App-rollen toevoegen aan uw toepassing en deze ontvangen in het token

  • Artikel

Op rollen gebaseerd toegangsbeheer (RBAC) is een populair mechanisme voor afdwingen van autorisatie in toepassingen. Met RBAC kunnen de beheerders machtigingen verlenen aan rollen in plaats van aan specifieke gebruikers of groepen. Vervolgens kan de beheerder rollen toewijzen aan verschillende gebruikers en groepen om te bepalen wie toegang heeft tot welke inhoud en functionaliteit.

Door RBAC te gebruiken met de toepassingsrol- en rolclaims, kunnen ontwikkelaars met minder moeite autorisatie in hun apps afdwingen.

Een andere benadering is het gebruik van Microsoft Entra-groepen en groepsclaims, zoals wordt weergegeven in het codevoorbeeld active-directory-aspnetcore-webapp-openidconnect-v2 op GitHub. Microsoft Entra-groepen en toepassingsrollen sluiten elkaar niet wederzijds uit; ze kunnen samen worden gebruikt om nog nauwkeuriger toegangsbeheer te bieden.

De rollen declareren voor een toepassing

U definieert app-rollen met behulp van het Microsoft Entra-beheercentrum tijdens het registratieproces van de app. App-rollen worden gedefinieerd in een toepassingsregistratie die een service, app of API vertegenwoordigt. Wanneer een gebruiker zich aanmeldt bij de toepassing, verzendt Microsoft Entra ID een roles claim voor elke rol waaraan de gebruiker of service-principal is verleend. Dit kan worden gebruikt om autorisatie op basis van claims te implementeren. De app-rollen kunnen worden toegewezen aan een gebruiker of een groep gebruikers. De app-rollen kunnen ook worden toegewezen aan de service-principal voor een andere toepassing of aan de service-principal voor een beheerde identiteit.

Als u momenteel een service-principal aan een groep toevoegt en vervolgens een app-rol toewijst aan die groep, voegt Microsoft Entra-id de roles claim niet toe aan tokens.

App-rollen worden gedeclareerd met behulp van de gebruikersinterface van app-rollen in het Microsoft Entra-beheercentrum:

Het aantal rollen dat u toevoegt, telt mee voor toepassingsmanifestlimieten die worden afgedwongen door Microsoft Entra-id. Zie de sectie Manifestlimieten van microsoft Entra-app-manifestreferenties voor meer informatie over deze limieten.

Gebruikersinterface voor de app-rollen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Een app-rol maken met behulp van de gebruikersinterface van het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om over te schakelen naar de tenant met de app-registratie vanuit het menu Mappen en abonnementen.

  3. Blader naar Identiteitstoepassingen>> App-registraties en selecteer vervolgens de toepassing waarin u app-rollen wilt definiëren.

  4. Selecteer app-rollen onder Beheren en selecteer vervolgens App-rol maken.

    An app registration's app roles pane in the Azure portal

  5. Voer in het deelvenster App-rol maken de instellingen voor deze rol in. In de tabel na de afbeelding worden elke instelling en bijbehorende parameters beschreven.

    An app registration's app roles create context pane in the Azure portal

    Veld Omschrijving Voorbeeld
    Weergavenaam De weergavenaam voor de app-rol die wordt weergegeven in de instellingen voor beheerderstoestemming en app-toewijzing. Die waarde kan spaties bevatten. Survey Writer
    De toegestane ledentypen Dit specificeert of deze app-rol kan worden toegewezen aan gebruikers, toepassingen of beide.

    Wanneer deze beschikbaar zijn voor applications, worden app-rollen weergegeven als toepassingsmachtigingen in de sectie Beheren van de app-registratie.>API-machtigingen > Een machtiging toevoegen > Mijn API's > Een API kiezen > Toepassingsmachtigingen.    		 Users/Groups
    Value Hiermee geeft u de waarde op van de rollenclaim die de toepassing moet verwachten in de token. Deze waarde moet exact overeenkomen met de tekenreeks waarnaar wordt verwezen in de code van de toepassing. Deze waarde mag geen spaties bevatten. Survey.Create
    Beschrijving Een gedetailleerde beschrijving van de app-rol die wordt weergegeven tijdens toewijzen van beheerders-apps en toestemmingservaringen. Writers can create surveys.
    Wilt u deze app-rol inschakelen? Hiermee geeft u op of die app-rol is ingeschakeld. Als u een app-rol wilt verwijderen, dan schakelt u dit selectievakje uit en past u de wijziging toe voordat u de verwijderbewerking uitvoert. Deze instelling bepaalt het gebruik en de beschikbaarheid van de app-rol terwijl deze tijdelijk of permanent kan worden uitgeschakeld zonder deze volledig te verwijderen. Gecontroleerd

