Menambahkan peran aplikasi ke aplikasi Anda dan menerimanya di token

  • Artikel

Kontrol akses berbasis peran (RBAC) adalah mekanisme populer untuk memberlakukan otorisasi dalam aplikasi. RBAC memungkinkan administrator memberikan izin ke peran, bukan ke pengguna atau grup tertentu. Administrator kemudian dapat menetapkan peran ke pengguna dan grup yang berbeda untuk mengontrol siapa yang memiliki akses ke konten dan fungsi.

Dengan menggunakan RBAC dengan peran aplikasi dan klaim peran, pengembang dapat dengan aman memberlakukan otorisasi di aplikasi dengan mudah.

Pendekatan lain adalah menggunakan grup Microsoft Entra dan klaim grup seperti yang ditunjukkan dalam sampel kode active-directory-aspnetcore-webapp-openidconnect-v2 di GitHub. Grup Microsoft Entra dan peran aplikasi tidak saling eksklusif; mereka dapat digunakan bersama-sama untuk memberikan kontrol akses yang lebih halus.

Menetapkan peran untuk aplikasi

Anda menentukan peran aplikasi dengan menggunakan pusat admin Microsoft Entra selama proses pendaftaran aplikasi. Peran aplikasi ditentukan pada pendaftaran aplikasi yang mewakili layanan, aplikasi, atau API. Saat pengguna masuk ke aplikasi, ID Microsoft Entra memancarkan roles klaim untuk setiap peran yang telah diberikan pengguna atau perwakilan layanan. Ini dapat digunakan untuk menerapkan otorisasi berbasis klaim. Peran aplikasi dapat ditetapkan ke pengguna atau sekelompok pengguna. Peran aplikasi juga dapat ditetapkan ke perwakilan layanan untuk aplikasi lain, atau ke perwakilan layanan untuk identitas terkelola.

Saat ini, jika Anda menambahkan perwakilan layanan ke grup, lalu menetapkan peran aplikasi ke grup tersebut roles , ID Microsoft Entra tidak menambahkan klaim ke token yang bermasalah.

Peran aplikasi dinyatakan menggunakan UI Peran aplikasi di pusat admin Microsoft Entra:

Jumlah peran yang Anda tambahkan hitungan terhadap batas manifes aplikasi yang diberlakukan oleh ID Microsoft Entra. Untuk informasi tentang batas ini, lihat bagian Batas manifes dari referensi manifes aplikasi Microsoft Entra.

Antarmuka pengguna peran aplikasi

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk membuat peran aplikasi dengan menggunakan antarmuka pengguna pusat admin Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa yang berisi pendaftaran aplikasi dari menu Direktori + langganan.

  3. Telusuri ke Aplikasi> Identitas>Pendaftaran aplikasi lalu pilih aplikasi tempat Anda ingin menentukan peran aplikasi.

  4. Di bawah kelola pilih Peran aplikasi, lalu pilih Buat peran aplikasi.

    An app registration's app roles pane in the Azure portal

  5. Di panel buat peran aplikasi, masukkan pengaturan untuk peran tersebut. Tabel yang mengikuti gambar menjelaskan setiap pengaturan dan parameternya.

    An app registration's app roles create context pane in the Azure portal

    Bidang Description Contoh
    Nama tampilan Nama tampilan untuk peran aplikasi yang muncul dalam pengalaman izin aplikasi dan penetapan admin. Nilai ini mungkin berisi spasi. Survey Writer
    Tipe anggota yang diperbolehkan Tentukan apakah peran aplikasi ini dapat ditetapkan ke pengguna, aplikasi, atau keduanya.

    Jika tersedia untuk applications, peran aplikasi muncul sebagai izin aplikasi di bagian Kelola pendaftaran aplikasi >izin API > Tambahkan izin > API Saya > Pilih API > Izin aplikasi.    		 Users/Groups
    Nilai Menetapkan nilai klaim peran yang harus diharapkan aplikasi dalam token. Nilai harus sama persis dengan untai (karakter) yang dirujukkan dalam kode aplikasi. Nilai tidak boleh berisi spasi. Survey.Create
    Keterangan Deskripsi yang lebih rinci tentang peran aplikasi yang ditampilkan selama penugasan aplikasi admin dan pengalaman persetujuan. Writers can create surveys.
    Apakah Anda ingin mengaktifkan peran aplikasi ini? Tentukan apakah peran aplikasi diaktifkan. Untuk menghapus peran aplikasi, batal pilih kotak centang ini dan terapkan perubahan sebelum mencoba operasi penghapusan. Pengaturan ini mengontrol penggunaan dan ketersediaan peran aplikasi sambil dapat menonaktifkannya sementara atau secara permanen tanpa menghapusnya sepenuhnya. Dicentang

