Omówienie kontroli dostępu opartej na rolach w programie Azure Active Directory

W tym artykule opisano sposób zrozumienia kontroli dostępu opartej na rolach w usłudze Azure Active Directory (Azure AD). Azure AD role umożliwiają przyznawanie administratorom szczegółowych uprawnień, przestrzegając zasady najniższych uprawnień. Azure AD wbudowane i niestandardowe role działają na pojęciach podobnych do tych, które można znaleźć w systemie kontroli dostępu opartej na rolach dla zasobów platformy Azure (role platformy Azure). Różnica między tymi dwoma systemami kontroli dostępu na podstawie ról jest:

  • Azure AD role kontrolują dostęp do zasobów Azure AD, takich jak użytkownicy, grupy i aplikacje przy użyciu Microsoft interfejs Graph API
  • Role platformy Azure kontrolują dostęp do zasobów platformy Azure, takich jak maszyny wirtualne lub magazyn przy użyciu usługi Azure Resource Management

Oba systemy zawierają podobnie używane definicje ról i przypisania ról. Jednak Azure AD uprawnienia roli nie mogą być używane w rolach niestandardowych platformy Azure i na odwrót.

Omówienie kontroli dostępu opartej na rolach Azure AD

Azure AD obsługuje 2 typy definicji ról:

Wbudowane role to wbudowane role, które mają stały zestaw uprawnień. Nie można modyfikować tych definicji ról. Istnieje wiele wbudowanych ról, które Azure AD obsługuje, a lista rośnie. Aby zaokrąglić krawędzie i spełnić zaawansowane wymagania, Azure AD obsługuje również role niestandardowe. Udzielanie uprawnień przy użyciu ról niestandardowych usługi Azure AD jest procesem dwuetapowym obejmującym utworzenie niestandardowej definicji roli, a następnie przypisanie jej przy użyciu przypisania roli. Definicja roli niestandardowej to kolekcja uprawnień dodawanych z listy ustawień wstępnych. Są to te same uprawnienia, które są używane w rolach wbudowanych.

Po utworzeniu definicji roli niestandardowej (lub w razie używania roli wbudowanej) możesz przypisać ją do użytkownika, tworząc przypisanie roli. Przypisanie roli powoduje udzielenie użytkownikowi uprawnień z definicji roli w określonym zakresie. Ten dwuetapowy proces umożliwia utworzenie pojedynczej definicji roli i przypisanie jej wiele razy w różnych zakresach. Zakres definiuje zestaw zasobów usługi Azure AD, do których członek roli ma dostęp. Najczęstszym zakresem jest zakres obejmujący całą organizację (w całej organizacji). Rolę niestandardową można przypisać w zakresie obejmującym całą organizację, co oznacza, że członek roli ma uprawnienia roli do wszystkich zasobów w organizacji. Rolę niestandardową można również przypisać w zakresie obiektu. Przykładem zakresu obiektu jest pojedyncza aplikacja. Tę samą rolę można przypisać do jednego użytkownika we wszystkich aplikacjach w organizacji, a następnie do innego użytkownika z zakresem tylko dla aplikacji Contoso Expense Reports.

Jak Azure AD określa, czy użytkownik ma dostęp do zasobu

Poniżej przedstawiono ogólne kroki, których Azure AD używać do określenia, czy masz dostęp do zasobu zarządzania. Skorzystaj z tych informacji, aby rozwiązać problemy z dostępem.

  1. Użytkownik (lub jednostka usługi) uzyskuje token do punktu końcowego programu Microsoft Graph.
  2. Użytkownik wykonuje wywołanie interfejsu API do usługi Azure Active Directory (Azure AD) za pośrednictwem usługi Microsoft Graph przy użyciu wystawionego tokenu.
  3. W zależności od okoliczności Azure AD podejmuje jedną z następujących czynności:
    • Ocenia członkostwo użytkownika w rolach na podstawie oświadczenia wids w tokenie dostępu użytkownika.
    • Pobiera wszystkie przypisania ról, które mają zastosowanie do użytkownika, bezpośrednio lub za pośrednictwem członkostwa w grupie, do zasobu, na którym jest wykonywana akcja.
  4. Azure AD określa, czy akcja wywołania interfejsu API jest uwzględniona w rolach, które użytkownik ma dla tego zasobu.
  5. Jeśli użytkownik nie ma roli z akcją w żądanym zakresie, dostęp nie zostanie udzielony. Jeśli nie, dostęp jest udzielany.

