Como usar o controle de acesso baseado em função para aplicativos
O RBAC (controle de acesso baseado em função) é um mecanismo comum usado para impor a autorização em aplicativos. Quando uma organização usa o RBAC, um desenvolvedor de aplicativos define as funções para o aplicativo. Em seguida, um administrador pode atribuir funções a diferentes usuários e grupos para controlar quem tem acesso ao conteúdo e à funcionalidade no aplicativo.
Normalmente, os aplicativos recebem informações de função de usuário como declarações em um token de segurança. Os desenvolvedores têm a flexibilidade de fornecer sua própria implementação de como as declarações de função devem ser interpretadas como permissões de aplicativo. Essa interpretação de permissões pode envolver o uso de middleware ou de outras opções fornecidas pela plataforma dos aplicativos ou por bibliotecas relacionadas.
Funções de aplicativo
A ID Externa do Microsoft Entra permite que você defina funções de aplicativo para o seu aplicativo e atribua essas funções a usuários e grupos. As funções atribuídas a um usuário ou grupo definem seu nível de acesso aos recursos e operações em seu aplicativo.
Quando a ID externa do Microsoft Entra emite um token de segurança para um usuário autenticado, ela inclui os nomes das funções que você atribuiu ao usuário ou grupo na declaração de funções do token de segurança. Um aplicativo que recebe esse token de segurança em uma solicitação pode, então, tomar decisões de autorização com base nos valores na declaração de funções.
Dica
Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso “Controle de acesso baseado em função”.
Grupos
Os desenvolvedores também podem usar grupos de segurança para implementar o RBAC nos aplicativos, em que as associações do usuário em grupos específicos são interpretadas como as associações de função. Quando uma organização usa grupos de segurança, uma declaração de grupos é incluída no token. A declaração de grupos especifica os identificadores de todos os grupos aos quais o usuário está atribuído no locatário externo atual.
Dica
Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso “Controle de acesso baseado em grupo”.
Funções de aplicativo versus grupos
Embora você possa usar funções de aplicativo ou grupos para autorização, as principais diferenças entre eles podem influenciar o que você decidir usar para seu cenário.
| Funções de aplicativo | Grupos |
|---|---|
| Elas são específicas de um aplicativo e são definidas no registro do aplicativo. | Eles não são específicos de um aplicativo, mas de um locatário externo. |
| Não podem ser compartilhados entre aplicativos. | Podem ser usados em vários aplicativos. |
| As funções de aplicativo são removidas quando o registro do aplicativo é removido. | Os grupos permanecem intactos, mesmo que o aplicativo seja removido. |
Fornecido na declaração roles. |
Fornecido na declaração groups. |
Adicionar um grupo de segurança
Os grupos de segurança gerenciam o acesso do computador e do usuário aos recursos compartilhados. Você pode criar um grupo de segurança para que todos os membros do grupo tenham o mesmo conjunto de permissões de segurança.
Para criar um grupo de segurança, siga as etapas a seguir:
- Entre no centro de administração do Microsoft Entra como Administrador global, Administrador de segurança ou Administrador de acesso condicional.
- Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para o locatário externo no menu Diretórios + assinaturas. - Navegue atéIdentidade>Grupos>Todos os grupos.
- Selecione Novo grupo.
- No lista suspensa Tipo de grupo, selecione Segurança.
- Insira o Nome do grupo para o grupo de segurança, como Contoso_App_Administrators.
- Inserir Descrição do grupo para o grupo de segurança, como Administrador de segurança do aplicativo Contoso.
- Selecione Criar.
O novo grupo de segurança aparece na lista Todos os grupos. Se você não o vir imediatamente, atualize a página.
A ID externa do Microsoft Entra pode incluir informações da associação de grupo de um usuário em tokens para uso em aplicativos. Saiba como adicionar a reivindicação de grupo aos tokens na seção Atribuir usuários e grupos a funções.
Declarar funções para um aplicativo
Entre no centro de administração do Microsoft Entra como Administrador global, Administrador de segurança ou Administrador de acesso condicional.
Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para o seu locatário externo do menu Diretórios + assinaturas.Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione o aplicativo no qual deseja definir funções.
Selecionar Funções de aplicativo e selecione Criar função de aplicativo.
No painel Criar função de aplicativo, insira as configurações para a função. A tabela a seguir descreve cada configuração e seus parâmetros.
Campo Descrição Exemplo Nome de exibição Nome para exibição da função do aplicativo que aparece nas experiências de atribuição de aplicativo. Esse valor pode conter espaços. Orders managerTipos de membro permitidos Especifica se essa função de aplicativo pode ser atribuída a usuários, aplicativos ou ambos. Users/GroupsValor Especifica o valor da declaração de funções que o aplicativo deve esperar no token. O valor deve corresponder exatamente à cadeia de caracteres referenciada no código do aplicativo. O valor não pode conter espaços. Orders.ManagerDescrição Uma descrição mais detalhada da função de aplicativo exibida durante as experiências de atribuição do aplicativo de administração. Manage online orders.Deseja habilitar esta função de aplicativo? Especifica se a função de aplicativo está habilitada. Para excluir uma função de aplicativo, desmarque essa caixa de seleção e aplique a alteração antes de tentar a operação de exclusão. Verificado Selecione Aplicar para criar a função de aplicativo.
Atribuir usuários e grupos a funções
Após adicionar funções de aplicativo em seu aplicativo, o administrador pode atribuir usuários e grupos a essas funções. A atribuição de usuários e grupos a funções pode ser feita por meio do centro de administração ou de maneira programática usando o Microsoft Graph. Quando os usuários atribuídos às várias funções de aplicativo entrarem no aplicativo, seus tokens terão suas funções atribuídas na declaração roles.
