Megosztás a következőn keresztül:

Adj hozzá szerepköröket az alkalmazáshoz, és kapd meg őket a jogkivonatban.

A szerepköralapú hozzáférés-vezérlés (RBAC) egy népszerű mechanizmus az alkalmazásokban való engedélyezés kikényszerítésére. Az RBAC lehetővé teszi a rendszergazdák számára, hogy engedélyeket adjanak a szerepköröknek, nem pedig adott felhasználóknak vagy csoportoknak. A rendszergazda ezután szerepköröket rendelhet különböző felhasználókhoz és csoportokhoz, így szabályozhatja, hogy ki férhet hozzá a tartalomhoz és a funkciókhoz.

Az RBAC alkalmazásszerepkörrel és szerepkör-jogcímekkel való használatával a fejlesztők kevesebb erőfeszítéssel biztonságosan kényszeríthetik ki az engedélyezést az alkalmazásaikban.

Egy másik módszer a Microsoft Entra-csoportok és -csoportok jogcímeinek használata, ahogyan az active-directory-aspnetcore-webapp-openidconnect-v2 kódmintában látható a GitHubon. A Microsoft Entra-csoportok és alkalmazásszerepkörök nem zárják ki egymást; ezek együttes használatával még finomabb hozzáférés-vezérlést biztosíthatnak.

Szerepkörök deklarálása egy alkalmazáshoz

Az alkalmazásszerepkörök meghatározásához használja a Microsoft Entra Felügyeleti központot az alkalmazásregisztrációs folyamat során. Az alkalmazás-szerepkörök egy szolgáltatásnak, alkalmazásnak vagy API-nak megfelelő alkalmazásregisztráción vannak meghatározva. Amikor egy felhasználó bejelentkezik az alkalmazásba, a Microsoft Entra-azonosító minden olyan szerepkörre vonatkozó jogcímet bocsát kiroles, amelyet a felhasználó vagy a szolgáltatásnév kapott, amely jogcímalapú engedélyezés megvalósításához használható. Az alkalmazásszerepkörök hozzárendelhetők egy felhasználóhoz vagy egy felhasználói csoporthoz. Az alkalmazásszerepkörök hozzárendelhetők egy másik alkalmazás szolgáltatásnévéhez vagy egy felügyelt identitás szolgáltatásnévéhez is.

Jelenleg, ha egy szolgáltatás példányt ad hozzá egy csoporthoz, majd hozzárendel egy alkalmazásszerepkört a csoporthoz, a Microsoft Entra ID nem adja hozzá a roles jogcímet a kiadott tokenekhez.

Az alkalmazásszerepkörök az Alkalmazásszerepkörök felhasználói felületén vannak deklarálva a Microsoft Entra Felügyeleti központban:

Az általad hozzáadott szerepkörök száma beleszámít a Microsoft Entra ID által meghatározott alkalmazásjegyzék-korlátokba. Ezekről a korlátokról a Microsoft Entra alkalmazásjegyzék-referenciájának Jegyzékkorlátok szakaszában olvashat.

Alkalmazás szerepkörök felhasználói felülete

Alkalmazásszerepkör létrehozása a Microsoft Entra felügyeleti központ felhasználói felületén:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az Entra-azonosító>alkalmazásregisztrációit , majd válassza ki azt az alkalmazást, amelyben alkalmazásszerepköröket szeretne definiálni.

  4. A Kezelés csoportban válassza az Alkalmazásszerepkörök lehetőséget, majd válassza az Alkalmazásszerepkör létrehozása lehetőséget.

    Alkalmazásregisztráció alkalmazásszerepkörök panelje az Azure Portalon

  5. Az Alkalmazás-szerepkör létrehozása panelen adja meg a szerepkör beállításait. A rendszerképet követő táblázat az egyes beállításokat és azok paramétereit ismerteti.

    Az alkalmazásregisztráció alkalmazásszerepkörei környezeti panelt hoznak létre az Azure Portalon

    Mező Leírás Példa
    Megjelenített név Megjelenítheti a rendszergazdai hozzájárulásban és az alkalmazás-hozzárendelési szolgáltatásokban megjelenő alkalmazásszerepkör nevét. Ez az érték szóközöket tartalmazhat. Survey Writer
    Engedélyezett tagtípusok Megadja, hogy ez az alkalmazásszerepkör hozzárendelhető-e felhasználókhoz, alkalmazásokhoz vagy mindkettőhöz.