  6. Pilih Terapkan untuk menyimpan perubahan.

Saat peran aplikasi diatur ke diaktifkan, setiap pengguna, aplikasi, atau grup yang ditetapkan menyertakannya dalam token mereka. Ini dapat menjadi token akses saat aplikasi Anda adalah API yang dipanggil oleh token aplikasi atau ID saat aplikasi Anda masuk ke pengguna. Jika diatur ke dinonaktifkan, itu menjadi tidak aktif dan tidak lagi dapat ditetapkan. Setiap penerima tugas sebelumnya masih akan memiliki peran aplikasi yang disertakan dalam token mereka, tetapi tidak berpengaruh karena tidak lagi dapat ditetapkan secara aktif.

Menetapkan pemilik aplikasi

Jika Anda belum melakukannya, Anda harus menetapkan diri Anda sebagai pemilik aplikasi.

  1. Di pendaftaran aplikasi Anda, di bawah Kelola, pilih Pemilik, dan Tambahkan pemilik.
  2. Di jendela baru, temukan dan pilih pemilik yang ingin Anda tetapkan ke aplikasi. Pemilik yang dipilih muncul di panel kanan. Setelah selesai, konfirmasi dengan Pilih. Pemilik aplikasi sekarang akan muncul dalam daftar pemilik.

Catatan

Pastikan bahwa aplikasi API dan aplikasi yang ingin Anda tambahkan izinnya ke keduanya memiliki pemilik, jika tidak, API tidak akan dicantumkan saat meminta izin API.

Menetapkan peran aplikasi ke aplikasi

Setelah menambahkan peran aplikasi di aplikasi, Anda dapat menetapkan peran aplikasi ke aplikasi klien dengan menggunakan pusat admin Microsoft Entra atau secara terprogram dengan menggunakan Microsoft Graph. Ini tidak akan bingung dengan menetapkan peran kepada pengguna.

Ketika menetapkan peran aplikasi ke aplikasi, Anda membuat izin aplikasi. Izin aplikasi biasanya digunakan oleh aplikasi daemon atau layanan backend yang perlu mengautentikasi dan melakukan panggilan API resmi sendiri, tanpa interaksi pengguna.

Untuk menetapkan peran aplikasi ke aplikasi dengan menggunakan pusat admin Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri ke Aplikasi> Identitas>Pendaftaran aplikasi lalu pilih Semua aplikasi.
  3. Pilih Semua aplikasi untuk melihat daftar semua aplikasi Anda. Jika aplikasi Anda tidak muncul dalam daftar, gunakan filter di bagian atas daftar Semua aplikasi untuk membatasi daftar, atau gulir daftar ke bawah untuk menemukan aplikasi Anda.
  4. Pilih aplikasi yang ingin Anda tetapkan peran aplikasinya.
  5. Pilih Izin API>Tambahkan izin.
  6. Pilih tab API Saya, lalu pilih aplikasi tempat Anda menentukan peran aplikasi.
  7. Di bawah Izin, pilih peran yang ingin Anda tetapkan.
  8. Pilih tombol Tambahkan izin untuk menyelesaikan penambahan peran.

Peran yang baru ditambahkan akan muncul di panel izin API pendaftaran aplikasi.

Karena ini adalah izin aplikasi, bukan izin yang didelegasikan, admin harus memberikan izin untuk menggunakan peran aplikasi yang ditetapkan ke aplikasi.

  1. Di panel Izin API pendaftaran aplikasi, pilih Berikan izin admin untuk <nama penyewa>.
  2. Pilih Ya ketika diminta memberikan persetujuan untuk izin yang diminta.

Kolom Status harus mencerminkan bahwa persetujuan telah Diberikan untuk <nama penyewa>.

Skenario penggunaan peran aplikasi

Jika Anda menerapkan logika bisnis peran aplikasi yang membuat pengguna masuk dalam skenario aplikasi, pertama-tama tentukan peran aplikasi dalam Pendaftaran aplikasi. Kemudian, admin menetapkannya ke pengguna dan grup di panel Aplikasi Enterprise. Peran aplikasi yang ditetapkan ini disertakan dengan token apa pun yang dikeluarkan untuk aplikasi Anda.

