Översikt över rollbaserad åtkomstkontroll i Azure Active Directory
Den här artikeln beskriver hur du förstår rollbaserad åtkomstkontroll i Azure Active Directory (Azure AD). Azure AD roller kan du bevilja detaljerade behörigheter till dina administratörer och följa principen om lägsta behörighet. Azure AD inbyggda och anpassade roller fungerar på begrepp som liknar dem som du hittar i det rollbaserade åtkomstkontrollsystemet för Azure-resurser (Azure-roller). Skillnaden mellan dessa två rollbaserade åtkomstkontrollsystem är:
- Azure AD roller styr åtkomsten till Azure AD resurser, till exempel användare, grupper och program som använder Microsoft Graph API
- Azure-roller styr åtkomsten till Azure-resurser, till exempel virtuella datorer eller lagring med hjälp av Azure Resource Management
Båda systemen innehåller rolldefinitioner och rolltilldelningar som används på liknande sätt. Men Azure AD rollbehörigheter kan inte användas i anpassade Azure-roller och vice versa.
Förstå Azure AD rollbaserad åtkomstkontroll
Azure AD stöder två typer av rolldefinitioner:
Inbyggda roller är inbyggda roller som har en fast uppsättning behörigheter. Dessa rolldefinitioner kan inte ändras. Det finns många inbyggda roller som Azure AD stöder och listan växer. För att avrunda kanterna och uppfylla dina avancerade krav har Azure AD även stöd för anpassade roller. Att bevilja behörighet med anpassade Azure AD-roller är en tvåstegsprocess där du skapar en anpassad rolldefinition och sedan tilldelar den med en rolltilldelning. En anpassad rolldefinition är en samling behörigheter som du lägger till från en förinställd lista. De här behörigheterna är samma behörigheter som används i de inbyggda rollerna.
När du har skapat din anpassade rolldefinition (eller använder en inbyggd roll) kan du tilldela den till en användare genom att skapa en rolltilldelning. En rolltilldelning ger användaren behörigheterna i en rolldefinition i ett angivet omfång. Med den här tvåstegsprocessen kan du skapa en enskild rolldefinition och tilldela den många gånger i olika omfång. Ett omfång definierar den uppsättning Azure AD-resurser som rollmedlemmen har åtkomst till. Det vanligaste omfånget är organisationsomfattande (org-wide) omfång. En anpassad roll kan tilldelas i organisationsomfattande omfattning, vilket innebär att rollmedlemmen har rollbehörigheter för alla resurser i organisationen. En anpassad roll kan även tilldelas i ett objektomfång. Ett exempel på ett objektomfång är ett enda program. Samma roll kan tilldelas till en användare över alla program i organisationen och sedan till en annan användare med enbart omfånget Contosos utgiftsrapporter.
Hur Azure AD avgör om en användare har åtkomst till en resurs
Följande är de övergripande steg som Azure AD använder för att avgöra om du har åtkomst till en hanteringsresurs. Använd den här informationen för att felsöka åtkomstproblem.
- En användare (eller tjänstens huvudnamn) hämtar en token till Microsoft Graph-slutpunkten.
- Användaren gör ett API-anrop till Azure Active Directory (Azure AD) via Microsoft Graph med hjälp av den utfärdade token.
- Beroende på omständigheterna vidtar Azure AD någon av följande åtgärder:
- Utvärderar användarens rollmedlemskap baserat på wids-anspråket i användarens åtkomsttoken.
- Hämtar alla rolltilldelningar som gäller för användaren, antingen direkt eller via gruppmedlemskap, till den resurs där åtgärden vidtas.
- Azure AD avgör om åtgärden i API-anropet ingår i de roller som användaren har för den här resursen.
- Om användaren inte har någon roll med åtgärden i det begärda omfånget beviljas inte åtkomst. Annars beviljas åtkomst.
Rolltilldelning
En rolltilldelning är en Azure AD resurs som kopplar en rolldefinition till ett säkerhetsobjekt i ett visst omfång för att bevilja åtkomst till Azure AD resurser. Åtkomst beviljas genom att en rolltilldelning skapas, och åtkomst återkallas genom att en rolltilldelning tas bort. I grunden består en rolltilldelning av tre element:
- Säkerhetsobjekt – en identitet som hämtar behörigheterna. Det kan vara en användare, grupp eller ett huvudnamn för tjänsten.
- Rolldefinition – en samling behörigheter.
- Omfång – Ett sätt att begränsa var dessa behörigheter är tillämpliga.
Du kan skapa rolltilldelningar och lista rolltilldelningarna med hjälp av Azure Portal, Azure AD PowerShell eller Microsoft Graph API. Azure CLI stöds inte för Azure AD rolltilldelningar.
Följande diagram visar ett exempel på en rolltilldelning. I det här exemplet har Chris tilldelats den anpassade rollen appregistreringsadministratör i omfånget för appregistreringen Contoso Widget Builder. Tilldelningen ger Chris behörigheter för rollen Appregistreringsadministratör för endast den här specifika appregistreringen.
Säkerhetsobjekt
Ett säkerhetsobjekt representerar en användare, grupp eller tjänstens huvudnamn som tilldelas åtkomst till Azure AD resurser. En användare är en person som har en användarprofil i Azure Active Directory. En grupp är en ny Microsoft 365- eller säkerhetsgrupp med egenskapen isAssignableToRole inställd på true (för närvarande i förhandsversion). Tjänstens huvudnamn är en identitet som skapats för användning med program, värdbaserade tjänster och automatiserade verktyg för att få åtkomst till Azure AD resurser.
Rolldefinition
En rolldefinition, eller roll, är en samling behörigheter. En rolldefinition visar de åtgärder som kan utföras på Azure AD resurser, till exempel skapa, läsa, uppdatera och ta bort. Det finns två typer av roller i Azure AD:
- Inbyggda roller som skapats av Microsoft och som inte kan ändras.
- Anpassade roller som skapats och hanteras av din organisation.
Omfång
Ett omfång är ett sätt att begränsa tillåtna åtgärder till en viss uppsättning resurser som en del av en rolltilldelning. Om du till exempel vill tilldela en anpassad roll till en utvecklare, men bara för att hantera en specifik programregistrering, kan du inkludera den specifika programregistreringen som ett omfång i rolltilldelningen.
När du tilldelar en roll anger du någon av följande typer av omfång:
- Klientorganisation
- Administrativ enhet
- Azure AD resurs
Om du anger en Azure AD resurs som omfång kan det vara något av följande:
- Azure AD-grupper
- Företagsprogram
- Programregistreringar
Mer information finns i Tilldela Azure AD roller i olika omfång.
Licenskrav
Det är kostnadsfritt att använda inbyggda roller i Azure AD, medan anpassade roller kräver en Azure AD Premium P1 licens. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-versionerna.