Udostępnij za pośrednictwem

Korzystanie z kontroli dostępu opartej na rolach dla aplikacji

  • Artykuł

Dotyczy:Biały okrąg z szarym symbolem X. Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Zielony okrąg z białym symbolem znacznika wyboru. (dowiedz się więcej)

Kontrola dostępu oparta na rolach (RBAC) to popularny mechanizm wymuszania autoryzacji w aplikacjach. Gdy organizacja używa kontroli dostępu opartej na rolach, deweloper aplikacji definiuje role dla aplikacji. Administrator może następnie przypisywać role do różnych użytkowników i grup, aby kontrolować, kto ma dostęp do zawartości i funkcji w aplikacji.

Aplikacje zazwyczaj otrzymują informacje o roli użytkownika jako oświadczenia w tokenie zabezpieczającym. Deweloperzy mają elastyczność zapewniania własnej implementacji, w jaki sposób oświadczenia ról mają być interpretowane jako uprawnienia aplikacji. Ta interpretacja uprawnień może obejmować używanie oprogramowania pośredniczącego lub innych opcji udostępnianych przez platformę aplikacji lub powiązanych bibliotek.

Role aplikacji

Tożsamość zewnętrzna Microsoft Entra umożliwia definiowanie ról aplikacji dla aplikacji i przypisywanie tych ról do użytkowników i grup. Role przypisywane do użytkownika lub grupy definiują ich poziom dostępu do zasobów i operacji w aplikacji.

Gdy Tożsamość zewnętrzna Microsoft Entra wystawia token zabezpieczający dla uwierzytelnionego użytkownika, zawiera nazwy ról przypisanych do użytkownika lub grupy w oświadczeniach ról tokenu zabezpieczającego. Aplikacja, która odbiera ten token zabezpieczający w żądaniu, może następnie podejmować decyzje dotyczące autoryzacji na podstawie wartości w oświadczeniach ról.

Napiwek

Wypróbuj teraz

Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "Kontrola dostępu oparta na rolach".

Grupy

Deweloperzy mogą również używać grup zabezpieczeń do implementowania kontroli dostępu opartej na rolach w swoich aplikacjach, gdzie członkostwo użytkownika w określonych grupach jest interpretowane jako ich członkostwo w rolach. Gdy organizacja używa grup zabezpieczeń, oświadczenie grup jest uwzględniane w tokenie. Oświadczenie grup określa identyfikatory wszystkich grup, do których użytkownik jest przypisany w bieżącej dzierżawie zewnętrznej.

Napiwek

Wypróbuj teraz

Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "Kontrola dostępu oparta na grupach".

Role aplikacji a grupy

Chociaż możesz użyć ról aplikacji lub grup do autoryzacji, kluczowe różnice między nimi mogą mieć wpływ na to, które zdecydujesz się użyć w danym scenariuszu.

Role aplikacji Grupy
Są one specyficzne dla aplikacji i są zdefiniowane w rejestracji aplikacji. Nie są one specyficzne dla aplikacji, ale dla dzierżawy zewnętrznej.
Nie można udostępniać ich w aplikacjach. Może być używany w wielu aplikacjach.
Role aplikacji są usuwane po usunięciu rejestracji aplikacji. Grupy pozostają nienaruszone, nawet jeśli aplikacja zostanie usunięta.
Podane w oświadczeniu roles . Podane w groups oświadczeniu.

Tworzenie grupy zabezpieczeń

Grupy zabezpieczeń zarządzają dostępem użytkowników i komputerów do zasobów udostępnionych. Możesz utworzyć grupę zabezpieczeń, aby wszyscy członkowie grupy mieli ten sam zestaw uprawnień zabezpieczeń.

Aby utworzyć grupę zabezpieczeń, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  4. Wybierz pozycję Nowa grupa.
  5. W obszarze Lista rozwijana Typ grupy wybierz pozycję Zabezpieczenia.
  6. Wprowadź nazwę grupy zabezpieczeń, taką jak Contoso_App_Administrators.
  7. Wprowadź opis grupy zabezpieczeń, na przykład Administrator zabezpieczeń aplikacji Firmy Contoso.
  8. Wybierz pozycję Utwórz.

