Tworzenie i konfigurowanie programów do przeglądu dostępu

  • 3 min

Przeglądy dostępu firmy Microsoft Entra to funkcja Zarządzanie tożsamością Microsoft Entra. Przeglądy dostępu pomagają zagwarantować, że odpowiednie tożsamości mają odpowiedni dostęp do odpowiednich zasobów w organizacji. Przeglądy dostępu można zaimplementować programowo przy użyciu interfejsu API przeglądów dostępu w programie Microsoft Graph.

Model danych przeglądów dostępu firmy Microsoft Entra

Funkcja Przeglądy dostępu firmy Microsoft Entra dodaje następujące typy zasobów:

Typ zasobu Opis
accessReview Kontener reprezentuje przegląd dostępu. Może być jednorazowym przeglądem, cyklem przeglądu lub wystąpieniem cyklicznego przeglądu.
businessFlowTemplate Szablon dla przepływu biznesowego określa typ zasobu, na którym ma zostać wykonany przegląd dostępu. Identyfikator szablonu, taki jak przeglądanie członków gości grupy, jest dostarczany przez obiekt wywołujący podczas tworzenia przeglądu dostępu. (Obiekty szablonu przepływu biznesowego są tylko do odczytu, są generowane automatycznie, gdy administrator globalny dołącza dzierżawę do korzystania z funkcji przeglądów dostępu. Nie można tworzyć żadnych innych szablonów przepływów biznesowych).
program reprezentuje program przeglądu dostępu firmy Microsoft Entra. Program to kontener, który przechowuje kontrolki programu. Dzierżawa może mieć co najmniej jeden program. Każda kontrola łączy przegląd dostępu do programu, aby ułatwić lokalizowanie powiązanych przeglądów dostępu. Każda dzierżawa, która dołączyła przeglądy dostępu firmy Microsoft Entra, ma jeden program. Default program Administrator globalny może utworzyć inne programy, na przykład w celu reprezentowania inicjatyw dotyczących zgodności.
programControl reprezentuje kontrolkę, która łączy przegląd dostępu do określonego programu
programControlType typ kontrolki programu jest używany podczas kojarzenia kontrolki z programem, aby wskazać typ kontroli dostępu, dla którego jest włączona kontrola. (Obiekty typu kontrolki programu są tylko do odczytu, są generowane automatycznie, gdy administrator globalny dołącza dzierżawę do korzystania z funkcji przeglądów dostępu. Nie można utworzyć żadnych innych typów kontrolek programu).

Rejestrowanie aplikacji Microsoft Entra ID, która ma uprawnienia do wywoływania interfejsu API przeglądów dostępu w programie Graph

Model autoryzacji programu Graph wymaga zgody użytkownika lub administratora aplikacji przed uzyskaniem dostępu do danych organizacji.

  1. Otwórz witrynę Azure Portal jako administrator globalny.

  2. Przejdź do rozszerzenia Microsoft Entra ID i wybierz pozycję Rejestracje aplikacji w sekcji Zarządzanie, aby przejść do strony rejestru aplikacji

  3. Wybierz przycisk Rejestracja nowej aplikacji w górnej części strony.

  4. Podaj nazwę aplikacji, która różni się od dowolnej innej aplikacji w katalogu dzierżawy (na przykład = graphsample).

  5. Zmień typ aplikacji na Natywny i podaj następujący identyfikator URI przekierowania: urn:ietf:wg:oauth:2.0:oob

  6. Wybierz pozycję "Utwórz".

  7. Po zarejestrowaniu aplikacji skopiuj wartość Identyfikator aplikacji i zapisz ją później.

  8. Wybierz pozycję Ustawienia, a następnie wybierz pozycję Wymagane uprawnienia.

  9. Wybierz pozycję Dodaj. Wybierz pozycję Wybierz interfejs API, wybierz pozycję Microsoft Graph, a następnie wybierz pozycję Wybierz.

  10. Microsoft Entra access-reviews używa następujących delegowanych uprawnień:

    • Odczytywanie wszystkich przeglądów dostępu, które mogą uzyskiwać dostęp
    • Zarządzanie wszystkimi przeglądami dostępu, do których użytkownik może uzyskać dostęp
    • Odczytywanie wszystkich programów, do których użytkownik może uzyskać dostęp
    • Zarządzaj wszystkimi programami, do których użytkownik może uzyskiwać dostęp. Ta przykładowa aplikacja wymaga tylko uprawnień: Odczyt wszystkich przeglądów dostępu, do których użytkownik może uzyskać dostęp , i Odczyt wszystkich programów, do których użytkownik może uzyskać dostęp

  11. Zaznacz pole wyboru według tych dwóch uprawnień, a następnie wybierz pozycję Wybierz.

  12. Wybierz pozycję "Gotowe".

Bloki konstrukcyjne interfejsu API przeglądu dostępu

Interfejs API przeglądów dostępu jest ustrukturyzowany logicznie i składa się z poniższych bloków konstrukcyjnych.

  1. Definicja harmonogramu przeglądów dostępu

    • Jest to strategia logiczna zawierająca ustawienia przeglądu dostępu i jego wystąpień. Do tych ustawień należą:

      • Zasoby, do których uzyskuje się dostęp.
      • Podmioty zabezpieczeń, które uzyskują dostęp do zasobu.
      • Recenzenci, którzy potwierdzają potrzebę, aby podmioty zabezpieczeń utrzymywały dostęp do zasobów.
      • Częstotliwość przeglądu dostępu.
      • Etapy przeglądu dostępu (w przypadku przeglądu dostępu wieloetapowego).

  2. Wystąpienie przeglądu dostępu

    • Reprezentuje jedno działanie przeglądu lub wystąpienie, względem którego recenzenci podejmują decyzje. Definicja przeglądu dostępu może mieć wiele wystąpień, tak jak w przypadku cyklicznych przeglądów. Przeglądy jednorazowe mają dokładnie jedno wystąpienie. W przypadku przeglądu dostępu wieloetapowego każde wystąpienie zawiera maksymalnie trzy etapy.

  3. Element decyzji zarejestrowany do przeglądu

    • Reprezentuje decyzję, którą recenzent podjął w wystąpieniu, w tym sygnaturę czasową i uzasadnienie decyzji. Każde wystąpienie przeglądu ma tyle decyzji, ile podmiotów zabezpieczeń jest przeglądanych. Jeśli nie podjęto żadnych decyzji, to znaczy, recenzenci nie odpowiedzieli na recenzję, nie będzie żadnych obiektów decyzyjnych dla tego wystąpienia.