Condividi tramite


Richiedere autorizzazioni che richiedono il consenso amministrativo

In questo articolo viene descritta l'esperienza di autorizzazione e consenso per uno scenario in cui l'utente, in qualità di sviluppatore, sta scrivendo il codice dell'applicazione per richiedere le autorizzazioni dell'applicazione che richiedono il consenso amministrativo. Screenshot di esempio delle finestre di dialogo di autorizzazione e consenso e dell'interfaccia di amministrazione di Microsoft Entra offrono un'idea dell'esperienza degli utenti e degli amministratori tenant. Migliorare la collaborazione con gli amministratori per implementare il principio Zero Trust dei privilegi minimi nelle applicazioni.

Durante lo sviluppo dell'applicazione, si scrive codice che richiede l'accesso a una risorsa richiedendo un token di accesso con un ambito specifico (o autorizzazione). Usare il parametro di ambito come descritto nello standard OAuth 2.0 descritto da alcuni utenti come autorizzazione. I proprietari delle risorse concedono o negano le richieste di autorizzazione. In Microsoft Entra ID il proprietario della risorsa è l'utente dell'app o un amministratore che dispone dei diritti per concedere il consenso a tale risorsa per conto di tutti gli utenti.

Quando l'applicazione richiede l'autorizzazione per accedere a una risorsa, l'utente potrebbe visualizzare una finestra di dialogo Autorizzazioni richiesta in modo simile a questo esempio.

Screenshot della finestra di dialogo Autorizzazioni richieste che descrive le autorizzazioni richieste dall'app con i pulsanti Annulla e Accetta.

Nella finestra di dialogo di esempio precedente, l'utente concede il consenso per consentire all'app di leggere i dati per loro conto selezionando Accetta o nega la richiesta selezionando Annulla. L'applicazione riceve un token di accesso e può continuare i processi dopo che l'utente concede il consenso. Ricordarsi di assicurarsi che l'app sia pronta per gestire correttamente quando non riceve un token.

Per alcune richieste di accesso, solo un amministratore può concedere il consenso. Se l'accesso richiesto è potente o coinvolge risorse i cui proprietari non sono gli utenti correnti, il codice in modo che solo un amministratore possa concedere richieste.

Tuttavia, non si conoscono mai le autorizzazioni che richiedono il consenso dell'amministratore e quali consentono a un utente normale di concedere il consenso perché gli amministratori tenant possono configurare il tenant con Non consentire il consenso utente (tutte le autorizzazioni richiedono il consenso amministratore), come illustrato nella schermata di esempio seguente delle impostazioni di consenso utente nell'interfaccia di amministrazione di Microsoft Entra.

Screenshot dell'interfaccia di amministrazione di Microsoft Entra

Gli amministratori possono anche consentire il consenso utente per le app di autori verificati, per le autorizzazioni selezionate, come illustrato nello screenshot di esempio seguente delle impostazioni di consenso utente nell'interfaccia di amministrazione di Microsoft Entra.

Screenshot dell'interfaccia di amministrazione di Microsoft Entra

Gli amministratori possono quindi aggiungere autorizzazioni a cui gli utenti possono fornire il consenso, come illustrato nello screenshot di esempio seguente delle classificazioni delle autorizzazioni nell'interfaccia di amministrazione di Microsoft Entra.

Screenshot dell'interfaccia di amministrazione di Microsoft Entra che configura le classificazioni delle autorizzazioni che consentono il consenso dell'utente.

Quando l'app richiede un'autorizzazione che richiede il consenso amministratore (per impostazione predefinita o configurazione amministratore), l'utente potrebbe visualizzare una finestra di dialogo Di approvazione dell'amministratore necessaria in modo simile a questo esempio.

Screenshot della finestra di dialogo 'Need admin approval' che descrive il modo in cui gli amministratori concedono le autorizzazioni richieste.

La finestra di dialogo di esempio precedente mostra l'esperienza predefinita (predefinita) per le autorizzazioni che richiedono il consenso dell'amministratore. La maggior parte degli utenti non sa cosa fare in questo scenario. Non sanno chi è l'amministratore, non sanno a chi andare per l'approvazione. Questa incertezza può limitare la capacità dell'utente di ottenere i risultati desiderati.

Per migliorare le autorizzazioni e l'esperienza di consenso, l'amministratore tenant può configurare il flusso di lavoro di consenso amministratore, come illustrato nello screenshot di esempio seguente delle impostazioni utente nell'interfaccia di amministrazione di Microsoft Entra.

Screenshot dell'interfaccia di amministrazione di Microsoft Entra

In Richieste di consenso amministratore, l'amministratore del tenant può migliorare l'esperienza di autorizzazione e consenso dell'utente selezionando in Gli utenti possono richiedere il consenso amministratore alle app a cui non è possibile fornire il consenso e configurare altre impostazioni delle richieste di consenso amministratore.

