Поделиться через

Использование управления доступом на основе ролей для приложений

  • Статья

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

Управление доступом на основе ролей (RBAC) — это популярный механизм для принудительного применения авторизации в приложениях. Когда организация использует RBAC, разработчик приложений определяет роли для приложения. Затем администратор может назначать роли разным пользователям и группам для управления доступом к содержимому и функциям в приложении.

Приложения обычно получают сведения о роли пользователя в качестве утверждений в маркере безопасности. Разработчики имеют гибкость, чтобы обеспечить собственную реализацию того, как утверждения ролей должны интерпретироваться как разрешения приложения. Такая интерпретация разрешений может включать использование ПО промежуточного слоя или других параметров, предоставляемых платформой приложений или связанными библиотеками.

Роли приложения

Внешняя идентификация Microsoft Entra позволяет определять роли приложений для приложения и назначать эти роли пользователям и группам. Роли, назначенные пользователю или группе, определяют уровень доступа к ресурсам и операциям в приложении.

Когда Внешняя идентификация Microsoft Entra выдает маркер безопасности для прошедшего проверку подлинности пользователя, он содержит имена ролей, назначенных пользователю или группе в утверждении ролей маркера безопасности. Приложение, получающее этот маркер безопасности в запросе, может принимать решения об авторизации на основе значений в утверждении ролей.

Совет

Попробуйте сейчас!

Чтобы попробовать эту функцию, перейдите на демонстрацию Продуктов Woodgrove и запустите вариант использования "Управление доступом на основе ролей".

Группы

Разработчики также могут использовать группы безопасности для реализации RBAC в своих приложениях, где членство пользователя в определенных группах интерпретируется как их членство в роли. Когда организация использует группы безопасности, утверждение групп включается в токен. Утверждение групп указывает идентификаторы всех групп, которым назначается пользователь в текущем внешнем клиенте.

Совет

Попробуйте сейчас!

Чтобы попробовать эту функцию, перейдите на демонстрацию продуктов Woodgrove и запустите вариант использования "Управление доступом на основе групп".

Роли приложений и группы

Несмотря на то что для авторизации можно использовать роли или группы приложений, основные различия между ними могут повлиять на то, что вы решите использовать в сценарии.

Роли приложения Группы
Они относятся к приложению и определяются в регистрации приложения. Они не относятся к приложению, а к внешнему клиенту.
Невозможно предоставлять общий доступ между приложениями. Можно использовать в нескольких приложениях.
Роли приложений удаляются при удалении их регистрации приложения. Группы не изменяются, даже если приложение удалено.
Указывается в утверждении roles. Предоставляется в утверждении groups.

Создание группы безопасности

Группы безопасности управляют доступом пользователей и компьютеров к общим ресурсам. Вы можете создать группу безопасности, чтобы все члены группы имели одинаковый набор разрешений безопасности.

Чтобы создать группу безопасности, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите к группам>удостоверений>Все группы.
  4. Выберите Создать группу.
  5. В раскрывающемся списке "Тип группы" выберите "Безопасность".
  6. Введите имя группы безопасности, например Contoso_App_Administrators.
  7. Введите описание группы безопасности для группы безопасности, например администратора безопасности приложений Contoso.
  8. Нажмите кнопку создания.

Новая группа безопасности появится в списке "Все группы ". Если он не отображается немедленно, обновите страницу.

Внешняя идентификация Microsoft Entra может включать сведения о членстве пользователя в группах в токенах для использования в приложениях. Вы узнаете, как добавить утверждение группы в маркеры в разделе "Назначение пользователей и групп" разделу ролей .

Объявление ролей для приложения

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

  3. Перейдите к приложениям> удостоверений>Регистрация приложений.

  4. Выберите приложение, в котором требуется определить роли приложения.

  5. Выберите Роли приложения, а затем Создать роль приложения.

  6. На панели Создание роли приложения введите параметры для роли. В следующей таблице описаны все параметры и его параметры.

    Поле Описание: Пример
    Отображаемое имя Отображаемое имя роли приложения, которая отображается в интерфейсах назначения приложения. Это значение может содержать пробелы. Orders manager
    Разрешенные типы элементов Указывает, может ли эта роль приложения назначаться пользователям, приложениям или обоим. Users/Groups
    Value Определяет значение утверждения ролей, которое приложение должно ожидать в токене. Это значение должно точно совпадать со строкой, на которую ссылается код приложения. Это значение не может содержать пробелы. Orders.Manager
    Description Более подробное описание роли приложения, отображаемой во время работы с назначением приложений администратора. Manage online orders.
    Хотите включить эту роль приложения? Указывает, включена ли роль приложения. Чтобы удалить роль приложения, снимите этот флажок и примените изменения, прежде чем выполнять операцию удаления. Помечено

  7. Нажмите кнопку "Применить" , чтобы создать роль приложения.