    Ha elérhetők applications, az alkalmazásszerepkörök az alkalmazásregisztráció Kezelés szakaszában alkalmazásengedélyekként jelennek meg >API-engedélyek > Engedély hozzáadása > Saját API-k > API kiválasztása > Alkalmazásengedélyek.    		 Users/Groups
    Érték Megadja annak a szerepkör-jogcímnek az értékét, amelyet az alkalmazásnak elvárnia kell a jogkivonatban. Az értéknek pontosan meg kell egyeznie az alkalmazás kódjában hivatkozott sztringgel. Az érték nem tartalmazhat szóközöket. Survey.Create
    Leírás Az alkalmazásszerepkör részletesebb leírása, amely a rendszergazdai alkalmazás-hozzárendelés és a hozzájárulási élmény során jelenik meg. Writers can create surveys.
    Szeretné engedélyezni ezt az alkalmazásszerepkört? Megadja, hogy az alkalmazásszerepkör engedélyezve van-e. Alkalmazásszerepkör törléséhez törölje ezt a jelölőnégyzetet, és alkalmazza a módosítást a törlési művelet megkísérlése előtt. Ez a beállítás szabályozza az alkalmazásszerepkör használatát és rendelkezésre állását, miközben ideiglenesen vagy véglegesen letilthatja anélkül, hogy teljesen eltávolítaná. Ellenőrizve

  6. A módosítások mentéséhez válassza az Alkalmaz elemet.

Ha az alkalmazásszerepkör engedélyezve van, minden hozzárendelt felhasználó, alkalmazás vagy csoport rendelkezik az alkalmazásszerepkörrel a jogkivonataikban. Ezek lehetnek hozzáférési jogkivonatok, amikor az alkalmazás az API, amelyet egy másik alkalmazás hív meg, vagy azonosító jogkivonatok, amikor az alkalmazás egy felhasználói bejelentkezést kezel.

Ha az alkalmazásszerepkör le van tiltva , inaktívvá válik, és többé nem rendelhető hozzá. A felhasználók, csoportok és alkalmazások aktuális alkalmazásszerepkör-hozzárendelései azonban megmaradnak, és az alkalmazásszerepkör továbbra is továbbítva lesz a jogkivonat(ok)ban. Távolítsa el az alkalmazás szerepkört a felhasználótól, csoporttól vagy alkalmazástól annak érdekében, hogy az a szerepkör is eltávolításra kerüljön a jogkivonat(ok)ból.

Alkalmazástulajdonos hozzárendelése

Mielőtt alkalmazásszerepköröket rendelhet az alkalmazásokhoz, saját magát kell hozzárendelnie alkalmazástulajdonosként.

  1. Az alkalmazásregisztrációban a Kezelés területen válassza a Tulajdonosok és a Tulajdonosok hozzáadása lehetőséget.
  2. Az új ablakban keresse meg és válassza ki az alkalmazáshoz hozzárendelni kívánt tulajdonos(ok)t. A kijelölt tulajdonosok a jobb oldali panelen jelennek meg. Miután elkészült, erősítse meg a Kiválasztás lehetőséget, és az alkalmazástulajdonos(ok) megjelennek a tulajdonos listájában.

Feljegyzés

Győződjön meg arról, hogy mind az API-alkalmazás, mind a hozzáadni kívánt alkalmazás rendelkezik tulajdonossal, ellenkező esetben az API nem jelenik meg az API-engedélyek kérésekor.

Alkalmazásszerepkörök hozzárendelése alkalmazásokhoz

Miután hozzáadta az alkalmazásszerepköröket az alkalmazásban, hozzárendelhet egy alkalmazásszerepkört egy ügyfélalkalmazáshoz a Microsoft Entra felügyeleti központ használatával vagy programozott módon a Microsoft Graph használatával. Az alkalmazásszerepkör alkalmazáshoz való hozzárendelése nem tévesztendő össze a szerepkörök felhasználókhoz való hozzárendelésével.

