Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam artikel ini, pelajari tentang pengalaman pengguna persetujuan aplikasi Microsoft Entra. Anda dapat dengan cerdas mengelola aplikasi untuk organisasi Anda dan/atau mengembangkan aplikasi dengan pengalaman persetujuan yang lebih mulus.
Persetujuan adalah proses pengguna memberikan otorisasi kepada aplikasi untuk mengakses sumber daya yang dilindungi atas namanya. Admin atau pengguna dapat dimintai persetujuan untuk mengizinkan akses ke data organisasi/individunya.
Pengalaman pengguna aktual untuk memberikan persetujuan berbeda tergantung pada kebijakan yang ditetapkan pada penyewa pengguna, cakupan otoritas pengguna (atau peran), dan jenis izin yang diminta oleh aplikasi klien. Ini berarti bahwa pengembang aplikasi dan admin penyewa memiliki kontrol atas pengalaman persetujuan. Admin memiliki fleksibilitas untuk menetapkan dan menonaktifkan kebijakan pada penyewa atau aplikasi untuk mengontrol pengalaman persetujuan di penyewanya. Pengembang aplikasi dapat menentukan jenis izin apa yang diminta. Mereka juga dapat memutuskan apakah mereka ingin memandu pengguna melalui alur persetujuan pengguna atau alur persetujuan admin.
- Alur persetujuan pengguna adalah ketika pengembang aplikasi mengarahkan pengguna ke titik akhir otorisasi dengan niat merekam persetujuan hanya untuk pengguna saat ini.
-
Alur persetujuan admin adalah ketika pengembang aplikasi mengarahkan pengguna ke titik akhir otorisasi dengan niat merekam persetujuan hanya untuk pengguna saat ini. Untuk memastikan alur persetujuan admin berfungsi dengan baik, pengembang aplikasi harus mencantumkan semua izin pada properti
RequiredResourceAccessdi dalam manifes aplikasi. Untuk informasi selengkapnya, lihat Manifes aplikasi.
Nota
Untuk aplikasi di penyewa eksternal, pelanggan tidak dapat menyetujui izin itu sendiri. Administrator perlu memberikan persetujuan bagi aplikasi untuk mengakses sumber daya atas nama mereka. Untuk informasi selengkapnya, lihat Memberikan persetujuan admin.
Blok penyusun prompt persetujuan
Prompt persetujuan dirancang untuk memastikan pengguna memiliki informasi yang cukup untuk menentukan apakah mereka mempercayai aplikasi klien untuk mengakses sumber daya yang dilindungi atas nama mereka. Memahami blok penyusun membantu pengguna yang memberikan persetujuan membuat keputusan yang lebih tepat dan membantu pengembang membangun pengalaman pengguna yang lebih baik.
Diagram dan tabel berikut ini menyediakan informasi tentang blok penyusun prompt persetujuan.
| # | Komponen | Tujuan |
|---|---|---|
| 1 | Pengidentifikasi pengguna | Pengidentifikasi ini mewakili pengguna bahwa aplikasi klien meminta untuk mengakses sumber daya yang dilindungi atas namanya. |
| 2 | Judul | Judul berubah berdasarkan apakah pengguna akan melalui alur persetujuan pengguna atau admin. Dalam alur persetujuan pengguna, judulnya adalah "Izin yang diminta" sementara dalam alur persetujuan admin judul memiliki baris lain "Terima untuk organisasi Anda." |
| 3 | Logo aplikasi | Gambar ini akan membantu pengguna memiliki isyarat visual apakah aplikasi ini adalah aplikasi yang ingin diakses. Gambar ini disediakan oleh pengembang aplikasi dan kepemilikan gambar ini tidak divalidasi. |
| 4 | Nama aplikasi | Nilai ini harus memberi tahu pengguna aplikasi mana yang meminta akses ke datanya. Perhatikan bahwa nama ini disediakan oleh pengembang dan kepemilikan nama aplikasi ini tidak divalidasi. |
| 5 | Nama penerbit dan verifikasi | Lencana biru "terverifikasi" berarti penerbit aplikasi memverifikasi identitas mereka menggunakan akun Jaringan Mitra Microsoft dan menyelesaikan proses verifikasi. Jika aplikasi diverifikasi penerbit, nama penerbit ditampilkan. Jika aplikasi tidak diverifikasi penerbit, "Belum diverifikasi" ditampilkan alih-alih nama penerbit. Untuk informasi selengkapnya, baca tentang Verifikasi Publisher. Memilih nama penerbit menampilkan lebih banyak informasi aplikasi yang tersedia. Informasi tersebut mencakup nama penerbit, domain penerbit, tanggal dibuat, detail sertifikasi, dan URL balasan. |
| 6 | Sertifikasi Microsoft 365 | Logo Sertifikasi Microsoft 365 berarti bahwa aplikasi diperiksa terhadap kontrol yang berasal dari kerangka kerja standar industri terkemuka. Ini menunjukkan bahwa praktik keamanan dan kepatuhan yang kuat tersedia untuk melindungi data pelanggan. Untuk informasi selengkapnya, baca tentang Sertifikasi Microsoft 365. |
| 7 | Informasi penerbit | Menampilkan apakah aplikasi diterbitkan oleh Microsoft. |
| 8 | Izin | Daftar ini berisi izin yang diminta oleh aplikasi klien. Pengguna harus selalu mengevaluasi jenis izin yang diminta untuk memahami data apa yang diizinkan untuk diakses oleh aplikasi klien atas nama mereka. Sebagai pengembang aplikasi, yang terbaik adalah meminta akses ke izin dengan hak istimewa paling sedikit. |
| 9 | Deskripsi izin | Nilai ini disediakan oleh layanan yang mengekspos izin. Untuk melihat deskripsi izin, Anda harus mengaktifkan tanda chevron di samping izin. |
| 10 | https://myapps.microsoft.com |
Tautan ini memungkinkan pengguna untuk meninjau dan menghapus aplikasi non-Microsoft apa pun yang saat ini memiliki akses ke data mereka. |
| 11 | Laporkan di sini | Tautan ini digunakan untuk melaporkan aplikasi yang mencurigakan jika Anda tidak mempercayai aplikasi, jika Anda yakin aplikasi tersebut meniru aplikasi lain, jika kemungkinan akan menyalahgunakan data Anda, atau karena alasan lain. |
Skenario umum dan pengalaman persetujuan
Bagian berikut menjelaskan skenario umum dan pengalaman persetujuan yang diharapkan untuk masing-masing skenario tersebut.
