Megosztás a következőn keresztül:


Alkalmazási szerepkörök hozzáadása az alkalmazáshoz, és azok fogadása a jogkivonatban

A szerepköralapú hozzáférés-vezérlés (RBAC) egy népszerű mechanizmus az alkalmazásokban való engedélyezés kikényszerítésére. Az RBAC lehetővé teszi a rendszergazdák számára, hogy engedélyeket adjanak a szerepköröknek, nem pedig adott felhasználóknak vagy csoportoknak. A rendszergazda ezután szerepköröket rendelhet különböző felhasználókhoz és csoportokhoz, így szabályozhatja, hogy ki férhet hozzá a tartalomhoz és a funkciókhoz.

Az RBAC alkalmazásszerepkörrel és szerepkör-jogcímekkel való használatával a fejlesztők kevesebb erőfeszítéssel biztonságosan kényszeríthetik ki az engedélyezést az alkalmazásaikban.

Egy másik módszer a Microsoft Entra-csoportok és -csoportok jogcímeinek használata, ahogyan az active-directory-aspnetcore-webapp-openidconnect-v2 kódmintában látható a GitHubon. A Microsoft Entra-csoportok és alkalmazásszerepkörök nem zárják ki egymást; ezek együttes használatával még finomabb hozzáférés-vezérlést biztosíthatnak.

Szerepkörök deklarálása egy alkalmazáshoz

Az alkalmazásszerepkörök meghatározásához használja a Microsoft Entra Felügyeleti központot az alkalmazásregisztrációs folyamat során. Az alkalmazás-szerepkörök egy szolgáltatásnak, alkalmazásnak vagy API-nak megfelelő alkalmazásregisztráción vannak meghatározva. Amikor egy felhasználó bejelentkezik az alkalmazásba, a Microsoft Entra-azonosító minden olyan szerepkörre vonatkozó jogcímet bocsát kiroles, amelyet a felhasználó vagy a szolgáltatásnév kapott, amely jogcímalapú engedélyezés megvalósításához használható. Az alkalmazásszerepkörök hozzárendelhetők egy felhasználóhoz vagy egy felhasználói csoporthoz. Az alkalmazásszerepkörök hozzárendelhetők egy másik alkalmazás szolgáltatásnévéhez vagy egy felügyelt identitás szolgáltatásnévéhez is.

Jelenleg, ha egy szolgáltatásnevet ad hozzá egy csoporthoz, majd hozzárendel egy alkalmazásszerepkört a csoporthoz, a Microsoft Entra-azonosító nem adja hozzá a jogcímet a roles problémás jogkivonatokhoz.

Az alkalmazásszerepkörök az Alkalmazásszerepkörök felhasználói felületén vannak deklarálva a Microsoft Entra Felügyeleti központban:

A Microsoft Entra ID által kikényszerített alkalmazásjegyzék-korlátokhoz hozzáadott szerepkörök száma. Ezekről a korlátokról a Microsoft Entra alkalmazásjegyzék-referenciájának Jegyzékkorlátok szakaszában olvashat.

Alkalmazásszerepkörök felhasználói felülete

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Alkalmazásszerepkör létrehozása a Microsoft Entra felügyeleti központ felhasználói felületén:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk majd válassza ki azt az alkalmazást, amelyben alkalmazásszerepköröket szeretne definiálni.

  4. A Kezelés csoportban válassza az Alkalmazásszerepkörök lehetőséget, majd válassza az Alkalmazásszerepkör létrehozása lehetőséget.

    Alkalmazásregisztráció alkalmazásszerepkörök panelje az Azure Portalon

  5. Az Alkalmazás-szerepkör létrehozása panelen adja meg a szerepkör beállításait. A rendszerképet követő táblázat az egyes beállításokat és azok paramétereit ismerteti.

