Bagikan melalui

Meminta izin yang memerlukan persetujuan administratif

  • Artikel

Dalam artikel ini, kami menjelaskan izin dan pengalaman persetujuan untuk skenario di mana Anda, sebagai pengembang, menulis kode aplikasi Anda untuk meminta izin aplikasi yang memerlukan persetujuan administratif. Contoh cuplikan layar dialog izin dan persetujuan dan pusat admin Microsoft Entra memberi Anda gambaran tentang apa yang dialami pengguna dan admin penyewa Anda. Tingkatkan kolaborasi dengan admin untuk menerapkan prinsip Zero Trust dengan hak istimewa paling sedikit dalam aplikasi Anda.

Saat mengembangkan aplikasi, Anda menulis kode yang meminta akses ke sumber daya dengan meminta token akses dengan cakupan tertentu (atau izin). Anda menggunakan parameter cakupan seperti yang dijelaskan dalam standar OAuth 2.0 yang dijelaskan beberapa orang sebagai izin. Pemilik sumber daya memberikan atau menolak permintaan izin. Di ID Microsoft Entra, pemilik sumber daya adalah pengguna aplikasi atau admin yang memiliki hak untuk memberikan persetujuan atas sumber daya tersebut atas nama semua pengguna.

Saat aplikasi Anda meminta izin untuk mengakses sumber daya, pengguna Anda mungkin melihat dialog izin yang diminta mirip dengan contoh ini.

Cuplikan layar dialog izin yang diminta yang menjelaskan izin yang diminta aplikasi dengan tombol Batalkan dan Terima.

Dalam dialog contoh di atas, pengguna memberikan persetujuan untuk mengizinkan aplikasi membaca data atas nama mereka dengan memilih Terima atau tolak permintaan dengan memilih Batal. Aplikasi menerima token akses dan dapat melanjutkan prosesnya setelah pengguna memberikan persetujuan. Ingatlah untuk memastikan bahwa aplikasi Anda siap untuk menangani dengan baik saat tidak menerima token.

Untuk beberapa permintaan akses, hanya admin yang dapat memberikan persetujuan. Jika akses yang diminta kuat atau melibatkan sumber daya yang pemiliknya bukan pengguna saat ini, kode sehingga hanya admin yang dapat memberikan permintaan.

Namun, Anda tidak pernah tahu izin mana yang memerlukan persetujuan admin dan yang memungkinkan pengguna reguler untuk memberikan persetujuan karena admin penyewa dapat mengonfigurasi penyewa mereka dengan Jangan izinkan pengguna (semua izin memerlukan persetujuan admin) seperti yang ditunjukkan dalam contoh cuplikan layar pengaturan persetujuan Pengguna di pusat admin Microsoft Entra.

Cuplikan layar pusat admin Microsoft Entra 'Pengaturan persetujuan pengguna' yang mengonfigurasi persetujuan bagi aplikasi untuk mengakses data organisasi.

Admin juga dapat Mengizinkan persetujuan pengguna untuk aplikasi dari penerbit terverifikasi, untuk izin yang dipilih seperti yang ditunjukkan pada contoh cuplikan layar pengaturan Persetujuan pengguna berikut di pusat admin Microsoft Entra.

Cuplikan layar pusat admin Microsoft Entra 'Pengaturan persetujuan pengguna' yang mengonfigurasi persetujuan untuk aplikasi dari penerbit terverifikasi.

Admin kemudian dapat Menambahkan izin yang dapat disetujui pengguna seperti yang ditunjukkan dalam contoh cuplikan layar klasifikasi Izin berikut di pusat admin Microsoft Entra.

Cuplikan layar 'Klasifikasi izin' pusat admin Microsoft Entra yang mengonfigurasi klasifikasi izin yang memungkinkan persetujuan pengguna.

Saat aplikasi Anda meminta izin yang memerlukan persetujuan admin (berdasarkan desain atau konfigurasi admin), pengguna Anda mungkin melihat dialog Perlu persetujuan admin yang mirip dengan contoh ini.

Cuplikan layar dialog 'Perlu persetujuan admin' yang menjelaskan cara admin memberikan izin yang diminta.

Dialog contoh di atas memperlihatkan pengalaman default (di luar kotak) untuk izin yang memerlukan persetujuan admin. Sebagian besar pengguna tidak tahu apa yang harus dilakukan dalam skenario ini. Mereka tidak tahu siapa admin mereka, mereka tidak tahu siapa yang harus disetujui. Ketidakpastian ini dapat membatasi kemampuan pengguna untuk mencapai hasil yang diinginkan.

Untuk meningkatkan izin dan pengalaman persetujuan, admin penyewa dapat mengonfigurasi alur kerja persetujuan admin seperti yang ditunjukkan pada contoh cuplikan layar pengaturan Pengguna berikut di pusat admin Microsoft Entra.

Cuplikan layar 'Pengaturan pengguna' pusat admin Microsoft Entra yang mengonfigurasi 'Permintaan persetujuan admin.'

Dalam Permintaan persetujuan admin, admin penyewa dapat meningkatkan pengalaman izin dan persetujuan pengguna dengan memilih Ya pada Pengguna dapat meminta persetujuan admin ke aplikasi yang tidak dapat mereka setujui dan mengonfigurasi pengaturan permintaan persetujuan Admin lainnya.