Nowa grupa zabezpieczeń zostanie wyświetlona na liście Wszystkie grupy . Jeśli nie widzisz go natychmiast, odśwież stronę.

Tożsamość zewnętrzna Microsoft Entra może zawierać informacje o członkostwie w grupach użytkownika w tokenach do użycia w aplikacjach. Dowiesz się, jak dodać oświadczenie grupy do tokenów w sekcji Przypisywanie użytkowników i grup do ról .

Deklarowanie ról dla aplikacji

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.

  3. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  4. Wybierz aplikację, w której chcesz zdefiniować role aplikacji.

  5. Wybierz pozycję Role aplikacji, a następnie Utwórz rolę aplikacji.

  6. W okienku Tworzenie roli aplikacji wprowadź ustawienia roli. W poniższej tabeli opisano każde ustawienie i jego parametry.

    Pole opis Przykład
    Nazwa wyświetlana Nazwa wyświetlana roli aplikacji, która jest wyświetlana w środowiskach przypisywania aplikacji. Ta wartość może zawierać spacje. Orders manager
    Dozwolone typy składowych Określa, czy tę rolę aplikacji można przypisać do użytkowników, aplikacji, czy obu tych ról. Users/Groups
    Wartość Określa wartość oświadczenia ról, że aplikacja powinna oczekiwać w tokenie. Wartość powinna być dokładnie zgodna z ciągiem, do których odwołuje się kod aplikacji. Wartość nie może zawierać spacji. Orders.Manager
    Opis Bardziej szczegółowy opis roli aplikacji wyświetlany podczas środowisk przypisywania aplikacji administratora. Manage online orders.
    Czy chcesz włączyć tę rolę aplikacji? Określa, czy rola aplikacji jest włączona. Aby usunąć rolę aplikacji, usuń zaznaczenie tego pola wyboru i zastosuj zmianę przed podjęciem próby wykonania operacji usuwania. Sprawdzane

  7. Wybierz pozycję Zastosuj , aby utworzyć rolę aplikacji.

Przypisywanie użytkowników i grup do ról

Po dodaniu ról aplikacji w aplikacji administrator może przypisywać użytkowników i grupy do ról. Przypisywanie użytkowników i grup do ról można wykonać za pośrednictwem centrum administracyjnego lub programowo przy użyciu programu Microsoft Graph. Gdy użytkownicy przypisani do różnych ról aplikacji logują się do aplikacji, ich tokeny mają przypisane role w oświadczeniu roles .

Aby przypisać użytkowników i grupy do ról aplikacji przy użyciu witryny Azure Portal:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  4. Wybierz pozycję Wszystkie aplikacje, aby wyświetlić listę wszystkich aplikacji. Jeśli aplikacja nie jest wyświetlana na liście, użyj filtrów w górnej części listy Wszystkie aplikacje, aby ograniczyć listę, lub przewiń listę w dół, aby znaleźć aplikację.
  5. Wybierz aplikację, w której chcesz przypisać użytkowników lub grupę zabezpieczeń do ról.
  6. W obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy.
  7. Wybierz pozycję Dodaj użytkownika, aby otworzyć okienko Dodawanie przypisania.
  8. W okienku Dodawanie przypisania wybierz pozycję Użytkownicy i grupy. Zostanie wyświetlona lista użytkowników i grup zabezpieczeń. Możesz wybrać wielu użytkowników i grupy na liście.
  9. Po wybraniu użytkowników i grup wybierz pozycję Wybierz.
  10. W okienku Dodawanie przypisania wybierz pozycję Wybierz rolę. Pojawią się wszystkie role zdefiniowane dla aplikacji.
  11. Wybierz rolę, a następnie wybierz pozycję Wybierz.
  12. Wybierz pozycję Przypisz , aby zakończyć przypisywanie użytkowników i grup do aplikacji.
  13. Upewnij się, że dodani użytkownicy i grupy są wyświetlane na liście Użytkownicy i grupy .

Aby przetestować aplikację, wyloguj się i zaloguj ponownie przy użyciu przypisanego użytkownika. Sprawdź token zabezpieczający, aby upewnić się, że zawiera on rolę użytkownika.