Przypisanie roli

Przypisanie roli to zasób Azure AD, który dołącza definicję roli do podmiotu zabezpieczeń w określonym zakresie w celu udzielenia dostępu do Azure AD zasobów. Udzielenie dostępu polega na utworzeniu przypisania roli, a odwołanie dostępu — na usunięciu przypisania roli. Na jej podstawie przypisanie roli składa się z trzech elementów:

  • Podmiot zabezpieczeń — tożsamość, która uzyskuje uprawnienia. Może to być użytkownik, grupa lub jednostka usługi.
  • Definicja roli — kolekcja uprawnień.
  • Zakres — sposób ograniczenia, w którym mają zastosowanie te uprawnienia.

Przypisania ról i listę przypisań ról można tworzyć przy użyciu Azure Portal, Azure AD programu PowerShell lub Microsoft interfejs Graph API. Interfejs wiersza polecenia platformy Azure nie jest obsługiwany w przypadku przypisań ról Azure AD.

Na poniższym diagramie przedstawiono przykład przypisania roli. W tym przykładzie Chris został przypisany do roli niestandardowej Administrator rejestracji aplikacji w zakresie rejestracji aplikacji Contoso Widget Builder. Przypisanie przyznaje Chrisowi uprawnienia roli Administrator rejestracji aplikacji tylko dla tej konkretnej rejestracji aplikacji.

Przypisanie roli to sposób wymuszania uprawnień i ma trzy części.

Podmiot zabezpieczeń

Podmiot zabezpieczeń reprezentuje użytkownika, grupę lub jednostkę usługi, która ma przypisany dostęp do Azure AD zasobów. Użytkownik to osoba, która ma profil użytkownika w usłudze Azure Active Directory. Grupa jest nową Microsoft 365 lub grupą zabezpieczeń z właściwością isAssignableToRole ustawioną na wartość true (obecnie w wersji zapoznawczej). Jednostka usługi to tożsamość utworzona do użycia z aplikacjami, hostowanymi usługami i zautomatyzowanymi narzędziami w celu uzyskiwania dostępu do zasobów Azure AD.

Definicja roli

Definicja roli lub rola to kolekcja uprawnień. Definicja roli zawiera listę operacji, które można wykonywać na Azure AD zasobów, takich jak tworzenie, odczytywanie, aktualizowanie i usuwanie. Istnieją dwa typy ról w Azure AD:

  • Wbudowane role utworzone przez Microsoft, których nie można zmienić.
  • Role niestandardowe utworzone i zarządzane przez organizację.

Zakres

Zakres to sposób ograniczenia dozwolonych akcji do określonego zestawu zasobów w ramach przypisania roli. Jeśli na przykład chcesz przypisać rolę niestandardową do dewelopera, ale tylko do zarządzania określoną rejestracją aplikacji, możesz uwzględnić rejestrację określonej aplikacji jako zakres w przypisaniu roli.

Podczas przypisywania roli należy określić jeden z następujących typów zakresu:

Jeśli określisz zasób Azure AD jako zakres, może to być jeden z następujących elementów:

  • Grupy usługi Azure AD
  • Aplikacje dla przedsiębiorstw
  • Rejestracje aplikacji

Aby uzyskać więcej informacji, zobacz Przypisywanie ról Azure AD w różnych zakresach.

Wymagania licencyjne

Korzystanie z wbudowanych ról w Azure AD jest bezpłatne, a role niestandardowe wymagają licencji Azure AD — wersja Premium P1. Aby znaleźć odpowiednią licencję na twoje wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.

Następne kroki