Solicitar permissões que exigem consentimento administrativo
Neste artigo, descrevemos a experiência de permissão e consentimento para um cenário em que você, como desenvolvedor, está escrevendo o código do aplicativo para solicitar permissões de aplicativo que exigem consentimento administrativo. Exemplos de capturas de tela de caixas de diálogo de permissão e consentimento e o centro de administração do Microsoft Entra dão uma ideia do que seus usuários e administradores de locatários experimentam. Melhore a colaboração com os administradores para implementar o princípio Zero Trust de menor privilégio em seus aplicativos.
Ao desenvolver seu aplicativo, você escreve código que solicita acesso a um recurso solicitando um token de acesso com um escopo (ou permissão) específico. Você usa o parâmetro scope conforme descrito no padrão OAuth 2.0 que algumas pessoas descrevem como uma permissão. Os proprietários de recursos concedem ou negam solicitações de permissão. No Microsoft Entra ID, o proprietário do recurso é o usuário do aplicativo ou um administrador que tem os direitos para conceder consentimento a esse recurso em nome de todos os usuários.
Experiência de consentimento do utilizador
Quando seu aplicativo solicita permissão para acessar um recurso, o usuário pode ver uma caixa de diálogo Permissões solicitadas semelhante a este exemplo.
Na caixa de diálogo de exemplo acima, o usuário concede consentimento para permitir que o aplicativo leia os dados em seu nome, selecionando Aceitar ou nega a solicitação selecionando Cancelar. O aplicativo recebe um token de acesso e pode continuar seus processos após o usuário conceder consentimento. Lembre-se de garantir que seu aplicativo esteja pronto para lidar normalmente quando não receber um token.
Experiência de consentimento do administrador
Para alguns pedidos de acesso, apenas um administrador pode conceder consentimento. Se o acesso solicitado for poderoso ou envolver recursos cujos proprietários não sejam os usuários atuais, codifique para que apenas um administrador possa conceder solicitações.
No entanto, você nunca sabe quais permissões exigem consentimento de administrador e quais permitem que um usuário comum conceda consentimento porque os administradores de locatário podem configurar seu locatário com Não permitir consentimento do usuário (todas as permissões exigem consentimento do administrador), conforme mostrado na captura de tela de exemplo a seguir das configurações de consentimento do usuário no centro de administração do Microsoft Entra.
Os administradores também podem Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas, conforme mostrado no exemplo a seguir de captura de tela das configurações de consentimento do usuário no centro de administração do Microsoft Entra.
Os administradores podem, então, Adicionar permissões para as quais os usuários podem consentir, conforme mostrado no exemplo a seguir da captura de tela de Classificações de permissão no centro de administração do Microsoft Entra.
Quando seu aplicativo solicita uma permissão que requer o consentimento do administrador (por design ou configuração de administrador), o usuário pode ver uma caixa de diálogo Precisa de aprovação de administrador semelhante a este exemplo.
A caixa de diálogo de exemplo acima mostra a experiência padrão (pronta para uso) para permissões que exigem consentimento do administrador. A maioria dos usuários não sabe o que fazer nesse cenário. Eles não sabem quem é o administrador, não sabem a quem recorrer para aprovação. Esta incerteza pode limitar a capacidade do utilizador para alcançar os resultados desejados.
Melhorar as permissões e a experiência de consentimento
Para melhorar as permissões e a experiência de consentimento, o administrador locatário pode configurar o fluxo de trabalho de consentimento de administrador, conforme mostrado no exemplo a seguir de captura de tela de Configurações de usuário no centro de administração do Microsoft Entra.
Em Solicitações de consentimento de administrador, o administrador locatário pode melhorar a experiência de permissão e consentimento do usuário selecionando Sim em Os usuários podem solicitar consentimento de administrador para aplicativos com os quais não conseguem consentir e definindo outras configurações de solicitações de consentimento de administrador.
Depois que o administrador do locatário seleciona Sim em Os usuários podem solicitar o consentimento do administrador para aplicativos com os quais não conseguem consentir e um aplicativo solicita uma permissão que requer o consentimento do administrador, o usuário vê algo semelhante à seguinte caixa de diálogo Aprovação necessária que fornece uma melhor experiência do usuário.