  6. Selecteer Toepassen om uw wijzigingen op te slaan.

Wanneer de app-rol is ingesteld op ingeschakeld, worden alle gebruikers, toepassingen of groepen die zijn toegewezen, opgenomen in hun tokens. Dit kunnen toegangstokens zijn wanneer uw app de API is die wordt aangeroepen door een app- of id-tokens wanneer uw app zich aanmeldt bij een gebruiker. Als deze optie is ingesteld op uitgeschakeld, wordt deze inactief en kan deze niet meer worden toegewezen. Eerdere toegewezen personen hebben nog steeds de app-rol opgenomen in hun tokens, maar heeft geen effect omdat deze niet meer actief kan worden toegewezen.

Toepassingseigenaar toewijzen

Als u dit nog niet hebt gedaan, moet u uzelf toewijzen als de eigenaar van de toepassing.

  1. Selecteer In de app-registratie onder Beheren de optie Eigenaren en Eigenaren toevoegen.
  2. Zoek en selecteer in het nieuwe venster de eigenaar(s) die u aan de toepassing wilt toewijzen. Geselecteerde eigenaren worden weergegeven in het rechterdeelvenster. Als u klaar bent, bevestigt u dit met Selecteren. De app-eigenaar(s) wordt nu weergegeven in de lijst met eigenaren.

Notitie

Zorg ervoor dat zowel de API-toepassing als de toepassing die u machtigingen wilt toevoegen aan beide een eigenaar hebben, anders wordt de API niet vermeld bij het aanvragen van API-machtigingen.

De app-rollen toewijzen aan toepassingen

Zodra u app-rollen in uw toepassing hebt toegevoegd, kunt u een app-rol toewijzen aan een client-app met behulp van het Microsoft Entra-beheercentrum of programmatisch met behulp van Microsoft Graph. Dit is niet te verwarren met het toewijzen van rollen aan gebruikers.

Wanneer u de app-rollen toewijst aan een toepassing, maakt u toepassingsmachtigingen. De toepassingsmachtigingen worden doorgaans gebruikt door daemon-apps of back-endservices die geautoriseerde API-aanroep als zichzelf moeten verifiëren en maken, zonder tussenkomst van een gebruiker.

App-rollen toewijzen aan een toepassing met behulp van het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Identiteitstoepassingen>> App-registraties en selecteer vervolgens Alle toepassingen.
  3. Selecteer Alle toepassingen om een lijst met al uw toepassingen weer te geven. Als u de toepassing niet in de lijst ziet staan, gebruikt u de filters bovenaan de lijst Alle toepassingen om de lijst te beperken of schuift u in de lijst omlaag om de toepassing te zoeken.
  4. Selecteer de toepassing waar u een app-rol aan wilt toewijzen.
  5. Selecteer API-machtigingen>Een machtiging toevoegen.
  6. Selecteer het tabblad Mijn API's en selecteer dan de app waarvoor u app-rollen hebt gedefinieerd.
  7. Selecteer onder Machtiging de rollen die u wilt toewijzen.
  8. Selecteer de knop Machtigingen toevoegen als u deze rol(en) toevoegt.

De zojuist toegevoegde rollen moeten worden weergegeven in deelvenster API-machtigingen van uw app-registratie.

Omdat dit toepassingsmachtigingen zijn en geen gedelegeerde machtigingen, moet een beheerder toestemming verlenen voor het gebruik van de toepassingsrollen die aan de toepassing zijn toegewezen.

  1. Selecteer in het deelvenster API-machtigingen van de app-registratie de optie Beheerderstoestemming verlenen voor <de naam van de tenant>.
  2. Selecteer Ja wanneer u wordt gevraagd toestemming te geven voor aangevraagde machtigingen.

De kolom Status moet weerspiegelen dat toestemming is verleend voor <de naam van de tenant>.

Het gebruiksscenario van app-rollen

Als u de bedrijfslogica voor app-rollen implementeert die de gebruikers in uw toepassingsscenario aanmeldt, definieert u eerst de app-rollen in App-registraties. Vervolgens wijst een beheerder deze toe aan de gebruikers en groepen in het deelvenster Bedrijfstoepassingen . Deze toegewezen app-rollen zijn opgenomen in elk token dat is uitgegeven voor uw toepassing.