Para atribuir usuários e grupos às funções de aplicativo usando o portal do Azure:
- Entre no centro de administração do Microsoft Entra como Administrador global, Administrador de segurança ou Administrador de acesso condicional.
- Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo do menu Diretórios + assinaturas.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais.
- Selecione Todos os aplicativos para exibir uma lista com todos os seus aplicativos. Se o aplicativo não aparecer na lista, use os filtros na parte superior da lista Todos os aplicativos para restringir a lista ou percorra a lista para localizar a lista para localizar seu aplicativo.
- Selecione o aplicativo no qual deseja atribuir funções a usuários ou grupos de segurança.
- Em Gerenciar, selecione Usuários e grupos.
- Selecione Adicionar usuário para abrir o painel Adicionar atribuição.
- No painel Adicionar Atribuição, selecione Usuários e grupos. Uma lista de usuários e grupos de segurança será exibida. Você pode selecionar vários usuários e grupos na lista.
- Depois de selecionar usuários e grupos, escolha Selecionar.
- No painel Adicionar Atribuição, escolha Selecionar uma função. Todas as funções definidas para o aplicativo serão exibidas.
- Selecione uma função e escolha Selecionar.
- Selecione Atribuir para finalizar a atribuição de usuários e grupos para o aplicativo.
- Veja se os usuários e grupos que você adicionou aparecem na lista atualizada de Usuários e grupos.
Para testar seu aplicativo, saia e entre novamente com o usuário que você atribuiu às funções. Inspecione o token de segurança para garantir que ele contenha a função do usuário.
Adicionar declarações de grupo a tokens de segurança
Para emitir as declarações de associação de grupo em tokens de segurança, siga estas etapas:
- Entre no centro de administração do Microsoft Entra como Administrador global, Administrador de segurança ou Administrador de acesso condicional.
- Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo do menu Diretórios + assinaturas.
- Navegue até Identidade>Aplicativos>Registros de aplicativo.
- Selecione o aplicativo ao qual você quer adicionar usuários convidados.
- Em Gerenciar, selecione Configuração de token.
- Selecione Adicionar declaração de grupos.
- Selecione os tipos de grupo para incluir nos tokens de segurança.
- Em Personalizar propriedades de token por tipo, selecione ID do Grupo.
- Selecione Adicionar para adicionar a declaração de grupos.
Adicionar membros a um grupo
Agora que você adicionou declarações de grupos de aplicativos no seu aplicativo, adicione usuários aos grupos de segurança. Se você não tiver um grupo de segurança, crie um.
- Entre no centro de administração do Microsoft Entra como Administrador global, Administrador de segurança ou Administrador de acesso condicional.
- Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário externo no menu Diretórios + assinaturas.
- Navegue atéIdentidade>Grupos>Todos os grupos.
- Selecione o grupo que deseja gerenciar.
- Selecione Membros.
- Selecione + Adicionar membros.
- Percorra a lista ou digite um nome na caixa de pesquisa. É possível escolher diversos nomes. Quando estiver pronto, escolha Selecionar.
- A página Visão geral do grupo é atualizada para mostrar o número de membros que agora são adicionados ao grupo.
Para testar seu aplicativo, saia e entre novamente com o usuário que você adicionou ao grupo de segurança. Inspecione o token de segurança para verificar se ele contém a associação de grupo do usuário.
Suporte a funções de grupo e de aplicativo
Um locatário externo segue o modelo de gerenciamento de usuários e grupos e a atribuição de aplicativos do Microsoft Entra. Muitos dos principais recursos do Microsoft Entra estão sendo implementados em fases nos locatários externos.
A tabela a seguir mostra quais recursos estão disponíveis no momento.
| Recurso | Disponível no momento? |
|---|---|
| Criar uma função de aplicativo para um recurso | Sim, modificando o manifesto do aplicativo |
| Atribuir uma função de aplicativo aos usuários | Yes |
| Atribuir uma função de aplicativo a grupos | Sim, somente por meio do Microsoft Graph |
| Atribuir uma função de aplicativo a aplicativos | Sim, por meio de permissões de aplicativo |
| Atribuir um usuário a uma função de aplicativo | Yes |
| Atribuir um aplicativo a uma função de aplicativo (permissão de aplicativo) | Yes |
| Adicionar um grupo a um aplicativo/entidade de serviço (declaração de grupos) | Sim, somente por meio do Microsoft Graph |
| Criar/atualizar/excluir um cliente (usuário local) por meio do centro de administração do Microsoft Entra | Yes |
| Redefinir uma senha para um cliente (usuário local) por meio do centro de administração do Microsoft Entra | Yes |
| Criar/atualizar/excluir um cliente (usuário local) por meio do Microsoft Graph | Yes |
| Redefinir uma senha para um cliente (usuário local) por meio do Microsoft Graph | Sim, somente se a entidade de serviço for adicionada à função de administrador global |
| Criar/atualizar/excluir um grupo de segurança por meio do centro de administração do Microsoft Entra | Yes |
| Criar/atualizar/excluir um grupo de segurança por meio da Administração do Microsoft Graph | Yes |
| Alterar membros do grupo de segurança usando o centro de administração do Microsoft Entra | Yes |
| Alterar membros do grupo de segurança usando a API do Microsoft Graph | Yes |
| Escalar verticalmente até 50.000 usuários e 50.000 grupos | Não disponível no momento |
| Adicionar 50.000 usuários a pelo menos dois grupos | Não disponível no momento |