Yönetici onayı gerektiren izinler isteme
Bu makalede, geliştirici olarak yönetici onayı gerektirecek uygulama izinleri istemek için uygulama kodunuzu yazdığınız bir senaryo için izin ve onay deneyimini açıklayacağız. İzin ve onay iletişim kutularının ve Microsoft Entra yönetim merkezinin örnek ekran görüntüleri, kullanıcılarınızın ve kiracı yöneticilerinizin neler yaşadığı hakkında size bir fikir verir. Uygulamalarınızda Sıfır Güven en az ayrıcalık ilkesini uygulamak için yöneticilerle işbirliğini geliştirin.
Uygulamanızı geliştirirken, belirli bir kapsama (veya izine) sahip bir erişim belirteci isteyerek bir kaynağa erişim isteyen kod yazacaksınız. Bazı kişilerin izin olarak tanımladığı OAuth 2.0 standardında açıklandığı gibi kapsam parametresini kullanacaksınız. Bir kaynak sahibi her izin isteğini verir veya reddeder. Microsoft Entra Id'de kaynak sahibi, uygulamanın kullanıcısı veya tüm kullanıcılar adına bu kaynağa onay verme haklarına sahip bir yöneticidir.
Kullanıcı onayı deneyimi
Uygulamanız bir kaynağa erişim izni istediğinde, kullanıcınız bu örneğe benzer bir İstenen İzinler iletişim kutusunu görebilir.
Yukarıdaki örnek iletişim kutusunda kullanıcı, Kabul Et'i seçerek uygulamanın verileri kendi adına okumasına izin vermek için onay verir veya İptal'i seçerek isteği reddeder. Uygulama bir erişim belirteci alır ve kullanıcı onay verdikten sonra işlemlerine devam edebilecektir. Uygulamanızın belirteç almadığında düzgün bir şekilde işlemeye hazır olduğundan emin olun.
Yönetici onay deneyimi
Bazı erişim istekleri için yalnızca bir yönetici onay verebilir. İstenen erişim güçlüyse veya sahipleri geçerli kullanıcılar olmayan kaynakları içeriyorsa, yalnızca bir yöneticinin istek verebilmesini sağlayan kod.
Ancak, Microsoft Entra yönetim merkezindeki kullanıcı onayı ayarlarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi kiracı yöneticileri kullanıcı onayına izin verme (tüm izinler yönetici onayı gerektirir) ile kiracılarını yapılandırabildiğinden, hangi izinlerin yönetici onayı gerektireceğini ve normal bir kullanıcının onay vermesine izin verebileceğini asla bilemezsiniz.
Yönetici de Microsoft Entra yönetim merkezindeki Kullanıcı onayı ayarlarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi, seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin verin.
Yönetici daha sonra Microsoft Entra yönetim merkezindeki İzin sınıflandırmalarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi kullanıcıların onay verebileceği izinler ekleyin.
Uygulamanız yönetici onayı gerektiren bir izin istediğinde (tasarım veya yönetici yapılandırmasına göre), kullanıcınız bu örneğe benzer bir Yönetici onayı gerekiyor iletişim kutusunu görebilir.
Yukarıdaki örnek iletişim kutusunda, yönetici onayı gerektiren izinler için varsayılan (kullanıma hazır) deneyim gösterilir. Kullanıcıların çoğu bu senaryoda ne yapacağını bilmez. Yöneticilerinin kim olduğunu, onay için kime gideceklerini bilmiyorlar. Bu belirsizlik kullanıcının istenen sonuçları elde etme becerisini sınırlayabilir.
İzinleri ve onay deneyimini geliştirme
kiracı yöneticisi, izinleri ve onay deneyimini geliştirmek için, Microsoft Entra yönetim merkezindeki Kullanıcı ayarlarınınaşağıdaki örnek ekran görüntüsünde gösterildiği gibi yönetici onayı iş akışını yapılandırabilir.
Kiracı yöneticisi, onay istekleri Yönetici altında, Kullanıcılar onaylayamadıkları uygulamalar için yönetici onayı isteyebilir ve diğer Yönetici onay istekleri ayarlarını yapılandırarak Evet'iseçerek kullanıcının izin ve onay deneyimini geliştirebilir.
Kiracı yöneticisi Evet'i seçtikten sonra Kullanıcılar onay veremediği uygulamalar için yönetici onayı isteyebilir ve bir uygulama yönetici onayı gerektiren bir izin istediğinde, kullanıcı daha iyi bir kullanıcı deneyimi sağlayan aşağıdaki Onay gerekli iletişim kutusuna benzer bir şey görür.
