Yönetici onayı gerektiren izinler isteme

  • Makale

Bu makalede, geliştirici olarak yönetici onayı gerektirecek uygulama izinleri istemek için uygulama kodunuzu yazdığınız bir senaryo için izin ve onay deneyimini açıklayacağız. İzin ve onay iletişim kutularının ve Microsoft Entra yönetim merkezinin örnek ekran görüntüleri, kullanıcılarınızın ve kiracı yöneticilerinizin neler yaşadığı hakkında size bir fikir verir. Uygulamalarınızda Sıfır Güven en az ayrıcalık ilkesini uygulamak için yöneticilerle işbirliğini geliştirin.

Uygulamanızı geliştirirken, belirli bir kapsama (veya izine) sahip bir erişim belirteci isteyerek bir kaynağa erişim isteyen kod yazacaksınız. Bazı kişilerin izin olarak tanımladığı OAuth 2.0 standardında açıklandığı gibi kapsam parametresini kullanacaksınız. Bir kaynak sahibi her izin isteğini verir veya reddeder. Microsoft Entra Id'de kaynak sahibi, uygulamanın kullanıcısı veya tüm kullanıcılar adına bu kaynağa onay verme haklarına sahip bir yöneticidir.

Uygulamanız bir kaynağa erişim izni istediğinde, kullanıcınız bu örneğe benzer bir İstenen İzinler iletişim kutusunu görebilir.

İptal ve Kabul Et düğmeleriyle uygulamanın istediği izinleri açıklayan İstenen İzinler iletişim kutusunun ekran görüntüsü.

Yukarıdaki örnek iletişim kutusunda kullanıcı, Kabul Et'i seçerek uygulamanın verileri kendi adına okumasına izin vermek için onay verir veya İptal'i seçerek isteği reddeder. Uygulama bir erişim belirteci alır ve kullanıcı onay verdikten sonra işlemlerine devam edebilecektir. Uygulamanızın belirteç almadığında düzgün bir şekilde işlemeye hazır olduğundan emin olun.

Bazı erişim istekleri için yalnızca bir yönetici onay verebilir. İstenen erişim güçlüyse veya sahipleri geçerli kullanıcılar olmayan kaynakları içeriyorsa, yalnızca bir yöneticinin istek verebilmesini sağlayan kod.

Ancak, Microsoft Entra yönetim merkezindeki kullanıcı onayı ayarlarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi kiracı yöneticileri kullanıcı onayına izin verme (tüm izinler yönetici onayı gerektirir) ile kiracılarını yapılandırabildiğinden, hangi izinlerin yönetici onayı gerektireceğini ve normal bir kullanıcının onay vermesine izin verebileceğini asla bilemezsiniz.

Uygulamaların kuruluş verilerine erişmesine yönelik onayı yapılandıran Microsoft Entra yönetim merkezi 'Kullanıcı onayı ayarları'nın ekran görüntüsü.

Yönetici de Microsoft Entra yönetim merkezindeki Kullanıcı onayı ayarlarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi, seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin verin.

Doğrulanmış yayımcıların uygulamaları için onay yapılandıran Microsoft Entra yönetim merkezi 'Kullanıcı onayı ayarları'nın ekran görüntüsü.

Yönetici daha sonra Microsoft Entra yönetim merkezindeki İzin sınıflandırmalarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi kullanıcıların onay verebileceği izinler ekleyin.

Kullanıcı onayına izin veren izin sınıflandırmalarını yapılandıran Microsoft Entra yönetim merkezi 'İzin sınıflandırmaları' ekran görüntüsü.

Uygulamanız yönetici onayı gerektiren bir izin istediğinde (tasarım veya yönetici yapılandırmasına göre), kullanıcınız bu örneğe benzer bir Yönetici onayı gerekiyor iletişim kutusunu görebilir.

İstenen izinlerin yalnızca bir yönetici tarafından nasıl verilebileceğini açıklayan 'Yönetici onayı gerekiyor' iletişim kutusunun ekran görüntüsü.

Yukarıdaki örnek iletişim kutusunda, yönetici onayı gerektiren izinler için varsayılan (kullanıma hazır) deneyim gösterilir. Kullanıcıların çoğu bu senaryoda ne yapacağını bilmez. Yöneticilerinin kim olduğunu, onay için kime gideceklerini bilmiyorlar. Bu belirsizlik kullanıcının istenen sonuçları elde etme becerisini sınırlayabilir.

kiracı yöneticisi, izinleri ve onay deneyimini geliştirmek için, Microsoft Entra yönetim merkezindeki Kullanıcı ayarlarınınaşağıdaki örnek ekran görüntüsünde gösterildiği gibi yönetici onayı iş akışını yapılandırabilir.

'Yönetici onay isteklerini' yapılandıran 'Kullanıcı ayarları' Microsoft Entra yönetim merkezinin ekran görüntüsü.

Kiracı yöneticisi, onay istekleri Yönetici altında, Kullanıcılar onaylayamadıkları uygulamalar için yönetici onayı isteyebilir ve diğer Yönetici onay istekleri ayarlarını yapılandırarak Evet'iseçerek kullanıcının izin ve onay deneyimini geliştirebilir.

Kiracı yöneticisi Evet'i seçtikten sonra Kullanıcılar onay veremediği uygulamalar için yönetici onayı isteyebilir ve bir uygulama yönetici onayı gerektiren bir izin istediğinde, kullanıcı daha iyi bir kullanıcı deneyimi sağlayan aşağıdaki Onay gerekli iletişim kutusuna benzer bir şey görür.

Uygulamanın istediği izinleri açıklayan 'Onay gerekiyor' iletişim kutusunun ekran görüntüsü, 'Bu uygulamayı istemek için gerekçeyi girin' metin alanıyla birlikte.

Yukarıdaki örnek iletişim kutusunda kullanıcı, Onay iste'yi seçmeden önce bu uygulamayı istemek için gerekçe girebilir. Onay isteği daha sonra yöneticilerin kuruluşlarındaki uygulamaları risk profiline göre gözden geçirme, kabul etme veya yasaklama seçeneklerine sahip olduğu bir Yönetici onay istekleri kuyruğu (aşağıdaki örnek ekran görüntüsü) girer.

Bekleyen istekleri yapılandıran 'onay isteklerini Yönetici' Microsoft Entra yönetim merkezinin ekran görüntüsü.

Yönetici, yönetici onayı gerektiren bir uygulama çalıştırdığında (ve yönetici microsoft Entra yönetim merkezinde bu onayı henüz yapılandırmamışsa), yönetici kullanıcı aşağıdaki örneğe benzer şekilde biraz farklı İzinler için istenen iletişim kutusunu görür.

Uygulamanın istediği izinleri açıklayan 'İzinler istendi' iletişim kutusunun ekran görüntüsü, 'Kuruluşunuz adına onay' seçeneğini değiştirmek için bir onay kutusuyla birlikte.

Yukarıdaki örnekte yönetici, uygulamanın istediği izinlerin açıklamasını görür. Yönetici, uygulamayı tek tek çalıştırmak için Kabul Et'i seçebilir veya Kabul Et'i seçmeden önce kuruluşunuz adına Onay'ı seçebilir. Yönetici kuruluş için onay verdikten sonra, bir yönetici kiracıdan onay Yönetici onay isteği yapılandırması kaldırmadığı sürece gelecekteki kuruluş kullanıcılarının bu uygulama için izin vermesi gerekmez.

Kiracı yöneticisi onayının bir diğer yöntemi de, yöneticilerin uygulamanın bu örneğe benzer şekilde zaten istediği mevcut izinlerin ayrıntılarını gözden geçirebileceği Microsoft Entra yönetim merkezi İzinleri'dir .

Mevcut uygulama isteklerinin ayrıntılarını görüntüleyen Microsoft Entra yönetim merkezi 'İzinler'in ekran görüntüsü.

Yukarıdaki Kullanıcı onayı örneğinde yönetici, talepler, izin türü ve kimlerin izin verdiğiyle ilgili bilgilerle birlikte uygulama için verilen izinleri gözden geçirebilir. Yönetici, yönetici onayı gerektiren verilen izinleri gözden geçirmek için Yönetici onay seçebilir.

En iyi uygulama izinleri stratejiniz, uygulamanızı kaydettiğinizde uygulamanızın ihtiyaç duyabileceği veya sonunda isteyebileceği tüm izinleri önceden bildirmektir. Tüm izinleri aynı anda istemeniz gerekmez, ancak uygulamanızın ihtiyaç duyabileceği tüm izinleri bildirdikten sonra, yöneticiler bu örneğe benzer bir iletişim kutusu görüntülemek için kiracıdaki uygulamanızın yapılandırmasında Yönetici onayı ver'i seçebilir.

İptal ve Kabul Et düğmeleriyle uygulamanın istediği izinleri açıklayan 'İzinler kuruluşunuz için gözden geçirilmesi istendi' iletişim kutusunun ekran görüntüsü.

Yukarıdaki örnekte, yöneticinin bildirdiğiniz izinlere önceden nasıl onay verebildiği ve kullanıcılarınız ve kiracı yöneticileriniz için en iyi deneyimi nasıl sağlayabilecekleri gösterilmektedir.

Önceden yönetici onayı istemek, özellikle kuruluşunuzun geliştirdiği uygulamalar olmak üzere iş kolu (LOB) uygulamaları için mükemmel bir seçimdir. Bu uygulamalara önceden onay vererek şirketinizin verilerine erişip erişemediğini kullanıcınıza sormak zorunda olmak daha kolaydır. Uygulama kayıt işleminizin bir parçası olarak yönetici onayı isteğinde bulunursunuz.

Sonraki adımlar

  • Kaynaklara erişmek için yetkilendirme almak, uygulamanız için kaynak erişim izinleri alırken Sıfır Güven en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.
  • API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
  • Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
  • Belirteçleri özelleştirmek, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri ve en az ayrıcalıkla uygulama sıfır güven güvenliğini artırırken esnekliği ve denetimi geliştirmek için belirteçleri özelleştirmeyi açıklar.
  • Microsoft kimlik platformu izinlere ve onaylara genel bakış, temel erişim ve yetkilendirme kavramlarını anlamanıza yardımcı olur.
  • Onay ve izinlere genel bakış, Microsoft Entra Id'de onay ve izinlerle ilgili temel kavramları ve senaryoları öğrenmenize yardımcı olur.
  • Learn modülü: İzinler ve onay çerçevesi , izinleri ve onay çerçevesi modellerini öğrenmenize yardımcı olur.
  • Learn Live: Microsoft Identity: permissions and Consent Framework ; belirteçler, hesap türleri ve topolojiler dahil olmak üzere Microsoft kimliğinin temellerini öğrenmenize yardımcı olur.