Aplikasi memerlukan izin yang berhak diberikan pengguna
Dalam skenario persetujuan ini, pengguna mengakses aplikasi yang memerlukan set izin yang berada dalam cakupan otoritas pengguna. Pengguna diarahkan ke alur persetujuan pengguna.
Admin melihat kontrol lain pada permintaan persetujuan tradisional yang memungkinkan mereka memberikan persetujuan atas nama seluruh penyewa. Pengaturan secara default dalam kondisi nonaktif, jadi hanya ketika admin secara eksplisit mencentang kotak, persetujuan diberikan atas nama semua penyewa. Kotak centang hanya memperlihatkan setidaknya peran Administrator Peran Istimewa , sehingga Admin Cloud dan Admin Aplikasi tidak melihat kotak centang ini.
Pengguna melihat permintaan persetujuan tradisional.
Aplikasi memerlukan izin yang tidak diizinkan untuk diberikan pengguna
Dalam skenario persetujuan ini, pengguna mengakses aplikasi yang memerlukan setidaknya satu izin yang berada di luar cakupan otoritas pengguna.
Admin melihat kontrol lain pada permintaan persetujuan tradisional yang memungkinkan mereka menyetujui atas nama seluruh penyewa.
Pengguna yang bukan administrator diblokir agar tidak memberikan persetujuan ke aplikasi, dan mereka diberitahu untuk meminta akses ke aplikasi kepada admin mereka. Jika alur kerja persetujuan admin diaktifkan di penyewa pengguna, pengguna dapat mengirimkan permintaan persetujuan admin dari permintaan persetujuan. Untuk informasi selengkapnya tentang alur kerja persetujuan admin, lihat Alur kerja persetujuan admin.
Pengguna diarahkan ke alur persetujuan admin
Dalam skenario persetujuan ini, pengguna menavigasi ke atau diarahkan ke alur persetujuan admin.
Pengguna admin melihat perintah persetujuan admin. Judul dan deskripsi izin berubah pada permintaan ini, perubahan menyoroti fakta bahwa menerima permintaan ini memberikan akses aplikasi ke data yang diminta atas nama seluruh penyewa.
Pengguna diblokir agar tidak memberikan persetujuan ke aplikasi, dan mereka diberitahu untuk meminta akses ke aplikasi kepada admin mereka.
Persetujuan admin melalui pusat admin Microsoft Entra
Dalam skenario ini, administrator menyetujui semua izin yang diminta aplikasi, yang dapat menyertakan izin yang didelegasikan atas nama semua pengguna di penyewa. Administrator memberikan persetujuan melalui halaman izin API pendaftaran aplikasi di pusat admin Microsoft Entra.
Semua pengguna di penyewa tersebut tidak melihat dialog persetujuan kecuali aplikasi memerlukan izin baru. Untuk mempelajari peran administrator mana yang dapat menyetujui izin yang didelegasikan, lihat Izin peran administrator di ID Microsoft Entra.
Penting
Memberikan persetujuan secara eksplisit menggunakan tombol Berikan izin saat ini diperlukan untuk aplikasi satu halaman (SPA) yang menggunakan ADAL.js. Jika tidak, aplikasi gagal ketika token akses diminta.
Masalah Umum
Bagian ini menguraikan masalah umum dengan pengalaman persetujuan dan kemungkinan tips pemecahan masalah.
Kesalahan 403
- Apakah kasus ini berupa skenario yang didelegasikan ? Izin apa yang dimiliki pengguna?
- Apakah izin yang diperlukan ditambahkan untuk menggunakan titik akhir?
- Periksa token untuk melihat apakah memiliki klaim yang diperlukan untuk memanggil titik akhir.
- Izin apa yang disetujui? Siapa yang menyetujui?
Pengguna tidak dapat menyetujui
- Periksa apakah admin penyewa menonaktifkan persetujuan pengguna untuk organisasi Anda
- Konfirmasikan apakah izin yang Anda minta adalah izin yang dibatasi admin.
Pengguna masih diblokir bahkan setelah persetujuan admin
- Periksa apakah izin statis dikonfigurasi untuk menjadi superset izin yang diminta secara dinamis.
- Periksa apakah penetapan pengguna diperlukan untuk aplikasi.
Memecahkan masalah kesalahan yang diketahui
Untuk langkah-langkah pemecahan masalah, lihatKesalahan tak terduga ketika melakukan persetujuan ke aplikasi.
Konten terkait
- Dapatkan gambaran umum langkah demi langkah tentang bagaimana kerangka kerja persetujuan Microsoft Entra menerapkan persetujuan.
- Untuk lebih mendalam, pelajari bagaimana aplikasi multipenyewa dapat menggunakan kerangka kerja persetujuan untuk menerapkan persetujuan "pengguna" dan "admin", mendukung pola aplikasi multi-tingkat yang lebih canggih.
- Pelajari cara mengonfigurasi domain penerbit aplikasi.