszerepkörhöz Igen
Alkalmazás hozzárendelése alkalmazásszerepkörhöz (alkalmazásengedély) Igen
Csoport hozzáadása egy alkalmazáshoz/szolgáltatásnévhez (csoportjogcím) Igen, csak Microsoft Graphon keresztül
Ügyfél (helyi felhasználó) létrehozása/frissítése/törlése a Microsoft Entra felügyeleti központban Igen
Ügyfél (helyi felhasználó) jelszavának alaphelyzetbe állítása a Microsoft Entra felügyeleti központban Igen
Ügyfél (helyi felhasználó) létrehozása/frissítése/törlése a Microsoft Graphon keresztül Igen
Ügyfél (helyi felhasználó) jelszavának alaphelyzetbe állítása a Microsoft Graph használatával Igen, csak akkor, ha a szolgáltatásnév hozzá van adva a globális rendszergazdai szerepkörhöz
Biztonsági csoport létrehozása/frissítése/törlése a Microsoft Entra felügyeleti központban Igen
Biztonsági csoport létrehozása/frissítése/törlése a Microsoft Graph API-n keresztül Igen
Biztonsági csoporttagok módosítása a Microsoft Entra Felügyeleti központban Igen
Biztonsági csoporttagok módosítása a Microsoft Graph API használatával Igen
50 000 felhasználó és 50 000 csoport méretezése Jelenleg nem érhető el
50 000 felhasználó hozzáadása legalább két csoporthoz Jelenleg nem érhető el

Következő lépések