Назначение ролей для пользователей и групп

После добавления ролей приложений в приложение администратор может назначить пользователей и группы ролям. Назначение пользователей и групп ролям можно выполнять через центр администрирования или программным способом с помощью Microsoft Graph. Когда пользователи, назначенные различным ролям приложений, войдите в приложение, их маркеры имеют свои назначенные роли в утверждении roles .

Чтобы назначить пользователей и группы ролям приложений с помощью портал Azure:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите к приложениям Identity>Applications>Enterprise.
  4. Щелкните Все приложения, чтобы просмотреть полный список приложений. Если приложение не отображается в списке, используйте фильтры в верхней части списка Все приложения, чтобы сократить список, или прокрутите его вниз и найдите приложение.
  5. Выберите приложение, в котором для ролей необходимо назначить пользователей или группы безопасности.
  6. В разделе Управление выберите Пользователи и группы.
  7. Щелкните Добавить пользователя, чтобы открыть область Добавление назначения.
  8. В области "Добавление назначения" выберите "Пользователи и группы". Появится список пользователей и групп безопасности. В списке можно выбрать несколько пользователей и групп.
  9. Выбрав пользователей и группы, нажмите кнопку "Выбрать".
  10. В области "Добавить назначение" выберите "Выбрать роль". Отображаются все роли, определенные для приложения.
  11. Выберите роль и нажмите кнопку " Выбрать".
  12. Выберите Назначить, чтобы завершить назначение пользователей и групп приложению.
  13. Убедитесь, что добавленные пользователи и группы отображаются в списке Пользователи и группы.

Чтобы протестировать приложение, выйдите и войдите еще раз с пользователем, которому назначены роли. Проверьте маркер безопасности, чтобы убедиться, что он содержит роль пользователя.

Добавление утверждений группы в маркеры безопасности

Чтобы вывести утверждения членства в группах в маркерах безопасности, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите к приложениям> удостоверений>Регистрация приложений.
  4. Выберите приложение, в котором нужно добавить утверждение групп.
  5. В разделе Управление выберите Конфигурация токена.
  6. Выберите Добавить утверждение группы.
  7. Выберите типы групп для включения в маркеры безопасности.
  8. Для свойств маркера настройки по типу выберите идентификатор группы.
  9. Нажмите кнопку "Добавить", чтобы добавить утверждение групп.

Добавление участников в группу

Теперь, когда вы добавили утверждения групп приложений в приложении, добавьте пользователей в группы безопасности. Если у вас нет группы безопасности, создайте ее.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите к группам>удостоверений>Все группы.
  4. Выберите группу, которую вы хотите управлять.
  5. Выберите Участники.
  6. Выберите + Добавить участников.
  7. Прокрутите список или введите имя в поле поиска. Можно выбрать несколько имен. Когда вы будете готовы, нажмите кнопку "Выбрать".
  8. Страница Общие сведения о группе обновится, чтобы отобразить количество участников, добавленных в группу.

Чтобы протестировать приложение, выйдите из системы и снова войдите с помощью пользователя, добавленного в группу безопасности. Проверьте маркер безопасности, чтобы убедиться, что он содержит членство в группе пользователя.

Поддержка групп и ролей приложений

Внешний клиент следует модели управления пользователями и группами Microsoft Entra и назначением приложений. Многие основные функции Microsoft Entra поэтапно используются во внешних клиентах.

В следующей таблице показано, какие функции доступны в настоящее время.

Компонент Сейчас доступно?
Создание роли приложения для ресурса Да, изменив манифест приложения
Назначение роли приложения пользователям Да
Назначение роли приложения группам Да, только через Microsoft Graph
Назначение роли приложениям Да, с помощью разрешений приложения
Назначение пользователю роли приложения Да
Назначение приложения роли приложения (разрешение приложения) Да
Добавление группы в субъект приложения или службы (утверждение групп) Да, только через Microsoft Graph
Создание и обновление и удаление клиента (локального пользователя) через Центр администрирования Microsoft Entra Да
Сброс пароля для клиента (локального пользователя) через Центр администрирования Microsoft Entra Да
Создание и обновление и удаление клиента (локального пользователя) с помощью Microsoft Graph Да
Сброс пароля для клиента (локального пользователя) с помощью Microsoft Graph Да, только если субъект-служба добавляется в роль глобального администратора
Создание и обновление или удаление группы безопасности через Центр администрирования Microsoft Entra Да
Создание и обновление и удаление группы безопасности с помощью API Microsoft Graph Да
Изменение членов группы безопасности с помощью Центра администрирования Microsoft Entra Да
Изменение членов группы безопасности с помощью API Microsoft Graph Да
Масштабирование до 50 000 пользователей и 50 000 групп В настоящее время недоступно
Добавление 50 000 пользователей по крайней мере в две группы В настоящее время недоступно

Следующие шаги