Pengalaman persetujuan untuk aplikasi di ID Microsoft Entra

Dalam artikel ini, pelajari tentang pengalaman pengguna persetujuan aplikasi Microsoft Entra. Anda dapat dengan cerdas mengelola aplikasi untuk organisasi Anda dan/atau mengembangkan aplikasi dengan pengalaman persetujuan yang lebih mulus.

Persetujuan adalah proses pengguna memberikan otorisasi kepada aplikasi untuk mengakses sumber daya yang dilindungi atas namanya. Admin atau pengguna dapat dimintai persetujuan untuk mengizinkan akses ke data organisasi/individunya.

Pengalaman pengguna aktual untuk memberikan persetujuan berbeda tergantung pada kebijakan yang ditetapkan pada penyewa pengguna, cakupan otoritas pengguna (atau peran), dan jenis izin yang diminta oleh aplikasi klien. Ini berarti bahwa pengembang aplikasi dan admin penyewa memiliki kontrol atas pengalaman persetujuan. Admin memiliki fleksibilitas untuk menetapkan dan menonaktifkan kebijakan pada penyewa atau aplikasi untuk mengontrol pengalaman persetujuan di penyewanya. Pengembang aplikasi dapat menentukan jenis izin yang diminta dan apakah ingin memandu pengguna melalui alur persetujuan pengguna atau alur persetujuan admin.

  • Alur persetujuan pengguna adalah ketika pengembang aplikasi mengarahkan pengguna ke titik akhir otorisasi dengan niat merekam persetujuan hanya untuk pengguna saat ini.
  • Alur persetujuan admin adalah ketika pengembang aplikasi mengarahkan pengguna ke titik akhir otorisasi dengan niat merekam persetujuan hanya untuk pengguna saat ini. Untuk memastikan alur persetujuan admin berfungsi dengan baik, pengembang aplikasi harus mencantumkan semua izin pada properti RequiredResourceAccess di dalam manifes aplikasi. Untuk informasi selengkapnya, lihat Manifes aplikasi.

Prompt persetujuan dirancang untuk memastikan pengguna memiliki informasi yang cukup untuk menentukan apakah mereka mempercayai aplikasi klien untuk mengakses sumber daya yang dilindungi atas nama mereka. Memahami blok penyusun membantu pengguna yang memberikan persetujuan membuat keputusan yang lebih tepat dan membantu pengembang membangun pengalaman pengguna yang lebih baik.

Diagram dan tabel berikut ini menyediakan informasi tentang blok penyusun prompt persetujuan.

Building blocks of the consent prompt

# Komponen Tujuan
1 Pengidentifikasi pengguna Pengidentifikasi ini mewakili pengguna bahwa aplikasi klien meminta untuk mengakses sumber daya yang dilindungi atas namanya.
2 Judul Judul berubah berdasarkan apakah pengguna akan melalui alur persetujuan pengguna atau admin. Dalam alur persetujuan pengguna, judulnya adalah "Izin yang diminta" sementara dalam alur persetujuan admin, judul memiliki baris lain "Terima untuk organisasi Anda".
3 Logo aplikasi Gambar ini akan membantu pengguna memiliki isyarat visual apakah aplikasi ini adalah aplikasi yang ingin diakses. Gambar ini disediakan oleh pengembang aplikasi dan kepemilikan gambar ini tidak divalidasi.
4 Nama aplikasi Nilai ini harus memberi tahu pengguna aplikasi mana yang meminta akses ke datanya. Perhatikan bahwa nama ini disediakan oleh pengembang dan kepemilikan nama aplikasi ini tidak divalidasi.
5 Nama penerbit dan verifikasi Lencana "terverifikasi" berwarna biru berarti penerbit aplikasi telah memverifikasi identitasnya menggunakan akun Microsoft Partner Network dan telah menyelesaikan proses verifikasi. Jika aplikasi diverifikasi penerbit, nama penerbit ditampilkan. Jika aplikasi tidak diverifikasi penerbit, "Belum diverifikasi" ditampilkan alih-alih nama penerbit. Untuk informasi selengkapnya, baca tentang Verifikasi Publisher. Memilih nama penerbit menampilkan lebih banyak info aplikasi yang tersedia, seperti nama penerbit, domain penerbit, tanggal dibuat, detail sertifikasi, dan URL balasan.
6 Sertifikasi Microsoft 365 Logo sertifikasi Microsoft 365 berarti bahwa aplikasi telah diperiksa terhadap kontrol yang berasal dari kerangka kerja standar industri terkemuka, serta bahwa praktik keamanan dan kepatuhan yang kuat diberlakukan untuk melindungi data pelanggan. Untuk informasi selengkapnya, baca tentang Sertifikasi Microsoft 365.
7 Informasi penerbit Menampilkan apakah aplikasi diterbitkan oleh Microsoft.
8 Izin Daftar ini berisi izin yang diminta oleh aplikasi klien. Pengguna harus selalu mengevaluasi jenis izin yang diminta untuk memahami data apa yang akan diizinkan untuk diakses oleh aplikasi klien atas namanya jika diterima. Sebagai pengembang aplikasi, yang terbaik adalah meminta akses ke izin dengan hak istimewa paling sedikit.
9 Deskripsi izin Nilai ini disediakan oleh layanan yang mengekspos izin. Untuk melihat deskripsi izin, Anda harus mengaktifkan tanda chevron di samping izin.
10 https://myapps.microsoft.com Ini adalah tautan tempat pengguna dapat meninjau dan menghapus aplikasi non-Microsoft yang saat ini memiliki akses ke datanya.
11 Laporkan di sini Tautan ini digunakan untuk melaporkan aplikasi yang mencurigakan jika Anda tidak mempercayai aplikasi itu, jika Anda yakin aplikasi itu meniru aplikasi lain, jika Anda yakin aplikasi itu akan menyalahgunakan data Anda, atau karena alasan lain.