Jika Anda menerapkan logika bisnis peran aplikasi dalam skenario API panggilan aplikasi, Anda memiliki dua pendaftaran aplikasi. Satu pendaftaran aplikasi adalah untuk aplikasi, dan pendaftaran aplikasi kedua adalah untuk API. Dalam hal ini, tentukan peran aplikasi dan tetapkan ke pengguna atau grup dalam pendaftaran aplikasi API. Ketika pengguna mengautentikasi dengan aplikasi dan meminta token akses untuk memanggil API, klaim peran disertakan dalam token. Langkah selanjutnya adalah menambahkan kode ke API web Anda untuk memeriksa peran tersebut saat API dipanggil.

Untuk mempelajari cara menambahkan otorisasi ke API web Anda, lihat API web terlindungi: Memverifikasi cakupan dan peran aplikasi.

Peran aplikasi vs. grup

Meskipun Anda dapat menggunakan peran aplikasi atau grup untuk otorisasi, perbedaan utama di antara keduanya dapat memengaruhi keputusan Anda dalam penggunaan untuk skenario.

Peran aplikasi Grup
Itu khusus untuk aplikasi dan ditentukan dalam pendaftaran aplikasi. Bergerak dengan aplikasi. Mereka tidak spesifik untuk aplikasi, tetapi untuk penyewa Microsoft Entra.
Peran aplikasi dihapus saat pendaftaran aplikasi dihapus. Grup tetap utuh meskipun aplikasi dihapus.
Tersedia dalam klaim roles. Tersedia dalam klaim groups.

Pengembang dapat menggunakan peran aplikasi untuk mengontrol jika pengguna dapat masuk ke aplikasi atau aplikasi dapat memperoleh token akses untuk API web. Untuk memperluas kontrol keamanan ini ke grup, pengembang dan admin juga dapat menetapkan grup keamanan ke peran aplikasi.

Peran aplikasi lebih disukai oleh pengembang ketika mereka ingin menjelaskan dan mengontrol parameter otorisasi di aplikasi mereka sendiri. Contohnya, aplikasi yang menggunakan grup untuk otorisasi akan pecah di penyewa berikutnya karena ID dan nama grup mungkin berbeda. Aplikasi yang menggunakan peran aplikasi tetap aman. Sebenarnya, menetapkan grup ke peran aplikasi sangat populer di aplikasi SaaS untuk alasan yang sama karena memungkinkan aplikasi SaaS disediakan ke beberapa penyewa.

Menetapkan pengguna dan grup ke peran Microsoft Entra

Setelah menambahkan peran aplikasi di aplikasi, Anda dapat menetapkan pengguna dan grup ke peran Microsoft Entra. Penugasan pengguna dan grup ke peran dapat dilakukan melalui UI portal, atau secara terprogram menggunakan Microsoft Graph. Ketika pengguna yang ditetapkan ke berbagai peran masuk ke aplikasi, token mereka akan memiliki peran yang ditetapkan dalam roles klaim.

Untuk menetapkan pengguna dan grup ke peran dengan menggunakan pusat admin Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa yang berisi pendaftaran aplikasi dari menu Direktori + langganan.
  3. Telusuri aplikasi Identity>Applications>Enterprise.
  4. Pilih Semua aplikasi untuk melihat daftar semua aplikasi Anda. Jika aplikasi Anda tidak muncul dalam daftar, gunakan filter di bagian atas daftar Semua aplikasi untuk membatasi daftar, atau gulir daftar ke bawah untuk menemukan aplikasi Anda.
  5. Pilih aplikasi tempat Anda ingin menetapkan peran pengguna atau grup keamanan.
  6. Di bawah Kelola, pilih Pengguna dan grup.
  7. Pilih Tambahkan pengguna untuk membuka panel Tambahkan Penugasan.
  8. Pilih pemilih Pengguna dan grup dari panel Tambahkan penugasan. Daftar pengguna dan grup keamanan ditampilkan. Anda dapat mencari pengguna atau grup tertentu serta memilih beberapa pengguna dan grup yang muncul dalam daftar.
  9. Setelah Anda memilih pengguna dan grup, pilih tombol Pilih untuk melanjutkan.
  10. Pilih Pilih peran di panel Tambahkan penugasan. Semua peran yang telah ditentukan untuk aplikasi ditampilkan.
  11. Pilih peran dan pilih tombol Pilih.
  12. Pilih tombol Tetapkan untuk menyelesaikan penugasan pengguna dan grup ke aplikasi.

Konfirmasikan bahwa pengguna dan grup yang Anda tambahkan muncul di daftar Pengguna dan grup.

Langkah berikutnya

Pelajari lebih lanjut tentang peran aplikai dengan sumber daya berikut.