Ограничение приложения Microsoft Entra до определенной группы пользователей в клиенте Microsoft Entra
Приложения, зарегистрированные в клиенте Microsoft Entra, по умолчанию доступны всем пользователям клиента, прошедшим проверку подлинности.
Аналогичным образом, в мультитенантном приложении все пользователи в клиенте Microsoft Entra, где приложение подготовлено, могут получить доступ к приложению после успешной проверки подлинности в соответствующем клиенте.
Администраторы клиентов и разработчики часто имеют требования, когда приложение должно быть ограничено определенным набором пользователей или приложений (служб). Существует два способа ограничить приложение определенным набором пользователей, приложений или групп безопасности:
- Разработчики могут использовать популярные шаблоны авторизации, такие как Управление доступом на основе ролей в Azure (Azure RBAC).
- Администраторы клиентов и разработчики могут использовать встроенную функцию идентификатора Microsoft Entra.
Поддерживаемые конфигурации приложения
Возможность ограничить приложение определенным набором пользователей, приложений или групп безопасности в клиенте работает со следующими типами приложений:
- Приложения, настроенные для федеративного единого входа с проверкой подлинности на основе SAML.
- Приложения-прокси приложения, использующие предварительную проверку подлинности Microsoft Entra.
- Приложения, созданные непосредственно на платформе приложений Microsoft Entra, которые используют проверку подлинности OAuth 2.0/OpenID Подключение после того, как пользователь или администратор согласились на это приложение.
Обновление приложения для требования назначения пользователя
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Чтобы обновить приложение, требующее назначения пользователей, необходимо быть владельцем приложения в корпоративных приложениях или быть по крайней мере облачным приложением Администратор istrator.
- Войдите в центр администрирования Microsoft Entra.
- Если у вас есть доступ к нескольким клиентам, используйте фильтр каталогов и подписок в верхнем меню, чтобы переключиться на клиент, содержащий регистрацию приложения из меню каталогов и подписок.
- Перейдите к приложениям Identity>Application>Enterprise, а затем выберите "Все приложения".
- Выберите приложение, для которого нужно настроить требование назначения. Используйте фильтры в верхней части окна, чтобы найти конкретное приложение.
- На странице обзора приложения в разделе Управление выберите Свойства.
- Найдите необходимый параметр назначения? И задайте для него значение "Да". Если для этого параметра задано значение Да, пользователи и службы, которые пытаются получить доступ к приложению или службам, сначала должны быть назначены этому приложению, иначе они не смогут входить в него или получить маркер доступа.
- Нажмите кнопку Сохранить на верхней панели.
Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если в противном случае согласие пользователей для него было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.
Назначение приложения пользователям и группам для ограничения доступа
После того как вы настроили приложение для включения назначения пользователя, вы можете продолжить и назначить приложение пользователям и группам.
В разделе "Управление" выберите "Пользователи" и "Группы ", а затем выберите " Добавить пользователя или группу".
Выберите селектор Пользователи.
Список пользователей и групп безопасности отображается вместе с текстовым полем для поиска и поиска определенного пользователя или группы. На этом экране можно выбрать сразу несколько пользователей и групп.
После выбора пользователей и групп нажмите Выбрать.
(Необязательно) Если в приложении определены роли приложения, можно использовать параметр Выбор роли, чтобы назначить роль приложения выбранным пользователям и группам.
Выберите Назначить, чтобы завершить назначения приложения пользователям и группам.
Убедитесь, что добавленные пользователи и группы отображаются в обновленном списке Пользователи и группы.
Ограничение доступа к приложению (ресурсу) путем назначения других служб (клиентских приложений)
Выполните действия, описанные в этом разделе, чтобы защитить доступ к проверке подлинности приложений для клиента.
- Перейдите к журналам входа субъекта-службы в клиенте, чтобы найти службы проверки подлинности для доступа к ресурсам в клиенте.
- Проверьте использование идентификатора приложения, если субъект-служба существует как для ресурсов, так и для клиентских приложений в клиенте, которым требуется управлять доступом.
Get-MgServicePrincipal ` -Filter "AppId eq '$appId'"
- Создайте субъект-службу с помощью идентификатора приложения, если он не существует:
New-MgServicePrincipal ` -AppId $appId
- Явным образом назначьте клиентские приложения приложениям ресурсов (эта функция доступна только в API, а не в Центре администрирования Microsoft Entra):
$clientAppId = “[guid]” $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id New-MgServicePrincipalAppRoleAssignment ` -ServicePrincipalId $clientId ` -PrincipalId $clientId ` -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id ` -AppRoleId "00000000-0000-0000-0000-000000000000"
- Требовать назначения приложению ресурсов, чтобы ограничить доступ только явным образом назначенным пользователям или службам.
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
Примечание.
Если вы не хотите, чтобы маркеры были выданы для приложения или если вы хотите заблокировать доступ к приложению пользователям или службам в клиенте, создайте субъект-службу для приложения и отключите для него вход пользователя.
Дополнительные сведения
Дополнительные сведения о ролях и группах безопасности см. в следующих статьях:
- Практическое руководство. Добавление ролей в приложение
- August 9: Using application roles and security groups in your apps (Video) (9 августа. Использование ролей приложения и групп безопасности в приложениях (видео))
- Манифест приложения Microsoft Entra
Кері байланыс
https://aka.ms/ContentUserFeedback.
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз:Жіберу және пікірді көру