Środowisko wyrażania zgody dla aplikacji w usłudze Azure Active Directory
Ten artykuł zawiera informacje na temat środowiska użytkownika zgody aplikacji usługi Azure Active Directory (Azure AD). Następnie będziesz mieć możliwość inteligentnego zarządzania aplikacjami dla organizacji i/lub tworzenia aplikacji przy użyciu bardziej bezproblemowego środowiska wyrażania zgody.
Zgoda to proces udzielania autoryzacji aplikacji w celu uzyskania dostępu do chronionych zasobów w ich imieniu. Administrator lub użytkownik może zostać poproszony o zgodę na dostęp do danych organizacji/poszczególnych osób.
Rzeczywiste środowisko użytkownika udzielania zgody będzie się różnić w zależności od zasad ustawionych w dzierżawie użytkownika, zakresie urzędu (lub roli) użytkownika oraz typu uprawnień żądanych przez aplikację kliencą. Oznacza to, że deweloperzy aplikacji i administratorzy dzierżawy mają pewną kontrolę nad środowiskiem wyrażania zgody. Administratorzy mają elastyczność ustawiania i wyłączania zasad w dzierżawie lub aplikacji w celu kontrolowania środowiska wyrażania zgody w swojej dzierżawie. Deweloperzy aplikacji mogą dyktować, jakie typy uprawnień są wymagane i czy chcą kierować użytkowników za pośrednictwem przepływu zgody użytkownika, czy też przepływu zgody administratora.
- Przepływ zgody użytkownika jest, gdy deweloper aplikacji kieruje użytkowników do punktu końcowego autoryzacji z zamiarem rejestrowania zgody tylko dla bieżącego użytkownika.
- Administracja przepływ zgody jest wtedy, gdy deweloper aplikacji kieruje użytkowników do punktu końcowego zgody administratora z zamiarem rejestrowania zgody dla całej dzierżawy. Aby zapewnić prawidłowe działanie przepływu zgody administratora, deweloperzy aplikacji muszą wyświetlić listę wszystkich uprawnień we
RequiredResourceAccesswłaściwości w manifeście aplikacji. Aby uzyskać więcej informacji, zobacz Manifest aplikacji.
Bloki konstrukcyjne monitu o wyrażenie zgody
Monit o wyrażenie zgody ma na celu zapewnienie użytkownikom wystarczającej ilości informacji, aby określić, czy ufają aplikacji klienckiej w celu uzyskania dostępu do chronionych zasobów w ich imieniu. Zrozumienie bloków konstrukcyjnych pomoże użytkownikom wyrażać zgodę na podejmowanie bardziej świadomych decyzji i pomoże deweloperom tworzyć lepsze środowiska użytkownika.
Poniższy diagram i tabela zawierają informacje o blokach konstrukcyjnych monitu o wyrażenie zgody.
| # | Składnik | Przeznaczenie |
|---|---|---|
| 1 | Identyfikator użytkownika | Ten identyfikator reprezentuje użytkownika, którego aplikacja kliencka żąda dostępu do chronionych zasobów w imieniu użytkownika. |
| 2 | Tytuł | Tytuł zmienia się w zależności od tego, czy użytkownicy przechodzą przez przepływ zgody użytkownika, czy administratora. W przepływie zgody użytkownika tytuł będzie miał wartość "Uprawnienia żądane", podczas gdy w przepływie zgody administratora tytuł będzie miał dodatkowy wiersz "Akceptuj dla twojej organizacji". |
| 3 | Logo aplikacji | Ten obraz powinien ułatwić użytkownikom uzyskanie wizualnego sygnału, czy ta aplikacja jest aplikacją, do której mają uzyskiwać dostęp. Ten obraz jest dostarczany przez deweloperów aplikacji, a własność tego obrazu nie jest weryfikowana. |
| 4 | Nazwa aplikacji | Ta wartość powinna informować użytkowników, którzy aplikacja żąda dostępu do swoich danych. Pamiętaj, że ta nazwa jest udostępniana przez deweloperów, a własność tej nazwy aplikacji nie jest weryfikowana. |
