Запрос разрешений, требующих согласия администратора

В этой статье описаны возможности разрешения и согласия для сценария, в котором вы, как разработчик, пишете код приложения для запроса разрешений приложений, требующих административного согласия. Примеры снимок экрана с диалогами разрешений и согласия и Центром администрирования Microsoft Entra предоставляют вам представление о том, что пользователи и администраторы клиентов могут использовать. Улучшение совместной работы с администраторами для реализации принципа нулевого доверия наименьших привилегий в приложениях.

При разработке приложения вы пишете код, который запрашивает доступ к ресурсу , запрашивая маркер доступа с определенной областью (или разрешением). Вы используете параметр области, как описано в стандарте OAuth 2.0 , который некоторые люди описывают как разрешение. Владельцы ресурсов предоставляют или запрещают запросы разрешений. В идентификаторе Microsoft Entra владелец ресурса является пользователем приложения или администратором, который имеет права предоставить согласие на этот ресурс от имени всех пользователей.

Процедура использования согласия пользователей

Когда приложение запрашивает разрешение на доступ к ресурсу, пользователь может увидеть запрошенное диалоговое окно "Разрешения" , аналогичное этому примеру.

В приведенном выше примере диалогового окна пользователь предоставляет согласие на чтение данных от имени приложения, нажав кнопку "Принять " или запретив запрос, нажав кнопку "Отмена". Приложение получает маркер доступа и может продолжать свои процессы после предоставления пользователю согласия. Не забудьте убедиться, что ваше приложение готово к корректной обработке, когда он не получает маркер.

Взаимодействие с согласием администратора

Для некоторых запросов доступа только администратор может предоставить согласие. Если запрошенный доступ является мощным или включает ресурсы, владельцы которых не являются текущими пользователями, код, чтобы предоставить запросы только администратору.

Однако вы никогда не знаете, какие разрешения требуют согласия администратора и которые позволяют регулярному пользователю предоставлять согласие, так как администраторы клиентов могут настроить свой клиент с помощью Не разрешать согласие пользователя (все разрешения требуют согласия администратора), как показано на следующем снимке экрана параметров согласия пользователей в Центре администрирования Microsoft Entra.

Администраторы также могут разрешить согласие пользователей для приложений из проверенных издателей, для выбранных разрешений , как показано на следующем снимке экрана с параметрами согласия пользователей в Центре администрирования Microsoft Entra.

Администраторы могут добавить разрешения , к которым пользователи могут предоставить согласие, как показано на следующем снимке экрана классификации разрешений в Центре администрирования Microsoft Entra.

Когда ваше приложение запрашивает разрешение, требующее согласия администратора (по проектированию или конфигурации администратора), пользователь может увидеть диалоговое окно утверждения администратора, аналогичное этому примеру.

В приведенном выше примере диалогового окна показан интерфейс по умолчанию (вне поля) для разрешений, требующих согласия администратора. Большинство пользователей не знают, что делать в этом сценарии. Они не знают, кто их администратор, они не знают, кто идти на утверждение. Эта неопределенность может ограничить способность пользователя достичь желаемых результатов.

Улучшение разрешений и возможностей предоставления согласия

Чтобы улучшить разрешения и согласие, администратор клиента может настроить рабочий процесс согласия администратора, как показано на следующем снимке экрана с параметрами пользователя в Центре администрирования Microsoft Entra.

В запросах на согласие администратора администратор может улучшить разрешение и согласие пользователя, выбрав "Да " для пользователей, чтобы запросить согласие администратора приложениям, которым не удается предоставить согласие и настроить другие параметры запросов на согласие администратора.

Когда администратор клиента выбирает "Да " для пользователей, может запрашивать согласие администратора для приложений, которым не удается предоставить согласие , и приложение запрашивает разрешение, требующее согласия администратора, пользователь видит примерно то же, что и в следующем диалоговом окне "Утверждение" , которое обеспечивает лучший интерфейс пользователя.

В приведенном выше примере диалогового окна пользователь может ввести обоснование для запроса этого приложения перед выбором утверждения запроса. Затем запрос на утверждение вводит очередь запросов согласия администратора, в которой администраторы могут просматривать, принимать или запрещать приложения в своей организации на основе профиля риска.

Когда администратор запускает приложение, которое требует согласия администратора без настройки согласия в Центре администрирования Microsoft Entra, пользователь видит запрошенное диалоговое окно "Разрешения" , как показано в следующем примере.

В приведенном выше примере администратор видит описание разрешений, запрашиваемых приложением. Администратор может выбрать "Принять" , чтобы отдельно запустить приложение или выбрать согласие от имени организации перед нажатием кнопки "Принять". После предоставления администратору согласия для организации не требуется предоставить разрешение для этого приложения, если администратор не удаляет согласие из конфигурации запросов на согласие администратора клиента.

Другим способом согласия администратора клиента является разрешение Центра администрирования Microsoft Entra, где администраторы могут просматривать сведения о ранее запрошенных разрешениях приложения.

В приведенном выше примере согласия пользователя администратор может просмотреть предоставленные разрешения для приложения вместе с сведениями о утверждениях, типе разрешений и том, кто дал согласие. Администратор может выбрать согласие администратора для проверки предоставленных разрешений, требующих согласия администратора.

Запрос согласия администратора заранее

Ваша лучшая стратегия разрешений приложений — заранее объявить все разрешения, которые может потребоваться ваше приложение или запросить при регистрации приложения. Вам не нужно одновременно запрашивать все разрешения, но после объявления всех разрешений, которые может потребоваться вашему приложению, администраторы могут выбрать предоставление согласия администратора в конфигурации приложения в клиенте, чтобы отобразить диалоговое окно, аналогичное этому примеру.

В приведенном выше примере показано, как администратор может преконсервировать разрешения, объявленные вами, и обеспечить оптимальный интерфейс для пользователей и администраторов клиента.

Запрос согласия администратора заранее является отличным выбором для бизнес-приложений (LOB), особенно приложений, которые разрабатывает ваша организация. Проще не спрашивать пользователя, может ли ваша компания получить доступ к данным вашей компании, предварительно указав эти приложения. Запрос на согласие администратора выполняется в процессе регистрации приложения.

Следующие шаги

• Получение авторизации для доступа к ресурсам помогает понять, как лучше всего обеспечить нулевое доверие при получении разрешений доступа к ресурсам для приложения.
• Защита API описывает рекомендации по защите API путем регистрации, определения разрешений и согласия и принудительного доступа к достижению целей нулевого доверия.
• Рекомендации по авторизации помогут реализовать лучшие модели авторизации, разрешения и согласия для приложений.
• Настройка маркеров описывает сведения, которые можно получить в токенах Microsoft Entra. В нем объясняется, как настроить маркеры для повышения гибкости и контроля при увеличении безопасности нулевого доверия приложений с минимальными привилегиями.
• Обзор разрешений и согласия в платформа удостоверений Майкрософт помогает понять основные понятия доступа и авторизации.
• Общие сведения о согласии и разрешениях помогут вам узнать основные понятия и сценарии, связанные с согласием и разрешениями в идентификаторе Microsoft Entra ID.
• Модуль Learn: разрешения и платформа согласия помогут вам узнать о разрешениях и моделях платформы согласия.
• Learn Live: Microsoft Identity: Permissions and Consent Framework помогает узнать основы удостоверений Майкрософт, включая маркеры, типы учетных записей и топологии.