Als u de bedrijfslogica voor app-rollen implementeert in een app-aanroep-API-scenario, hebt u twee app-registraties. Eén app-registratie is voor de app en de tweede app-registratie is voor de API. In dit geval definieert u de app-rollen en wijst u ze toe aan de gebruiker of groep in de app-registratie van de API. Als de gebruiker zich verifieert met de app en een toegangstoken aanvraagt om de API aan te roepen, wordt een rolclaim opgenomen in het token. De volgende stap bestaat uit het toevoegen van een code aan uw web-API om te controleren op deze rollen wanneer de API wordt aangeroepen.

Raadpleeg Beveiligde web-API: Bereiken en app-rollen verifiëren voor meer informatie over het toevoegen van autorisatie aan uw web-API.

De app-rollen versus groepen

Hoewel u de app-rollen of -groepen kunt gebruiken voor autorisatie, kunnen belangrijke verschillen tussen deze rollen invloed hebben op welke u besluit om te gebruiken voor uw scenario.

De app-rollen Groepen
Ze zijn specifiek voor een toepassing en ze worden gedefinieerd in de app-registratie. Ze verplaatsen zich met de toepassing zelf. Ze zijn niet specifiek voor een app, maar voor een Microsoft Entra-tenant.
De app-rollen worden verwijderd wanneer hun app-registratie wordt verwijderd. De groepen blijven intact, zelfs als de app wordt verwijderd.
Opgegeven in de roles-claim. Opgegeven in groups-claim.

Ontwikkelaars kunnen app-rollen gebruiken om te bepalen of een gebruiker zich kan aanmelden bij een app of dat een app een toegangstoken voor een web-API kan verkrijgen. Als u dit beveiligingsbeheer wilt uitbreiden naar groepen, kunnen ontwikkelaars en beheerders ook beveiligingsgroepen toewijzen aan app-rollen.

Ontwikkelaars geven de voor keur aan app-rollen wanneer ze de autorisatieparameters in hun app zelf willen beschrijven en beheren. Een app die de groepen gebruikt voor autorisatie, wordt bijvoorbeeld onderbroken in de volgende tenant, omdat zowel de groeps-id als de naam anders kunnen zijn. Een app die de app-rollen gebruikt, blijft veilig. In feite is het toewijzen van de groepen aan app-rollen populair bij SaaS-apps om dezelfde redenen als de SaaS-app kan worden ingericht in meerdere tenants.

Gebruikers en groepen toewijzen aan Microsoft Entra-rollen

Zodra u app-rollen in uw toepassing hebt toegevoegd, kunt u gebruikers en groepen toewijzen aan Microsoft Entra-rollen. Toewijzing van gebruikers en groepen aan rollen kan worden uitgevoerd via de gebruikersinterface van de portal of programmatisch met Microsoft Graph. Wanneer de gebruikers die zijn toegewezen aan de verschillende rollen zich aanmelden bij de toepassing, krijgen hun tokens hun toegewezen rollen in de roles claim.

Gebruikers en groepen toewijzen aan rollen met behulp van het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om over te schakelen naar de tenant met de app-registratie vanuit het menu Mappen en abonnementen.
  3. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
  4. Selecteer Alle toepassingen om een lijst met al uw toepassingen weer te geven. Als u de toepassing niet in de lijst ziet staan, gebruikt u de filters bovenaan de lijst Alle toepassingen om de lijst te beperken of schuift u in de lijst omlaag om de toepassing te zoeken.
  5. Selecteer de toepassing waarin u gebruikers of beveiligingsgroepen wilt toewijzen aan rollen.
  6. Selecteer onder Beheren de optie Gebruikers en groepen.
  7. Selecteer Gebruiker toevoegen om het deelvenster Toewijzing toevoegen te openen.
  8. Selecteer in het deelvenster Toewijzing toevoegen de selector Gebruikers en groepen. Er wordt een lijst met gebruikers en beveiligingsgroepen weergegeven. U kunt zoeken naar een bepaalde gebruiker of groep en ook meerdere gebruikers en groepen in de lijst selecteren.
  9. Nadat u gebruikers en groepen hebt geselecteerd, klikt u op de knop Selecteren om door te gaan.
  10. Selecteer Een rol selecteren in het deelvenster Toewijzing toevoegen. Alle rollen die u voor de toepassing hebt gedefinieerd, worden weergegeven.
  11. Kies een rol en klik op de knop Selecteren.
  12. Klik op de knop Toewijzen om het toewijzen van gebruikers en groepen aan de toepassing te voltooien.

Controleer of de gebruikers en groepen die u hebt toegevoegd, worden weergegeven in de lijst Gebruikers en groepen.

Volgende stappen

Meer informatie over de app-rollen met de volgende resources.