| 5 | Nazwa i weryfikacja wydawcy | Niebieski wskaźnik "zweryfikowany" oznacza, że wydawca aplikacji zweryfikował swoją tożsamość przy użyciu konta microsoft Partner Network i zakończył proces weryfikacji. Jeśli aplikacja zostanie zweryfikowana przez wydawcę, zostanie wyświetlona nazwa wydawcy. Jeśli aplikacja nie jest zweryfikowana przez wydawcę, zostanie wyświetlona wartość "Niezweryfikowane" zamiast nazwy wydawcy. Aby uzyskać więcej informacji, przeczytaj o weryfikacji wydawcy. Wybranie nazwy wydawcy powoduje wyświetlenie dodatkowych informacji o aplikacji jako dostępnych, takich jak nazwa wydawcy, domena wydawcy, data utworzenia, szczegóły certyfikacji i adresy URL odpowiedzi. |
| 6 | Certyfikacja platformy Microsoft 365 | Logo certyfikacji platformy Microsoft 365 oznacza, że aplikacja została zweryfikowana przed mechanizmami kontroli pochodzącymi z wiodących standardowych struktur branżowych oraz że stosowane są silne praktyki zabezpieczeń i zgodności w celu ochrony danych klientów. Aby uzyskać więcej informacji, przeczytaj o certyfikacji platformy Microsoft 365. |
| 7 | Informacje o wydawcy | Wyświetla, czy aplikacja jest publikowana przez firmę Microsoft. |
| 8 | Uprawnienia | Ta lista zawiera uprawnienia żądane przez aplikację kliencą. Użytkownicy powinni zawsze oceniać typy uprawnień, których żądają, aby zrozumieć, jakie dane aplikacja kliencka będzie autoryzowana do uzyskiwania dostępu w ich imieniu, jeśli zaakceptują. Deweloper aplikacji najlepiej zażądać dostępu do uprawnień z najniższymi uprawnieniami. |
| 9 | Opis uprawnień | Ta wartość jest dostarczana przez usługę ujawniając uprawnienia. Aby wyświetlić opisy uprawnień, należy przełączyć cudzysłów ostrokątny obok uprawnienia. |
| 10 | https://myapps.microsoft.com | Jest to link, w którym użytkownicy mogą przeglądać i usuwać wszystkie aplikacje firmy innej niż Microsoft, które mają obecnie dostęp do swoich danych. |
| 11 | Zgłoś go tutaj | Ten link służy do zgłaszania podejrzanej aplikacji, jeśli nie ufasz aplikacji, jeśli uważasz, że aplikacja personifikuje inną aplikację, jeśli uważasz, że aplikacja niewłaściwie używa Twoich danych lub z jakiegoś innego powodu. |
Typowe scenariusze i środowiska zgody
W poniższej sekcji opisano typowe scenariusze i oczekiwane środowisko wyrażania zgody dla każdego z nich.
Aplikacja wymaga uprawnienia, które użytkownik ma prawo przyznać
W tym scenariuszu zgody użytkownik uzyskuje dostęp do aplikacji, która wymaga zestawu uprawnień należącego do zakresu uprawnień użytkownika. Użytkownik jest kierowany do przepływu zgody użytkownika.
Administratorzy zobaczą dodatkową kontrolę w tradycyjnym monicie o zgodę, który umożliwi udzielenie zgody w imieniu całej dzierżawy. Kontrolka będzie domyślnie wyłączona, więc tylko wtedy, gdy administratorzy jawnie zaznaczą to pole będzie wyrażać zgodę w imieniu całej dzierżawy. To pole wyboru będzie widoczne tylko dla roli Administrator globalny, dlatego pole wyboru Cloud Administracja i App Administracja nie będą widoczne.
Użytkownicy zobaczą tradycyjny monit o wyrażenie zgody.
Aplikacja wymaga uprawnienia, którego użytkownik nie ma prawa udzielić
W tym scenariuszu zgody użytkownik uzyskuje dostęp do aplikacji, która wymaga co najmniej jednego uprawnienia spoza zakresu uprawnień użytkownika.