Na caixa de diálogo de exemplo acima, o usuário pode Inserir justificativa para solicitar este aplicativo antes de selecionar Solicitar aprovação. Em seguida, a solicitação de aprovação entra em uma fila de solicitações de consentimento de administrador, na qual os administradores têm opções para revisar, aceitar ou banir aplicativos em sua organização com base no perfil de risco.
Quando um administrador executa um aplicativo que requer consentimento de administrador sem configurar o consentimento no centro de administração do Microsoft Entra, o usuário administrador vê uma caixa de diálogo Permissões solicitadas semelhante ao exemplo a seguir.
No exemplo acima, o administrador vê uma descrição das permissões que o aplicativo está solicitando. O administrador pode selecionar Aceitar para executar individualmente o aplicativo ou pode selecionar Consentimento em nome da sua organização antes de selecionar Aceitar. Depois que o administrador concede consentimento para a organização, nenhum usuário futuro da organização precisa conceder permissão para este aplicativo, a menos que um administrador remova o consentimento da configuração de solicitações de consentimento de administrador do locatário.
Outro método de consentimento de administrador do locatário está nas Permissões do centro de administração do Microsoft Entra, onde os administradores podem revisar os detalhes das permissões de aplicativos solicitadas anteriormente.
No exemplo de consentimento de usuário acima, o administrador pode revisar as permissões concedidas para o aplicativo, juntamente com informações sobre reivindicações, tipo de permissão e quem deu consentimento. O administrador pode selecionar Consentimento do administrador para rever as permissões concedidas que exigem o consentimento do administrador.
Solicitar o consentimento do administrador com antecedência
Sua melhor estratégia de permissões de aplicativo é declarar com antecedência todas as permissões que seu aplicativo pode precisar ou solicitar quando você registrar seu aplicativo. Você não precisa solicitar todas as permissões ao mesmo tempo, mas, depois de declarar todas as permissões que seu aplicativo pode precisar, os administradores podem selecionar Conceder consentimento de administrador na configuração do seu aplicativo no locatário para exibir uma caixa de diálogo semelhante a este exemplo.
O exemplo acima mostra como o administrador pode pré-consentir com as permissões que você declarou e fornecer a melhor experiência para seus usuários e administradores de locatário.
Solicitar o consentimento do administrador com antecedência é uma excelente opção para aplicativos de linha de negócios (LOB), especialmente os aplicativos que sua organização está desenvolvendo. É mais fácil não ter de perguntar ao seu utilizador se a sua empresa pode aceder aos dados da sua empresa através do consentimento prévio dessas aplicações. Você faz a solicitação de consentimento de administrador como parte do processo de registro do aplicativo.
Próximos passos
- Adquirir autorização para acessar recursos ajuda você a entender a melhor forma de garantir o Zero Trust ao adquirir permissões de acesso a recursos para seu aplicativo.
- A Proteção de API descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir suas metas de Zero Trust.
- As práticas recomendadas de autorização ajudam você a implementar os melhores modelos de autorização, permissão e consentimento para seus aplicativos.
- Personalizar tokens descreve as informações que você pode receber nos tokens do Microsoft Entra. Ele explica como personalizar tokens para melhorar a flexibilidade e o controle e, ao mesmo tempo, aumentar a segurança de confiança zero do aplicativo com o menor privilégio.
- Visão geral de permissões e consentimento na plataforma de identidade da Microsoft ajuda você a entender os conceitos fundamentais de acesso e autorização.
- Visão geral do consentimento e permissões ajuda você a aprender conceitos básicos e cenários sobre consentimento e permissões no Microsoft Entra ID.
- Módulo Aprender: a estrutura de permissões e consentimento ajuda você a aprender modelos de estrutura de permissões e consentimento.
- Learn Live: Microsoft Identity: Permissions and Consent Framework ajuda você a aprender os conceitos básicos da identidade da Microsoft, incluindo tokens, tipos de conta e topologias.