Tworzenie ról aplikacji

Ukończone

Rola aplikacji to inna funkcja, którą można skonfigurować podczas rejestracji aplikacji. Rola aplikacji to tag lub oświadczenie, które można zastosować do użytkownika, grupy lub aplikacji, która będzie wyświetlana przy użyciu tokenu wygenerowanego podczas uwierzytelniania użytkownika dla aplikacji. Dane roli aplikacji w tokenie mogą być następnie używane w aplikacji do celów autoryzacji. Rola aplikacji to inny sposób obejścia użycia grup przypisanych do aplikacji, ponieważ jest to funkcja Microsoft Entra ID P1. Aby korzystać z tej funkcji, administrator w aplikacji definiuje role aplikacji, które zezwalają użytkownikom i grupom na typy członków. Jak pokazano na poniższym ekranie Rejestracje aplikacji — Role aplikacji — Tworzenie roli aplikacji, wybierz pozycję Użytkownicy/grupy dla dozwolonych typów elementów członkowskich.

Screenshot of create app roles in app registration of Microsoft Entra ID.

Po utworzeniu roli aplikacji w rejestracji aplikacji specjalista IT może przypisać użytkowników i grupy do roli. Aplikacja uzyska oświadczenie ról w tokenie (token identyfikatora aplikacji, token dostępu dla interfejsów API) ze wszystkimi przypisanymi rolami zalogowanego użytkownika, jak pokazano w poniższym przykładzie tokenu.

"iss": "https://login.microsoftonline.com/833ced3d-cb2e-41de-92f1-29e2af035ddc/v2.0",
"iat": 1670826509, "nbf": 1670826509, "exp": 1670830409,
"name": "Kyle Marsh",
"oid": "cb7eda1b-d09a-419e-b8bb-37836ebc6abd",
"preferred_username": "kylemar@idfordevs.dev",
"roles": [
"Approver",
"Reviewer"
],
"sub": "dx-4lf-0loB3c3uVrULnZ2VTLuRRWYff0q7-QlIfYU4",
"tid": "833ced3d-cb3e-41de-92f1-29e2af035ddc",


Podczas tworzenia ról aplikacji, które zezwalają użytkownikom i grupom jako członkom, zawsze należy zdefiniować rolę użytkownika odniesienia bez ról autoryzacji z podwyższonym poziomem uprawnień. Jeśli konfiguracja aplikacji dla przedsiębiorstw wymaga przypisania, tylko użytkownicy z bezpośrednim przypisaniem do aplikacji lub członkostwa w grupie przypisanej do aplikacji mogą używać aplikacji. Jeśli aplikacja ma zdefiniowane role aplikacji, które zezwalają użytkownikom i grupom jako członkom, po przypisaniu użytkownika lub grupy do aplikacji jedna z zdefiniowanych ról aplikacji musi być częścią przypisania użytkownika lub grupy do aplikacji. Jeśli aplikacja zdefiniowała tylko role z podwyższonym poziomem uprawnień (np. administrator) dla aplikacji, wszyscy użytkownicy i grupy zostaną przypisani do roli administratora. Po zdefiniowaniu roli podstawowej (takiej jak użytkownik) użytkownicy i grupy przypisane do aplikacji mogą mieć przypisaną podstawową rolę użytkownika.

Oprócz unikania oświadczeń nadwyżkowych grup, kolejną zaletą korzystania z ról nie jest potrzeba mapowania między identyfikatorem grupy lub nazwą i tym, co oznacza w aplikacji. Na przykład kod może wyszukać oświadczenie roli administratora zamiast iterować za pośrednictwem grup w oświadczeniach grup i decydować, które identyfikatory grup powinny być dozwolone przez funkcję administratora.