Administratorzy zobaczą dodatkową kontrolę w tradycyjnym monicie o zgodę, który umożliwi im wyrażenie zgody w imieniu całej dzierżawy.
Użytkownicy niebędący administratorami będą mieli zablokowaną możliwość wyrażenia zgody na aplikację i zostanie im wyświetlony monit o dostęp administratora do aplikacji. Jeśli przepływ pracy zgody administratora jest włączony w dzierżawie użytkownika, użytkownicy niebędący administratorami mogą przesłać żądanie zatwierdzenia przez administratora z poziomu monitu o wyrażenie zgody. Aby uzyskać więcej informacji na temat przepływu pracy zgody administratora, zobacz przepływ pracy zgody Administracja.
Użytkownik jest kierowany do przepływu zgody administratora
W tym scenariuszu zgody użytkownik przechodzi do przepływu zgody administratora lub jest kierowany do przepływu zgody administratora.
Administracja użytkownicy zobaczą monit o zgodę administratora. Tytuł i opisy uprawnień zostały zmienione w tym monicie. Zmiany podkreślają fakt, że zaakceptowanie tego monitu spowoduje przyznanie aplikacji dostępu do żądanych danych w imieniu całej dzierżawy.
Użytkownicy niebędący administratorami będą mieli zablokowaną możliwość wyrażenia zgody na aplikację i zostanie im wyświetlony monit o dostęp administratora do aplikacji.
Administracja zgody za pośrednictwem Azure Portal
W tym scenariuszu administrator wyraża zgodę na wszystkie uprawnienia żądane przez aplikację, które mogą obejmować uprawnienia delegowane w imieniu wszystkich użytkowników w dzierżawie. Administrator udziela zgody za pośrednictwem strony uprawnień interfejsu API rejestracji aplikacji w Azure Portal.
Wszyscy użytkownicy w tej dzierżawie nie będą widzieć okna dialogowego zgody, chyba że aplikacja wymaga nowych uprawnień. Aby dowiedzieć się, które role administratora mogą wyrazić zgodę na uprawnienia delegowane, zobacz Uprawnienia roli administratora w Azure AD.
Ważne
Udzielanie jawnej zgody przy użyciu przycisku Udziel uprawnień jest obecnie wymagane w przypadku aplikacji jednostronicowych korzystających z MSAL.js. W przeciwnym przypadku wystąpi błąd aplikacji przy żądaniu tokenu dostępu.
Typowe problemy
W tej sekcji opisano typowe problemy dotyczące środowiska wyrażania zgody i możliwe porady dotyczące rozwiązywania problemów.
Błąd 403
- Czy jest to scenariusz delegowany? Jakie uprawnienia ma użytkownik?
- Czy są dodawane niezbędne uprawnienia do korzystania z punktu końcowego?
- Sprawdź token , aby sprawdzić, czy ma wymagane oświadczenia do wywołania punktu końcowego.
- Na jakie uprawnienia wyrażono zgodę? Kto wyraził zgodę?
Użytkownik nie może wyrazić zgody
- Sprawdź, czy administrator dzierżawy wyłączył zgodę użytkownika dla organizacji
- Sprawdź, czy żądane uprawnienia są uprawnieniami ograniczonymi przez administratora.
Użytkownik jest nadal blokowany nawet po wyrażeniu zgody przez administratora
- Sprawdź, czy uprawnienia statyczne są skonfigurowane do dynamicznego nadzbioru żądanych uprawnień.
- Sprawdź, czy przypisanie użytkownika jest wymagane dla aplikacji.
Rozwiązywanie znanych błędów
Aby uzyskać instrukcje rozwiązywania problemów, zobacz Nieoczekiwany błąd podczas wyrażania zgody na aplikację.
Następne kroki
- Zapoznaj się z omówieniem krok po kroku, w jaki sposób platforma zgody Azure AD implementuje zgodę.
- Aby uzyskać więcej informacji, dowiedz się, jak aplikacja wielodostępna może używać platformy wyrażania zgody do implementowania zgody "użytkownik" i "administrator", obsługując bardziej zaawansowane wzorce aplikacji wielowarstwowych.
- Dowiedz się , jak skonfigurować domenę wydawcy aplikacji.