    Az alkalmazásregisztráció alkalmazásszerepkörei környezeti panelt hoznak létre az Azure Portalon

    Mező Leírás Példa
    Megjelenített név Megjelenítheti a rendszergazdai hozzájárulásban és az alkalmazás-hozzárendelési szolgáltatásokban megjelenő alkalmazásszerepkör nevét. Ez az érték szóközöket tartalmazhat. Survey Writer
    Engedélyezett tagtípusok Megadja, hogy ez az alkalmazásszerepkör hozzárendelhető-e felhasználókhoz, alkalmazásokhoz vagy mindkettőhöz.

    Ha elérhető, applicationsaz alkalmazásszerepkörök alkalmazásengedélyekként jelennek meg az alkalmazásregisztráció Kezelés szakasz> API-engedélyeiben>: Engedély hozzáadása Saját > API-k Api-alkalmazásengedélyek > >kiválasztása.
    Users/Groups
    Érték Megadja annak a szerepkör-jogcímnek az értékét, amelyet az alkalmazásnak elvárnia kell a jogkivonatban. Az értéknek pontosan meg kell egyeznie az alkalmazás kódjában hivatkozott sztringgel. Az érték nem tartalmazhat szóközöket. Survey.Create
    Leírás Az alkalmazásszerepkör részletesebb leírása, amely a rendszergazdai alkalmazás-hozzárendelés és a hozzájárulási élmény során jelenik meg. Writers can create surveys.
    Engedélyezi ezt az alkalmazásszerepkört? Megadja, hogy az alkalmazásszerepkör engedélyezve van-e. Alkalmazásszerepkör törléséhez törölje ezt a jelölőnégyzetet, és alkalmazza a módosítást a törlési művelet megkísérlése előtt. Ez a beállítás szabályozza az alkalmazásszerepkör használatát és rendelkezésre állását, miközben ideiglenesen vagy véglegesen letilthatja anélkül, hogy teljesen eltávolítaná. Kockás
  6. A módosítások mentéséhez válassza az Alkalmaz lehetőséget.

Ha az alkalmazásszerepkör engedélyezve van, minden hozzárendelt felhasználó, alkalmazás vagy csoport rendelkezik az alkalmazásszerepkörrel a jogkivonataikban. Ezek hozzáférési jogkivonatok lehetnek, ha az alkalmazás egy alkalmazás vagy egy azonosító jogkivonat által meghívott API-t hív meg, amikor az alkalmazás bejelentkezik egy felhasználóba. Ha le van tiltva, inaktívvá válik, és többé nem rendelhető hozzá. A korábbi hozzárendelések megtartják a jogkivonataikban szereplő alkalmazásszerepkört, de nincs hatása, mivel már nem lehet aktívan hozzárendelni.

Alkalmazástulajdonos hozzárendelése

Mielőtt alkalmazásszerepköröket rendelhet az alkalmazásokhoz, saját magát kell hozzárendelnie alkalmazástulajdonosként.

  1. Az alkalmazásregisztrációban a Kezelés területen válassza a Tulajdonosok és a Tulajdonosok hozzáadása lehetőséget.
  2. Az új ablakban keresse meg és válassza ki az alkalmazáshoz hozzárendelni kívánt tulajdonos(ok)t. A kijelölt tulajdonosok a jobb oldali panelen jelennek meg. Miután elkészült, erősítse meg a Kiválasztás lehetőséget, és az alkalmazástulajdonos(ok) megjelennek a tulajdonos listájában.

Feljegyzés

Győződjön meg arról, hogy mind az API-alkalmazás, mind a hozzáadni kívánt alkalmazás rendelkezik tulajdonossal, ellenkező esetben az API nem jelenik meg az API-engedélyek kérésekor.

Alkalmazásszerepkörök hozzárendelése alkalmazásokhoz

Miután hozzáadta az alkalmazásszerepköröket az alkalmazásban, hozzárendelhet egy alkalmazásszerepkört egy ügyfélalkalmazáshoz a Microsoft Entra felügyeleti központ használatával vagy programozott módon a Microsoft Graph használatával. Az alkalmazásszerepkör alkalmazáshoz való hozzárendelése nem tévesztendő össze a szerepkörök felhasználókhoz való hozzárendelésével.