Amikor alkalmazásszerepköröket rendel egy alkalmazáshoz, alkalmazásengedélyeket hoz létre. Az alkalmazásengedélyeket általában olyan démonalkalmazások vagy háttérszolgáltatások használják, amelyeknek saját maguknak kell hitelesítést végezniük és engedélyezett API-hívásokat kezdeményezniük, felhasználói beavatkozás nélkül.

Alkalmazásszerepkörök hozzárendelése egy alkalmazáshoz a Microsoft Entra felügyeleti központ használatával:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg az Entra-azonosító>alkalmazásregisztrációit , majd válassza a Minden alkalmazás lehetőséget.
  3. Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
  4. Válassza ki azt az alkalmazást, amelyhez alkalmazásszerepkört szeretne hozzárendelni.
  5. Válassza az API-engedélyek>Engedély hozzáadása lehetőséget.
  6. Válassza a Saját API-k lapot, majd válassza ki azt az alkalmazást, amelyhez alkalmazásszerepköröket definiált.
  7. Az Engedély csoportban válassza ki a hozzárendelni kívánt szerepköröket.
  8. Válassza az Engedélyek hozzáadása gombot, és adja hozzá a szerepköröket.

Az újonnan hozzáadott szerepköröknek meg kell jelennie az alkalmazásregisztráció API-engedélyek paneljén.

Mivel ezek alkalmazásengedélyek, nem pedig delegált engedélyek, egy rendszergazdának hozzájárulást kell adnia az alkalmazáshoz rendelt alkalmazás-szerepkörök használatához.

  1. Az alkalmazásregisztráció API-engedélyek paneljén válassza a <bérlői név> rendszergazdai hozzájárulás megadása lehetőséget.
  2. Válassza az Igen lehetőséget, amikor a rendszer a kért engedélyekhez való hozzájárulás megadását kéri.

Az Állapot oszlopnak azt kell tükröznie, hogy a hozzájárulás meg lett adva a bérlő neve részére.

Alkalmazásszerepkörök használati forgatókönyve

Ha olyan alkalmazásszerepkör-üzleti logikát implementál, amely az Ön alkalmazási forgatókönyvében bejelentkezteti a felhasználókat, először határozza meg az alkalmazásszerepköröket a Az Alkalmazásregisztrációk alatt. Ezután egy rendszergazda hozzárendeli őket a Vállalati alkalmazások panelen lévő felhasználókhoz és csoportokhoz. A forgatókönyvtől függően ezek a hozzárendelt alkalmazásszerepkörök az alkalmazáshoz kiadott különböző jogkivonatokban szerepelnek. Például egy olyan alkalmazás esetében, amely bejelentkezteti a felhasználókat, a szerepkör-követelések szerepelnek az azonosító tokenben. Amikor az alkalmazás api-t hív meg, a szerepkör-jogcímek bekerülnek a hozzáférési jogkivonatba.

Ha alkalmazásszerepkör-üzleti logikát implementál egy olyan forgatókönyvben, ahol az alkalmazás API-t hív meg, akkor két alkalmazás regisztrációval rendelkezik. Az egyik alkalmazásregisztráció az alkalmazásra, a második pedig az API-ra való regisztráció. Ebben az esetben határozza meg az alkalmazásszerepköröket, és rendelje hozzá őket a felhasználóhoz vagy csoporthoz az API alkalmazásregisztrációjában. Amikor a felhasználó hitelesíti magát az alkalmazásban, és hozzáférési jogkivonatot kér az API hívásához, a jogkivonat tartalmaz egy szerepkörre vonatkozó jogcímet. A következő lépés az, hogy kódot ad hozzá a webes API-hoz, hogy ellenőrizze ezeket a szerepköröket az API meghívásakor.

Ha meg szeretné tudni, hogyan adhat hozzá engedélyezést a webes API-hoz, olvassa el a Védett webes API: Hatókörök és alkalmazásszerepkörök ellenőrzése című témakört.