Setelah admin penyewa memilih Ya pada Pengguna dapat meminta persetujuan admin ke aplikasi yang tidak dapat mereka setujui dan aplikasi meminta izin yang memerlukan persetujuan admin, pengguna melihat sesuatu yang mirip dengan dialog persetujuan yang diperlukan berikut yang memberikan pengalaman pengguna yang lebih baik.

Cuplikan layar dialog 'Persetujuan diperlukan' yang menjelaskan izin yang diminta aplikasi dengan bidang teks untuk 'Masukkan pembenaran untuk meminta aplikasi ini.'

Dalam dialog contoh di atas, pengguna dapat Memasukkan justifikasi untuk meminta aplikasi ini sebelum memilih Minta persetujuan. Permintaan persetujuan kemudian memasukkan antrean permintaan persetujuan Admin (seperti yang ditunjukkan dalam contoh cuplikan layar berikut) di mana admin memiliki opsi untuk meninjau, menerima, atau melarang aplikasi di organisasi mereka berdasarkan profil risiko.

Cuplikan layar pusat admin Microsoft Entra 'Permintaan persetujuan admin' yang mengonfigurasi permintaan yang tertunda.

Saat admin menjalankan aplikasi yang memerlukan persetujuan admin tanpa mengonfigurasi persetujuan di pusat admin Microsoft Entra, pengguna admin melihat dialog Izin yang diminta mirip dengan contoh berikut.

Cuplikan layar dialog 'Izin diminta' yang menjelaskan izin yang diminta aplikasi dengan kotak centang untuk beralih 'Persetujuan atas nama organisasi Anda.'

Dalam contoh di atas, admin melihat deskripsi izin yang diminta aplikasi. Admin dapat memilih Terima untuk menjalankan aplikasi secara individual atau mereka dapat memilih Persetujuan atas nama organisasi Anda sebelum memilih Terima. Setelah admin memberikan persetujuan untuk organisasi, tidak ada pengguna organisasi di masa mendatang yang perlu memberikan izin untuk aplikasi ini kecuali admin menghapus persetujuan dari konfigurasi permintaan persetujuan Admin penyewa.

Metode lain dari persetujuan admin penyewa ada di Izin pusat admin Microsoft Entra di mana admin dapat meninjau detail izin aplikasi yang diminta sebelumnya.

Cuplikan layar 'Izin' pusat admin Microsoft Entra yang menampilkan detail permintaan aplikasi yang ada.

Dalam contoh persetujuan Pengguna di atas, admin dapat meninjau izin yang diberikan untuk aplikasi bersama dengan informasi tentang klaim, jenis izin, dan siapa yang memberikan persetujuan. Admin dapat memilih Persetujuan admin untuk meninjau izin yang diberikan yang memerlukan persetujuan admin.

Strategi izin aplikasi terbaik Anda adalah mendeklarasikan terlebih dahulu semua izin yang mungkin diperlukan atau diminta aplikasi saat Mendaftarkan aplikasi. Anda tidak perlu meminta semua izin secara bersamaan tetapi, setelah menyatakan semua izin yang mungkin diperlukan aplikasi Anda, admin dapat memilih Berikan persetujuan admin untuk dalam konfigurasi aplikasi Anda di penyewa untuk menampilkan dialog yang mirip dengan contoh ini.

Cuplikan layar dialog 'Izin diminta Tinjau untuk organisasi Anda' yang menjelaskan izin yang diminta aplikasi dengan tombol Batalkan dan Terima.

Contoh di atas menunjukkan bagaimana admin dapat menyetujui izin yang Anda nyatakan dan memberikan pengalaman terbaik bagi pengguna dan admin penyewa Anda.

Meminta persetujuan admin sebelumnya adalah pilihan yang sangat baik untuk aplikasi lini bisnis (LOB), terutama aplikasi yang dikembangkan organisasi Anda. Lebih mudah untuk tidak perlu bertanya kepada pengguna Anda apakah perusahaan Anda dapat mengakses data perusahaan Anda dengan melakukan prakonsensentasi aplikasi tersebut. Anda membuat permintaan persetujuan admin sebagai bagian dari proses pendaftaran aplikasi Anda.

Langkah berikutnya

  • Memperoleh otorisasi untuk mengakses sumber daya membantu Anda memahami cara terbaik memastikan Zero Trust saat memperoleh izin akses sumber daya untuk aplikasi Anda.
  • API Protection menjelaskan praktik terbaik untuk melindungi API Anda melalui pendaftaran, menentukan izin dan persetujuan, dan menegakkan akses untuk mencapai tujuan Zero Trust Anda.
  • Praktik terbaik otorisasi membantu Anda menerapkan model otorisasi, izin, dan persetujuan terbaik untuk aplikasi Anda.
  • Kustomisasi token menjelaskan informasi yang dapat Anda terima di token Microsoft Entra. Ini menjelaskan cara menyesuaikan token untuk meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan kepercayaan nol aplikasi dengan hak istimewa paling sedikit.
  • Gambaran umum izin dan persetujuan dalam platform identitas Microsoft membantu Anda memahami konsep dasar akses dan otorisasi.
  • Gambaran umum persetujuan dan izin membantu Anda mempelajari konsep dan skenario dasar sekeliling persetujuan dan izin di ID Microsoft Entra.
  • Pelajari modul: Izin dan kerangka kerja persetujuan membantu Anda mempelajari izin dan model kerangka kerja persetujuan.
  • Pelajari Langsung: Identitas Microsoft: Kerangka Kerja Izin dan Persetujuan membantu Anda mempelajari dasar-dasar identitas Microsoft termasuk token, jenis akun, dan topologi.