Medgivandeupplevelse för program i Azure Active Directory

I den här artikeln får du lära dig mer om användarupplevelsen för programmedgivande i Azure Active Directory (Azure AD). Sedan kommer du att kunna hantera program intelligent för din organisation och/eller utveckla program med en smidigare medgivandeupplevelse.

Medgivande är processen för en användare som beviljar auktorisering till ett program för att få åtkomst till skyddade resurser för deras räkning. En administratör eller användare kan bli ombedd att ge sitt medgivande för att tillåta åtkomst till organisationens/enskilda data.

Den faktiska användarupplevelsen av att bevilja medgivande varierar beroende på vilka principer som angetts för användarens klientorganisation, användarens behörighetsomfång (eller roll) och vilken typ av behörigheter som begärs av klientprogrammet. Det innebär att programutvecklare och klientadministratörer har viss kontroll över medgivandeupplevelsen. Administratörer har flexibiliteten att ange och inaktivera principer för en klientorganisation eller app för att kontrollera medgivandefunktionen i klientorganisationen. Programutvecklare kan bestämma vilka typer av behörigheter som begärs och om de vill vägleda användarna genom flödet för användarmedgivande eller flödet för administratörsmedgivande.

  • Flödet för användarmedgivande är när en programutvecklare dirigerar användare till auktoriseringsslutpunkten med avsikten att registrera medgivande endast för den aktuella användaren.
  • Admin medgivandeflödet är när en programutvecklare dirigerar användare till slutpunkten för administratörsmedgivande med avsikt att registrera medgivande för hela klientorganisationen. För att säkerställa att flödet för administratörsmedgivande fungerar korrekt måste programutvecklare lista alla behörigheter i RequiredResourceAccess egenskapen i programmanifestet. Mer information finns i Programmanifest.

Medgivandeprompten är utformad för att säkerställa att användarna har tillräckligt med information för att avgöra om de litar på att klientprogrammet har åtkomst till skyddade resurser för deras räkning. Genom att förstå byggstenarna kan användare som beviljar medgivande fatta mer välgrundade beslut och det hjälper utvecklare att skapa bättre användarupplevelser.

Följande diagram och tabell innehåller information om byggstenarna i medgivandeprompten.

Byggstenar i medgivandeprompten

# Komponent Syfte
1 Användaridentifierare Den här identifieraren representerar den användare som klientprogrammet begär att få åtkomst till skyddade resurser för.
2 Titel Rubriken ändras baserat på om användarna går igenom användar- eller administratörsmedgivandeflödet. I användarmedgivandeflödet blir rubriken "Begärda behörigheter" medan rubriken i flödet för administratörsmedgivande har ytterligare en rad "Acceptera för din organisation".
3 Applogotyp Den här bilden bör hjälpa användarna att få en visuell signal om huruvida den här appen är den app som de har för avsikt att komma åt. Den här avbildningen tillhandahålls av programutvecklare och ägarskapet för den här avbildningen verifieras inte.
4 Appnamn Det här värdet bör informera användarna om vilket program som begär åtkomst till sina data. Observera att det här namnet tillhandahålls av utvecklarna och att ägarskapet för det här appnamnet inte verifieras.
5 Utgivarens namn och verifiering Det blå "verifierade" märket innebär att apputgivaren har verifierat sin identitet med ett Microsoft Partner Network-konto och har slutfört verifieringsprocessen. Om appen är verifierad av utgivaren visas utgivarens namn. Om appen inte är utgivare verifierad visas "Overifierad" i stället för ett utgivarnamn. Mer information finns i Om verifiering av utgivare. Om du väljer utgivarens namn visas mer appinformation som tillgänglig, till exempel utgivarens namn, utgivarens domän, det datum då det skapades, certifieringsinformation och svars-URL:er.
6 Microsoft 365-certifiering Microsoft 365-certifieringslogotypen innebär att en app har granskats mot kontroller som härletts från ledande branschstandardramverk och att det finns starka säkerhets- och efterlevnadsmetoder för att skydda kunddata. Mer information finns i Microsoft 365-certifiering.
7 Utgivarinformation Visar om programmet har publicerats av Microsoft.
8 Behörigheter Den här listan innehåller de behörigheter som begärs av klientprogrammet. Användare bör alltid utvärdera vilka typer av behörigheter som begärs för att förstå vilka data som klientprogrammet kommer att ha behörighet att komma åt för deras räkning om de accepterar. Som programutvecklare är det bäst att begära åtkomst till de behörigheter som har minst behörighet.
9 Behörighetsbeskrivning Det här värdet tillhandahålls av tjänsten som exponerar behörigheterna. Om du vill se behörighetsbeskrivningarna måste du växla sparren bredvid behörigheten.
10 https://myapps.microsoft.com Det här är länken där användare kan granska och ta bort alla program som inte kommer från Microsoft som för närvarande har åtkomst till deras data.
11 Rapportera det här Den här länken används för att rapportera en misstänkt app om du inte litar på appen, om du tror att appen utger sig för att vara en annan app, om du tror att appen kommer att missbruka dina data eller av någon annan anledning.