Dodawanie oświadczeń grupy do tokenów zabezpieczających

Aby emitować oświadczenia członkostwa w grupach w tokenach zabezpieczających, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
  4. Wybierz aplikację, w której chcesz dodać oświadczenie grup.
  5. W obszarze Zarządzanie wybierz pozycję Konfiguracja tokenu.
  6. Wybierz pozycję Dodaj oświadczenie grup.
  7. Wybierz typy grup do uwzględnienia w tokenach zabezpieczających.
  8. W obszarze Dostosowywanie właściwości tokenu według typu wybierz pozycję Identyfikator grupy.
  9. Wybierz pozycję Dodaj , aby dodać oświadczenie grup.

Dodawanie członków do grupy

Po dodaniu oświadczenia grup aplikacji w aplikacji dodaj użytkowników do grup zabezpieczeń. Jeśli nie masz grupy zabezpieczeń, utwórz grupę zabezpieczeń.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  4. Wybierz grupę, którą chcesz zarządzać.
  5. Wybierz pozycję Członkowie.
  6. Wybierz opcję + Dodaj członków.
  7. Przewiń listę lub wprowadź nazwę w polu wyszukiwania. Możesz wybrać wiele nazw. Gdy wszystko będzie gotowe, wybierz pozycję Wybierz.
  8. Strona Przegląd grupy zostanie zaktualizowana i będzie wyświetlać liczbę członków dodanych teraz do grupy.

Aby przetestować aplikację, wyloguj się, a następnie zaloguj się ponownie przy użyciu użytkownika dodanego do grupy zabezpieczeń. Sprawdź token zabezpieczający, aby upewnić się, że zawiera członkostwo w grupie użytkownika.

Obsługa grup i ról aplikacji

Dzierżawa zewnętrzna jest zgodna z modelem zarządzania użytkownikami i grupami firmy Microsoft oraz przypisaniem aplikacji. Wiele podstawowych funkcji firmy Microsoft Entra jest wdrażanych w dzierżawach zewnętrznych.

W poniższej tabeli przedstawiono, które funkcje są obecnie dostępne.

Funkcja Obecnie jest dostępny?
Tworzenie roli aplikacji dla zasobu Tak, modyfikując manifest aplikacji
Przypisywanie roli aplikacji do użytkowników Tak
Przypisywanie roli aplikacji do grup Tak, tylko za pośrednictwem programu Microsoft Graph
Przypisywanie roli aplikacji do aplikacji Tak, za pośrednictwem uprawnień aplikacji
Przypisywanie użytkownika do roli aplikacji Tak
Przypisywanie aplikacji do roli aplikacji (uprawnienia aplikacji) Tak
Dodawanie grupy do jednostki usługi/aplikacji (oświadczenia grup) Tak, tylko za pośrednictwem programu Microsoft Graph
Tworzenie/aktualizowanie/usuwanie klienta (użytkownika lokalnego) za pośrednictwem centrum administracyjnego firmy Microsoft Entra Tak
Resetowanie hasła dla klienta (użytkownika lokalnego) za pośrednictwem centrum administracyjnego firmy Microsoft Entra Tak
Tworzenie/aktualizowanie/usuwanie klienta (użytkownika lokalnego) za pośrednictwem programu Microsoft Graph Tak
Resetowanie hasła dla klienta (użytkownika lokalnego) za pośrednictwem programu Microsoft Graph Tak, tylko wtedy, gdy jednostka usługi zostanie dodana do roli Administratora globalnego
Tworzenie/aktualizowanie/usuwanie grupy zabezpieczeń za pośrednictwem centrum administracyjnego firmy Microsoft Entra Tak
Tworzenie/aktualizowanie/usuwanie grupy zabezpieczeń za pośrednictwem interfejsu API programu Microsoft Graph Tak
Zmienianie członków grupy zabezpieczeń przy użyciu centrum administracyjnego firmy Microsoft Entra Tak
Zmienianie członków grupy zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph Tak
Skalowanie do 50 000 użytkowników i 50 000 grup Obecnie niedostępne
Dodaj 50 000 użytkowników do co najmniej dwóch grup Obecnie niedostępne

Następne kroki