Amikor alkalmazásszerepköröket rendel egy alkalmazáshoz, alkalmazásengedélyeket hoz létre. Az alkalmazásengedélyeket általában olyan démonalkalmazások vagy háttérszolgáltatások használják, amelyeknek saját maguknak kell hitelesítést végezniük és engedélyezett API-hívásokat kezdeményezniük, felhasználói beavatkozás nélkül.

Alkalmazásszerepkörök hozzárendelése egy alkalmazáshoz a Microsoft Entra felügyeleti központ használatával:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk majd válassza a Minden alkalmazás lehetőséget.
  3. Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
  4. Válassza ki azt az alkalmazást, amelyhez alkalmazásszerepkört szeretne hozzárendelni.
  5. API-engedélyek>kiválasztása Engedély hozzáadása.
  6. Válassza a Saját API-k lapot, majd válassza ki azt az alkalmazást, amelyhez alkalmazásszerepköröket definiált.
  7. Az Engedély csoportban válassza ki a hozzárendelni kívánt szerepköröket.
  8. Válassza az Engedélyek hozzáadása gombot, és adja hozzá a szerepköröket.

Az újonnan hozzáadott szerepköröknek meg kell jelennie az alkalmazásregisztráció API-engedélyek paneljén.

Mivel ezek alkalmazásengedélyek, nem pedig delegált engedélyek, egy rendszergazdának hozzájárulást kell adnia az alkalmazáshoz rendelt alkalmazás-szerepkörök használatához.

  1. Az alkalmazásregisztráció API-engedélyek paneljén válassza a bérlő nevének> rendszergazdai hozzájárulásának <megadása lehetőséget.
  2. Válassza az Igen lehetőséget, amikor a rendszer a kért engedélyekhez való hozzájárulás megadását kéri.

Az Állapot oszlopnak azt kell tükröznie, hogy a bérlő nevének> megadása megtörtént<.

Alkalmazásszerepkörök használati forgatókönyve

Ha olyan alkalmazásszerepkör-üzleti logikát implementál, amely bejelentkezik a felhasználókba az alkalmazásforgatókönyvben, először határozza meg az alkalmazásszerepköröket a Alkalmazásregisztrációk. Ezután egy rendszergazda hozzárendeli őket a Vállalati alkalmazások panelen lévő felhasználókhoz és csoportokhoz. A forgatókönyvtől függően ezek a hozzárendelt alkalmazásszerepkörök az alkalmazáshoz kiadott különböző jogkivonatokban szerepelnek. Például egy olyan alkalmazás esetében, amely bejelentkezik a felhasználókba, a szerepkör-jogcímek szerepelnek az azonosító jogkivonatában. Amikor az alkalmazás api-t hív meg, a szerepkör-jogcímek bekerülnek a hozzáférési jogkivonatba.

Ha alkalmazásszerepkör-üzleti logikát implementál egy alkalmazáshívási-API-forgatókönyvben, két alkalmazásregisztrációval rendelkezik. Az egyik alkalmazásregisztráció az alkalmazásra, a második pedig az API-ra való regisztráció. Ebben az esetben határozza meg az alkalmazásszerepköröket, és rendelje hozzá őket a felhasználóhoz vagy csoporthoz az API alkalmazásregisztrációjában. Amikor a felhasználó hitelesíti az alkalmazást, és hozzáférési jogkivonatot kér az API meghívásához, a jogkivonat tartalmaz egy szerepkör-jogcímet. A következő lépés az, hogy kódot ad hozzá a webes API-hoz, hogy ellenőrizze ezeket a szerepköröket az API meghívásakor.

Ha meg szeretné tudni, hogyan adhat hozzá engedélyezést a webes API-hoz, olvassa el a Védett webes API: Hatókörök és alkalmazásszerepkörök ellenőrzése című témakört.

Alkalmazásszerepkörök és csoportok

Bár alkalmazásszerepköröket vagy csoportokat is használhat az engedélyezéshez, a közöttük fennálló fő különbségek befolyásolhatják, hogy melyiket szeretné használni a forgatókönyvéhez.