Alkalmazásszerepkörök és csoportok

Bár alkalmazásszerepköröket vagy csoportokat is használhat az engedélyezéshez, a közöttük fennálló fő különbségek befolyásolhatják, hogy melyiket szeretné használni a forgatókönyvéhez.

Alkalmazásszerepkörök Csoportok
Ezek egy alkalmazásra vonatkoznak, és az alkalmazásregisztrációban vannak definiálva. Az alkalmazással együtt mozognak. Ezek nem egy alkalmazásra, hanem egy Microsoft Entra-bérlőre vonatkoznak.
Az alkalmazásszerepkörök az alkalmazásregisztráció eltávolításakor törlődnek. A csoportok akkor is érintetlenek maradnak, ha az alkalmazás el lett távolítva.
A roles kiegészítő részletezése a jogcímben van megadva. A jogcímben megadva groups .

A fejlesztők az alkalmazási szerepkörök segítségével szabályozhatják, hogy a felhasználó bejelentkezhet-e egy alkalmazásba, vagy hogy egy alkalmazás kaphat-e hozzáférési jogkivonatot egy webes API-hoz. Ezen biztonsági szabályozás csoportokra való kiterjesztéséhez a fejlesztők és a rendszergazdák biztonsági csoportokat is hozzárendelhetnek az alkalmazás-szerepkörökhöz.

A fejlesztők inkább az alkalmazásszerepköröket használják, amikor maguk szeretnék leírni és szabályozni az alkalmazásuk engedélyezési paramétereit. Például egy alkalmazás, amely a csoportokat engedélyezésre használja, nem fog működni a következő bérlőnél, mivel a csoportazonosító és a név is eltérő lehet. Az alkalmazásszerepköröket használó alkalmazások biztonságosak maradnak. Az SaaS-alkalmazások valójában gyakran ugyanazon okokból rendelnek csoportokat alkalmazásszerepkörökhöz, mivel lehetővé teszik, hogy az SaaS-alkalmazás több bérlőben legyen kiépítve.

Felhasználók és csoportok hozzárendelése Microsoft Entra-szerepkörökhöz

Miután hozzáadta az alkalmazásszerepköröket, felhasználókat és csoportokat rendelhet a Microsoft Entra-szerepkörökhöz. A felhasználók és csoportok szerepkörökhöz való hozzárendelése a portál felhasználói felületén vagy a Microsoft Graph programozott módon végezhető el. Amikor a különböző szerepkörökhöz rendelt felhasználók bejelentkeznek az alkalmazásba, a tokenjeik a hozzárendelt szerepkörökkel rendelkeznek a roles jogcímben.

Felhasználók és csoportok szerepkörökhöz rendelése a Microsoft Entra felügyeleti központ használatával:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
  3. Keresse meg az Entra ID>Enterprise-alkalmazásokat.
  4. Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
  5. Válassza ki azt az alkalmazást, amelyben a felhasználókat vagy a biztonsági csoportokat szerepkörökhöz kívánja hozzárendelni.
  6. A Kezelés menüpontban válassza a Felhasználók és csoportok lehetőséget.
  7. Kattintson a Felhasználó hozzáadása lehetőségre a Hozzárendelés felvétele lap megnyitásához.
  8. Válassza a Felhasználók és csoportok kiválasztót a Hozzárendelés felvétele panelen. Megjelenik a felhasználók és a biztonsági csoportok listája. A listában rákereshet egy bizonyos felhasználóra vagy csoportra, és többet is kiválaszthat. A folytatáshoz válassza a Kiválasztás gombot.
  9. Válassza ki a Szerepkör kiválasztása lehetőséget a Hozzárendelés felvétele panelen. Megjelenik az alkalmazáshoz definiált összes szerepkör.
  10. Válasszon ki egy szerepkört, majd kattintson a Kiválasztás gombra.
  11. Kattintson a Hozzárendelés gombra a felhasználók és csoportok alkalmazáshoz való hozzárendelésének befejezéséhez.

Győződjön meg arról, hogy a hozzáadott felhasználók és csoportok megjelennek a Felhasználók és csoportok listában.

Következő lépések

További információ az alkalmazásszerepkörökről az alábbi erőforrásokkal.

  • Last updated on