Bagian berikut menjelaskan skenario umum dan pengalaman persetujuan yang diharapkan untuk masing-masing skenario tersebut.

Aplikasi memerlukan izin yang berhak diberikan pengguna

Dalam skenario persetujuan ini, pengguna mengakses aplikasi yang memerlukan set izin yang berada dalam cakupan otoritas pengguna. Pengguna diarahkan ke alur persetujuan pengguna.

Admin melihat kontrol lain pada permintaan persetujuan tradisional yang akan memungkinkan untuk memberikan persetujuan atas nama seluruh penyewa. Kontrol default ke nonaktif, jadi hanya ketika admin secara eksplisit mencentang kotak persetujuan akan diberikan atas nama seluruh penyewa. Kotak centang hanya akan ditampilkan untuk peran Administrator Global, sehingga Admin Cloud dan Admin Aplikasi tidak akan melihat kotak centang ini.

Consent prompt for scenario 1a

Pengguna melihat permintaan persetujuan tradisional.

Screenshot that shows the traditional consent prompt.

Aplikasi memerlukan izin yang tidak diizinkan untuk diberikan pengguna

Dalam skenario persetujuan ini, pengguna mengakses aplikasi yang memerlukan setidaknya satu izin yang berada di luar cakupan otoritas pengguna.

Admin melihat kontrol lain pada permintaan persetujuan tradisional yang akan memungkinkan mereka menyetujui atas nama seluruh penyewa.

Consent prompt for scenario 1a

Pengguna yang bukan administrator diblokir agar tidak memberikan persetujuan ke aplikasi, dan mereka diberitahu untuk meminta akses ke aplikasi kepada admin mereka. Jika alur kerja persetujuan admin diaktifkan di penyewa pengguna, pengguna dapat mengirimkan permintaan persetujuan admin dari permintaan persetujuan. Untuk informasi selengkapnya tentang alur kerja persetujuan admin, lihat Alur kerja persetujuan admin.

Screenshot of the consent prompt telling the user to ask an admin for access to the app.

Dalam skenario persetujuan ini, pengguna menavigasi ke atau diarahkan ke alur persetujuan admin.

Pengguna admin melihat perintah persetujuan admin. Judul dan deskripsi izin berubah pada prompt ini, perubahan menyoroti fakta bahwa menerima perintah ini akan memberi akses aplikasi ke data yang diminta atas nama seluruh penyewa.

Consent prompt for scenario 3a

Pengguna diblokir agar tidak memberikan persetujuan ke aplikasi, dan mereka diberitahu untuk meminta akses ke aplikasi kepada admin mereka.

Screenshot of the consent prompt telling the user to ask an admin for access to the app.

Dalam skenario ini, administrator menyetujui semua izin yang diminta aplikasi, yang dapat menyertakan izin yang didelegasikan atas nama semua pengguna di penyewa. Administrator memberikan persetujuan melalui halaman izin API pendaftaran aplikasi di portal Azure.

Screenshot of explicit admin consent through the Azure portal.

Semua pengguna di penyewa tersebut tidak akan melihat dialog persetujuan kecuali aplikasi memerlukan izin baru. Untuk mempelajari peran administrator mana yang dapat menyetujui izin yang didelegasikan, lihat Izin peran administrator di ID Microsoft Entra.

Penting

Memberikan persetujuan secara eksplisit menggunakan tombol Berikan izin saat ini diperlukan untuk aplikasi satu halaman (SPA) yang menggunakan ADAL.js. Jika tidak, aplikasi gagal ketika token akses diminta.

Masalah Umum

Bagian ini menguraikan masalah umum dengan pengalaman persetujuan dan kemungkinan tips pemecahan masalah.

  • Kesalahan 403

    • Apakah ini skenario yang didelegasikan? Izin apa yang dimiliki pengguna?
    • Apakah izin yang diperlukan ditambahkan untuk menggunakan titik akhir?
    • Periksa token untuk melihat apakah memiliki klaim yang diperlukan untuk memanggil titik akhir.
    • Izin apa yang telah disetujui? Siapa yang menyetujui?
  • Pengguna tidak dapat menyetujui

    • Periksa apakah admin penyewa telah menonaktifkan persetujuan pengguna untuk organisasi Anda
    • Konfirmasikan apakah izin yang Anda minta adalah izin yang dibatasi admin.
  • Pengguna masih diblokir bahkan setelah admin menyetujui

    • Periksa apakah izin statis dikonfigurasi untuk menjadi superset izin yang diminta secara dinamis.
    • Periksa apakah penetapan pengguna diperlukan untuk aplikasi.

Memecahkan masalah kesalahan yang diketahui

Untuk langkah-langkah pemecahan masalah, lihatKesalahan tak terduga ketika melakukan persetujuan ke aplikasi.

Lihat juga