Dopo che l'amministratore del tenant seleziona in Gli utenti possono richiedere il consenso dell'amministratore alle app a cui non è possibile fornire il consenso e un'applicazione richiede un'autorizzazione che richiede il consenso amministratore, l'utente visualizza qualcosa di simile alla finestra di dialogo Approvazione richiesta seguente che offre un'esperienza utente migliore.

Screenshot della finestra di dialogo

Nella finestra di dialogo di esempio precedente l'utente può immettere la giustificazione per richiedere l'app prima di selezionare Richiedi approvazione. La richiesta di approvazione immette quindi una coda di richieste di consenso amministratore in cui gli amministratori hanno opzioni per esaminare, accettare o vietare le applicazioni nell'organizzazione in base al profilo di rischio.

Quando un amministratore esegue un'applicazione che richiede il consenso amministratore senza configurare il consenso nell'interfaccia di amministrazione di Microsoft Entra, l'utente amministratore visualizza una finestra di dialogo Autorizzazioni richieste in modo simile all'esempio seguente.

Screenshot della finestra di dialogo

Nell'esempio precedente, l'amministratore visualizza una descrizione delle autorizzazioni richieste dall'applicazione. L'amministratore può selezionare Accetta per eseguire singolarmente l'applicazione oppure selezionare Consenso per conto dell'organizzazione prima di selezionare Accetta. Dopo che l'amministratore concede il consenso per l'organizzazione, nessun utente dell'organizzazione futura deve concedere l'autorizzazione per questa applicazione, a meno che un amministratore non rimuovono il consenso dalla configurazione delle richieste di consenso amministratore tenant.

Un altro metodo di consenso dell'amministratore tenant è l'interfaccia di amministrazione di Microsoft Entra Autorizzazioni in cui gli amministratori possono esaminare i dettagli delle autorizzazioni dell'app richieste in precedenza.

Screenshot dell'interfaccia di amministrazione di Microsoft Entra 'Permissions' che mostra i dettagli delle richieste di applicazioni esistenti.

Nell'esempio di consenso utente precedente, l'amministratore può esaminare le autorizzazioni concesse per l'app insieme a informazioni su attestazioni, tipo di autorizzazione e chi ha fornito il consenso. L'amministratore può selezionare Consenso amministratore per esaminare le autorizzazioni concesse che richiedono il consenso amministratore.

La strategia migliore per le autorizzazioni dell'applicazione consiste nel dichiarare in anticipo tutte le autorizzazioni che potrebbero essere necessarie o richiedere all'app quando si registra l'app. Non è necessario richiedere tutte le autorizzazioni contemporaneamente, ma, dopo aver dichiarato tutte le autorizzazioni necessarie per l'app, gli amministratori possono selezionare Concedi il consenso amministratore per nella configurazione dell'app nel tenant per visualizzare una finestra di dialogo simile a questo esempio.

Screenshot della finestra di dialogo

L'esempio precedente mostra come l'amministratore può preconsenti alle autorizzazioni dichiarate e offrire l'esperienza migliore per gli utenti e gli amministratori tenant.

Richiedere il consenso dell'amministratore in anticipo è un'ottima scelta per le app line-of-business(LOB), in particolare le app sviluppate dall'organizzazione. È più facile non dover chiedere all'utente se l'azienda può accedere ai dati aziendali preconsentando tali applicazioni. Si effettua la richiesta di consenso amministratore come parte del processo di registrazione dell'app.

Passaggi successivi

  • Acquisire l'autorizzazione per accedere alle risorse consente di comprendere come garantire al meglio Zero Trust durante l'acquisizione delle autorizzazioni di accesso alle risorse per l'applicazione.
  • Protezione API descrive le procedure consigliate per proteggere l'API tramite la registrazione, la definizione di autorizzazioni e il consenso e l'applicazione dell'accesso per raggiungere gli obiettivi zero trust.
  • Le procedure consigliate per l'autorizzazione consentono di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.
  • Personalizzare i token descrive le informazioni che è possibile ricevere nei token di Microsoft Entra. Spiega come personalizzare i token per migliorare la flessibilità e il controllo aumentando al contempo la sicurezza senza attendibilità delle applicazioni con privilegi minimi.
  • Panoramica delle autorizzazioni e del consenso in Microsoft Identity Platform consente di comprendere i concetti fondamentali dell'accesso e dell'autorizzazione.
  • Panoramica del consenso e delle autorizzazioni consente di apprendere concetti e scenari fondamentali relativi al consenso e alle autorizzazioni in Microsoft Entra ID.
  • Modulo Learn: le autorizzazioni e il framework di consenso consentono di apprendere le autorizzazioni e i modelli del framework di consenso.
  • Learn Live: Microsoft Identity: Autorizzazioni e Framework di consenso consentono di apprendere le nozioni di base dell'identità Microsoft, inclusi token, tipi di account e topologie.