I följande avsnitt beskrivs vanliga scenarier och den förväntade medgivandeupplevelsen för var och en av dem.

Appen kräver en behörighet som användaren har behörighet att bevilja

I det här medgivandescenariot får användaren åtkomst till en app som kräver en behörighetsuppsättning som ligger inom användarens behörighetsområde. Användaren dirigeras till flödet för användarmedgivande.

Administratörer ser ytterligare en kontroll över den traditionella medgivandeprompten som gör det möjligt att ge medgivande för hela klientorganisationens räkning. Kontrollen inaktiveras som standard, så endast när administratörer uttryckligen markerar kryssrutan beviljas medgivande för hela klientorganisationens räkning. Kryssrutan visas bara för rollen Global administratör, så Cloud Admin och App Admin ser inte den här kryssrutan.

Fråga efter medgivande för scenario 1a

Användarna ser den traditionella uppmaningen om medgivande.

Skärmbild som visar den traditionella medgivandeprompten.

Appen kräver en behörighet som användaren inte har behörighet att bevilja

I det här medgivandescenariot får användaren åtkomst till en app som kräver minst en behörighet som ligger utanför användarens behörighetsområde.

Administratörer ser ytterligare en kontroll över den traditionella medgivandeprompten som tillåter dem medgivande för hela klientorganisationens räkning.

Fråga efter medgivande för scenario 1a

Icke-administratörsanvändare kommer att blockeras från att bevilja medgivande till programmet, och de uppmanas att be administratören om åtkomst till appen. Om arbetsflödet för administratörsmedgivande är aktiverat i användarens klientorganisation kan icke-administratörsanvändare skicka en begäran om administratörsgodkännande från medgivandeprompten. Mer information om arbetsflödet för administratörsmedgivande finns i Admin arbetsflöde för medgivande.

Skärmbild av medgivandeprompten som uppmanar användaren att be en administratör om åtkomst till appen.

I det här medgivandescenariot navigerar användaren till eller dirigeras till flödet för administratörsmedgivande.

Admin användare ser uppmaningen om administratörsmedgivande. Rubriken och behörighetsbeskrivningarna har ändrats i den här prompten. Ändringarna belyser det faktum att om du accepterar den här prompten får appen åtkomst till begärda data för hela klientorganisationens räkning.

Fråga efter medgivande för scenario 3a

Icke-administratörsanvändare kommer att blockeras från att bevilja medgivande till programmet, och de uppmanas att be administratören om åtkomst till appen.

Skärmbild av medgivandeprompten som uppmanar användaren att be en administratör om åtkomst till appen.

I det här scenariot godkänner en administratör alla behörigheter som ett program begär, vilket kan inkludera delegerade behörigheter för alla användare i klientorganisationen. Administratören beviljar medgivande via sidan API-behörigheter för programregistreringen i Azure Portal.

Skärmbild av explicit administratörsmedgivande via Azure Portal.

Alla användare i klientorganisationen ser inte medgivandedialogrutan om inte programmet kräver nya behörigheter. Information om vilka administratörsroller som kan samtycka till delegerade behörigheter finns i Administratörsrollbehörigheter i Azure AD.

Viktigt

Att bevilja uttryckligt medgivande med hjälp av knappen Bevilja behörigheter krävs för närvarande för ensidesprogram (SPA) som använder MSAL.js. Annars misslyckas programmet när åtkomsttoken begärs.

Vanliga problem

I det här avsnittet beskrivs vanliga problem med medgivandeupplevelsen och möjliga felsökningstips.

  • 403-fel

    • Är det här ett delegerat scenario? Vilka behörigheter har en användare?
    • Har nödvändiga behörigheter lagts till för att använda slutpunkten?
    • Kontrollera token för att se om det finns nödvändiga anspråk för att anropa slutpunkten.
    • Vilka behörigheter har fått medgivande? Vem har gett medgivande?
  • Användaren kan inte godkänna

    • Kontrollera om klientadministratören har inaktiverat användarmedgivande för din organisation
    • Kontrollera om de behörigheter som du begär är administratörsbegränsade behörigheter.
  • Användaren blockeras fortfarande även efter att administratören har gett medgivande

    • Kontrollera om statiska behörigheter har konfigurerats för att vara en superuppsättning behörigheter som begärs dynamiskt.
    • Kontrollera om användartilldelning krävs för appen.

Felsöka kända fel

Felsökningssteg finns i Oväntat fel när du utför medgivande till ett program.

Nästa steg