Запрос разрешений, для которых требуется согласие администратора
В этой статье мы рассмотрим возможность предоставления разрешений и согласия для сценария, в котором вы, как разработчик, пишете код приложения для запроса разрешений приложений, требующих административного согласия. Примеры снимок экрана с диалогами разрешений и согласия и Центром администрирования Microsoft Entra предоставляют вам представление о том, что пользователи и администраторы клиентов могут использовать. Улучшение совместной работы с администраторами для реализации принципа нулевого доверия наименьших привилегий в приложениях.
При разработке приложения вы напишете код, который запрашивает доступ к ресурсу, запрашивая маркер доступа с определенным область (или разрешением). Вы будете использовать параметр область, как описано в стандарте OAuth 2.0, который некоторые люди описывают как разрешение. Владелец ресурса предоставит или отклонит каждый запрос на разрешение. В идентификаторе Microsoft Entra владелец ресурса является пользователем приложения или администратором, который имеет права предоставить согласие на этот ресурс от имени всех пользователей.
Процедура использования согласия пользователей
Когда приложение запрашивает разрешение на доступ к ресурсу, пользователь может увидеть запрошенное диалоговое окно "Разрешения" , аналогичное этому примеру.
В приведенном выше примере диалогового окна пользователь предоставляет согласие на чтение данных от имени приложения, нажав кнопку "Принять " или запретив запрос, нажав кнопку "Отмена". Приложение получает маркер доступа и сможет продолжить свои процессы после предоставления пользователю согласия. Не забудьте убедиться, что ваше приложение готово к корректной обработке, когда он не получает маркер.
интерфейс согласия Администратор
Для некоторых запросов доступа только администратор может предоставить согласие. Если запрошенный доступ является мощным или включает ресурсы, владельцы которых не являются текущими пользователями, код, чтобы предоставить запросы только администратору.
Однако вы никогда не знаете, какие разрешения требуют согласия администратора и которые позволяют регулярному пользователю предоставлять согласие, так как администраторы клиентов могут настроить свой клиент с помощью Не разрешать согласие пользователя (все разрешения требуют согласия администратора), как показано на следующем снимке экрана параметров согласия пользователя в Центре администрирования Microsoft Entra.
Администратор также могутРазрешить согласие пользователя для приложений из проверенных издателей для выбранных разрешений, как показано на следующем снимке экрана параметров согласия пользователя в Центре администрирования Microsoft Entra.
Администратор могут затем Добавьте разрешения, к которым пользователи могут предоставить согласие, как показано на следующем снимке экрана с классификациями разрешений в Центре администрирования Microsoft Entra.
Когда приложение запрашивает разрешение, требующее согласия администратора (по конфигурации конструктора или администратора), пользователь может увидеть диалоговое окно утверждения администратора, аналогичное этому примеру.
В приведенном выше примере диалогового окна показан интерфейс по умолчанию (вне поля) для разрешений, требующих согласия администратора. Большинство пользователей не знают, что делать в этом сценарии. Они не знают, кто их администратор, они не знают, кто идти на утверждение. Эта неопределенность может ограничить способность пользователя достичь желаемых результатов.
Улучшение разрешений и возможностей предоставления согласия
Чтобы улучшить разрешения и согласие, администратор клиента может настроить рабочий процесс согласия администратора, как показано на следующем снимке экрана с параметрами пользователя в Центре администрирования Microsoft Entra.
Ниже Администратор запросы на согласие, администратор клиента может улучшить разрешение и согласие пользователя, выбрав "Да" для пользователей, которые могут запрашивать согласие администратора для приложений, которым не удается предоставить согласие и настроить другие параметры запросов на согласие Администратор.
Когда администратор клиента выбирает "Да " для пользователей, может запрашивать согласие администратора на приложения, к которым они не могут согласиться , и приложение запрашивает разрешение, требующее согласия администратора, пользователь увидит примерно то же, что и в следующем диалоговом окне "Утверждение" , которое обеспечивает лучший интерфейс пользователя.
В приведенном выше примере диалогового окна пользователь может ввести обоснование для запроса этого приложения перед выбором утверждения запроса. Затем запрос на утверждение вводит очередь запросов на согласие Администратор (пример снимок экрана ниже), где администраторы могут просматривать, принимать или запрещать приложения в своей организации на основе профиля риска.
Когда администратор запускает приложение, требующее согласия администратора (и администратор еще не настроил это согласие в Центре администрирования Microsoft Entra), пользователь администрирования видит несколько другое диалоговое окно с запрошенными разрешениями, как показано в следующем примере.
В приведенном выше примере администратор видит описание разрешений, запрашиваемых приложением. Администратор может выбрать "Принять" , чтобы отдельно запустить приложение или выбрать согласие от имени организации перед нажатием кнопки "Принять". После предоставления администратору согласия для организации не потребуется предоставлять разрешения для этого приложения, если администратор не удаляет согласие из клиента, Администратор конфигурации запросов на согласие.
Другой способ согласия администратора клиента — в разрешениях Центра администрирования Microsoft Entra, где администраторы могут просматривать сведения о существующих разрешениях, которые приложение уже запрашивало аналогично этому примеру.
В приведенном выше примере согласия пользователя администратор может просмотреть предоставленные разрешения для приложения вместе с сведениями о утверждениях, типе разрешений и том, кто дал согласие. Администратор может выбрать Администратор согласие на просмотр предоставленных разрешений, требующих согласия администратора.
Запрос согласия администратора заранее
Ваша стратегия разрешений приложения — заранее объявить все разрешения, которые может потребоваться вашему приложению или в конечном итоге запросить при регистрации приложения. Вам не нужно одновременно запрашивать все разрешения, но после объявления всех разрешений, которые может потребоваться вашему приложению, администраторы могут выбрать предоставление согласия администратора в конфигурации приложения в клиенте, чтобы отобразить диалоговое окно, аналогичное этому примеру.
В приведенном выше примере показано, как администратор может предварительно предоставить согласие на объявленные вами разрешения и обеспечить оптимальный интерфейс для пользователей и администраторов клиента.
Запрос согласия администратора заранее является отличным выбором для бизнес-приложений (LOB), особенно приложений, которые разрабатывает ваша организация. Проще не спрашивать пользователя, может ли ваша компания получить доступ к данным вашей компании путем предварительного согласия этих приложений. Запрос на согласие администратора выполняется в процессе регистрации приложения.
Следующие шаги
- Получение авторизации для доступа к ресурсам помогает понять, как лучше всего обеспечить нулевое доверие при получении разрешений доступа к ресурсам для приложения.
- Защита API описывает рекомендации по защите API путем регистрации, определения разрешений и согласия и принудительного доступа к достижению целей нулевого доверия.
- Рекомендации по авторизации помогут реализовать лучшие модели авторизации, разрешения и согласия для приложений.
- Настройка маркеров описывает сведения, которые можно получить в токенах Microsoft Entra и как настроить маркеры для повышения гибкости и контроля при увеличении безопасности нулевого доверия приложений с минимальными привилегиями.
- Обзор разрешений и согласия в платформа удостоверений Майкрософт помогает понять основные понятия доступа и авторизации.
- Общие сведения о согласии и разрешениях помогут вам узнать основные понятия и сценарии, связанные с согласием и разрешениями в идентификаторе Microsoft Entra ID.
- Модуль Learn: разрешения и платформа согласия помогут вам узнать о разрешениях и моделях платформы согласия.
- Learn Live: Microsoft Identity: Permissions and Consent Framework помогает узнать основы удостоверений Майкрософт, включая маркеры, типы учетных записей и топологии.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по