Alkalmazásszerepkörök Csoportok
Ezek egy alkalmazásra vonatkoznak, és az alkalmazásregisztrációban vannak definiálva. Az alkalmazással együtt mozognak. Ezek nem egy alkalmazásra, hanem egy Microsoft Entra-bérlőre vonatkoznak.
Az alkalmazásszerepkörök az alkalmazásregisztráció eltávolításakor törlődnek. A csoportok akkor is érintetlenek maradnak, ha az alkalmazás el lett távolítva.
A jogcímben megadva roles . A jogcímben megadva groups .

A fejlesztők az alkalmazási szerepkörök segítségével szabályozhatják, hogy a felhasználó bejelentkezhet-e egy alkalmazásba, vagy hogy egy alkalmazás kaphat-e hozzáférési jogkivonatot egy webes API-hoz. Ezen biztonsági szabályozás csoportokra való kiterjesztéséhez a fejlesztők és a rendszergazdák biztonsági csoportokat is hozzárendelhetnek az alkalmazás-szerepkörökhöz.

A fejlesztők inkább az alkalmazásszerepköröket használják, amikor maguk szeretnék leírni és szabályozni az alkalmazásuk engedélyezési paramétereit. A csoportokat engedélyezési célokra használó alkalmazások például a következő bérlőben fognak megtörni, mivel a csoportazonosító és a név is eltérő lehet. Az alkalmazásszerepköröket használó alkalmazások biztonságosak maradnak. Az SaaS-alkalmazások valójában gyakran ugyanazon okokból rendelnek csoportokat alkalmazásszerepkörökhöz, mivel lehetővé teszik, hogy az SaaS-alkalmazás több bérlőben legyen kiépítve.

Felhasználók és csoportok hozzárendelése Microsoft Entra-szerepkörökhöz

Miután hozzáadta az alkalmazásszerepköröket, felhasználókat és csoportokat rendelhet a Microsoft Entra-szerepkörökhöz. A felhasználók és csoportok szerepkörökhöz való hozzárendelése a portál felhasználói felületén vagy a Microsoft Graph programozott módon végezhető el. Amikor a különböző szerepkörökhöz rendelt felhasználók bejelentkeznek az alkalmazásba, a jogkivonataik rendelkeznek a hozzárendelt szerepkörökkal a roles jogcímben.

Felhasználók és csoportok szerepkörökhöz rendelése a Microsoft Entra felügyeleti központ használatával:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Ha több bérlőhöz is hozzáfér, a felső menü Beállítások ikonjával váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
  3. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
  4. Válassza a Minden alkalmazás lehetőséget az összes alkalmazás listájának megtekintéséhez. Ha nem látja az alkalmazását a listában, használja a Minden alkalmazás lista tetején található szűrőket a lista szűkítéséhez, vagy görgessen lefelé, hogy megtalálja.
  5. Válassza ki azt az alkalmazást, amelyben a felhasználókat vagy a biztonsági csoportokat szerepkörökhöz kívánja hozzárendelni.
  6. A Kezelés menüpontban válassza a Felhasználók és csoportok lehetőséget.
  7. Kattintson a Felhasználó hozzáadása lehetőségre a Hozzárendelés felvétele lap megnyitásához.
  8. Válassza a Felhasználók és csoportok kiválasztót a Hozzárendelés felvétele panelen. Megjelenik a felhasználók és a biztonsági csoportok listája. A listában rákereshet egy bizonyos felhasználóra vagy csoportra, és többet is kiválaszthat. A folytatáshoz válassza a Kiválasztás gombot.
  9. Válassza ki a Szerepkör kiválasztása lehetőséget a Hozzárendelés felvétele panelen. Megjelenik az alkalmazáshoz definiált összes szerepkör.
  10. Válasszon ki egy szerepkört, majd kattintson a Kiválasztás gombra.
  11. Kattintson a Hozzárendelés gombra a felhasználók és csoportok alkalmazáshoz való hozzárendelésének befejezéséhez.

Győződjön meg arról, hogy a hozzáadott felhasználók és csoportok megjelennek a Felhasználók és csoportok listában.

Következő lépések

További információ az alkalmazásszerepkörökről az alábbi erőforrásokkal.