建立及設定存取權檢閱程式

已完成

Azure Active Directory (Azure AD) 存取權檢閱是 Azure AD Identity Governance 的一項功能。 存取權檢閱可協助確保適當身分識別具有組織中適當資源的適當存取權。 您可以使用 Microsoft Graph 中的存取權檢閱 API,以程式設計方式實作存取權檢閱。

Azure AD 存取權檢閱資料模型

Azure AD 存取權檢閱功能會新增下列資源類型:

資源類型 描述
accessReview 該容器代表存取權檢閱。 可以是一次性檢閱、週期性檢閱系列或週期性檢閱的執行個體。
businessFlowTemplate 商務流程的範本會決定要執行存取權檢閱的資源類型。 建立存取權檢閱時,呼叫者會提供範本的識別碼,例如用於檢閱群組的來賓成員 (商務流程範本物件是唯讀的,當全域管理員將租用戶上線以使用存取權檢閱功能時,就會自動產生這些物件。無法建立其他商務流程範本)。
program 代表 Azure AD 存取權檢閱程式。 程式是保存程式控制項的容器。 一個租用戶可以有一或多個程式。 每個控制項都會將存取權檢閱連結至程式,以便更輕鬆地尋找相關的存取權檢閱。 每個具有已上線 Azure AD 存取權檢閱的租用戶都有一個程式 Default program。 全域管理員可以建立其他程式,例如用於代表合規性計畫。
programControl 代表控制項,會將存取權檢閱連結至特定程式
programControlType 將控制項與程式建立關聯時,會使用程式控制項類型,以指出控制項的存取權檢閱類型 (程式控制項類型物件是唯讀的,當全域管理員將租用戶上線以使用存取權檢閱功能時,就會自動產生這些物件。無法建立其他程式控制項類型)。

註冊有權呼叫 Graph 中存取權檢閱 API 的 Azure AD 應用程式

Graph 授權模型要求應用程式必須取得使用者或管理員同意,才能存取組織的資料。

  1. 以全域管理員身分開啟 Azure 入口網站。

  2. 瀏覽至 Azure AD 延伸模組,然後在 [管理] 區段中選取 [應用程式註冊],以登陸頁面註冊應用程式

  3. 選取頁面頂端的 [新增應用程式註冊] 按鈕。

  4. 提供與租用戶目錄中任何其他應用程式不同的應用程式名稱 (範例 = graphsample)。

  5. 將 [應用程式類型] 變更為 [原生],並提供下面一行作為重新導向 URI:

    urn:ietf:wg:oauth:2.0:oob

  6. 選取 [建立]。

  7. 註冊應用程式時,請複製 [應用程式識別碼] 值,並儲存此值以供稍後使用。

  8. 選取 [設定],然後選取 [必要權限]。

  9. 選取 [新增]。 選擇 [選取 API],選取 [Microsoft Graph],然後選擇 [選取]。

  10. Azure AD 存取權檢閱會使用下列委派權限:

    • 讀取使用者有權存取的所有存取權檢閱

    • 管理使用者有權存取的所有存取權檢閱

    • 讀取使用者有權存取的所有程式

    • 管理使用者有權存取的所有程式。

      此範例應用程式只需要權限:[讀取使用者有權存取的所有存取權檢閱] 和 [讀取使用者有權存取的所有程式]

  11. 核取這兩個權限旁的核取方塊,然後選擇 [選取]。

  12. 選取 [完成]。

存取權檢閱 API 的建置組塊

存取權檢閱 API 是以邏輯方式建構,並且由下列建置組塊組成。

  1. 存取權檢閱排程定義

    • 這是邏輯藍圖,其中包含存取權檢閱及其執行個體的設定。 這些設定包括:

      • 所要存取的資源。
      • 存取資源的主體。
      • 證明主體需要維護資源存取權的檢閱者。
      • 存取權檢閱的頻率。
      • 存取權檢閱的階段 (適用於多階段存取權檢閱)。
  2. 存取權檢閱執行個體

    • 代表檢閱者會對其做出決策的單一檢閱活動或發生次數。 存取權檢閱定義可能會有多個執行個體,如同週期性檢閱的情況。 一次性檢閱只有一個執行個體。 針對多階段存取權檢閱,每個執行個體最多包含三個階段。
  3. 記錄以供檢閱的決策項目

    • 代表檢閱者對某個執行個體所做的決策,包括時間戳記和決策的理由。 每個檢閱執行個體的決策數目會與檢閱中的主體數目相同。 如果沒有做出任何決策 (也就是說,檢閱者尚未回應檢閱),則執行個體不會有任何決策物件。