Yukarıdaki örnek iletişim kutusunda kullanıcı, Onay iste'yi seçmeden önce bu uygulamayı istemek için gerekçe girebilir. Onay isteği daha sonra yöneticilerin kuruluşlarındaki uygulamaları risk profiline göre gözden geçirme, kabul etme veya yasaklama seçeneklerine sahip olduğu bir Yönetici onay istekleri kuyruğu (aşağıdaki örnek ekran görüntüsü) girer.
Yönetici, yönetici onayı gerektiren bir uygulama çalıştırdığında (ve yönetici microsoft Entra yönetim merkezinde bu onayı henüz yapılandırmamışsa), yönetici kullanıcı aşağıdaki örneğe benzer şekilde biraz farklı İzinler için istenen iletişim kutusunu görür.
Yukarıdaki örnekte yönetici, uygulamanın istediği izinlerin açıklamasını görür. Yönetici, uygulamayı tek tek çalıştırmak için Kabul Et'i seçebilir veya Kabul Et'i seçmeden önce kuruluşunuz adına Onay'ı seçebilir. Yönetici kuruluş için onay verdikten sonra, bir yönetici kiracıdan onay Yönetici onay isteği yapılandırması kaldırmadığı sürece gelecekteki kuruluş kullanıcılarının bu uygulama için izin vermesi gerekmez.
Kiracı yöneticisi onayının bir diğer yöntemi de, yöneticilerin uygulamanın bu örneğe benzer şekilde zaten istediği mevcut izinlerin ayrıntılarını gözden geçirebileceği Microsoft Entra yönetim merkezi İzinleri'dir .
Yukarıdaki Kullanıcı onayı örneğinde yönetici, talepler, izin türü ve kimlerin izin verdiğiyle ilgili bilgilerle birlikte uygulama için verilen izinleri gözden geçirebilir. Yönetici, yönetici onayı gerektiren verilen izinleri gözden geçirmek için Yönetici onay seçebilir.
Önceden yönetici onayı isteme
En iyi uygulama izinleri stratejiniz, uygulamanızı kaydettiğinizde uygulamanızın ihtiyaç duyabileceği veya sonunda isteyebileceği tüm izinleri önceden bildirmektir. Tüm izinleri aynı anda istemeniz gerekmez, ancak uygulamanızın ihtiyaç duyabileceği tüm izinleri bildirdikten sonra, yöneticiler bu örneğe benzer bir iletişim kutusu görüntülemek için kiracıdaki uygulamanızın yapılandırmasında Yönetici onayı ver'i seçebilir.
Yukarıdaki örnekte, yöneticinin bildirdiğiniz izinlere önceden nasıl onay verebildiği ve kullanıcılarınız ve kiracı yöneticileriniz için en iyi deneyimi nasıl sağlayabilecekleri gösterilmektedir.
Önceden yönetici onayı istemek, özellikle kuruluşunuzun geliştirdiği uygulamalar olmak üzere iş kolu (LOB) uygulamaları için mükemmel bir seçimdir. Bu uygulamalara önceden onay vererek şirketinizin verilerine erişip erişemediğini kullanıcınıza sormak zorunda olmak daha kolaydır. Uygulama kayıt işleminizin bir parçası olarak yönetici onayı isteğinde bulunursunuz.
Sonraki adımlar
- Kaynaklara erişmek için yetkilendirme almak, uygulamanız için kaynak erişim izinleri alırken Sıfır Güven en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.
- API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
- Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
- Belirteçleri özelleştirmek, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri ve en az ayrıcalıkla uygulama sıfır güven güvenliğini artırırken esnekliği ve denetimi geliştirmek için belirteçleri özelleştirmeyi açıklar.
- Microsoft kimlik platformu izinlere ve onaylara genel bakış, temel erişim ve yetkilendirme kavramlarını anlamanıza yardımcı olur.
- Onay ve izinlere genel bakış, Microsoft Entra Id'de onay ve izinlerle ilgili temel kavramları ve senaryoları öğrenmenize yardımcı olur.
- Learn modülü: İzinler ve onay çerçevesi , izinleri ve onay çerçevesi modellerini öğrenmenize yardımcı olur.
- Learn Live: Microsoft Identity: permissions and Consent Framework ; belirteçler, hesap türleri ve topolojiler dahil olmak üzere Microsoft kimliğinin temellerini öğrenmenize yardımcı olur.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin