Verwenden der rollenbasierten Zugriffssteuerung für Anwendungen

Gilt für: Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit einem weißen Häkchensymbol. externe Mandanten (weitereInformationen)

Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) ist eine beliebte Methode zum Erzwingen der Autorisierung in Anwendungen. Wenn eine Organisation die rollenbasierte Zugriffssteuerung verwendet, definiert ein Anwendungsentwickler Rollen für die Anwendung. Ein Administrator kann dann verschiedenen Benutzern und Gruppen Rollen zuweisen, um zu steuern, wer in der Anwendung auf welche Inhalte und Funktionen zugreifen kann.

Anwendungen erhalten Informationen zu Benutzerrollen in der Regel als Ansprüche in einem Sicherheitstoken. Entwickler können ihre eigene Implementierung flexibel dafür bereitstellen, wie Rollenansprüche als Anwendungsberechtigungen interpretiert werden sollen. Diese Interpretation der Berechtigungen kann mithilfe von Middleware oder anderen Optionen erfolgen, die von der Plattform der Anwendungen oder den zugehörigen Bibliotheken bereitgestellt werden.

App-Rollen

Mit Microsoft Entra External ID können Sie Anwendungsrollen für Ihre Anwendung definieren und diese Rollen Benutzern und Gruppen zuweisen. Die Rollen, die Sie einem Benutzer oder einer Gruppe zuweisen, definieren deren Zugriffsebene auf die Ressourcen und Vorgänge in Ihrer Anwendung.

Wenn Microsoft Entra External ID ein Sicherheitstoken für ein authentifiziertes Benutzerkonto ausstellt, schließt es im Rollenanspruch des Sicherheitstokens die Namen der Rollen ein, die Sie dem Benutzerkonto oder der Gruppe zugewiesen haben. Eine Anwendung, die dieses Sicherheitstoken in einer Anforderung erhält, kann dann Autorisierungsentscheidungen basierend auf den Werten im Rollenanspruch treffen.

Tipp

Jetzt testen

Um dieses Feature auszuprobieren, wechseln Sie zur Woodgrove Groceries Demo, und starten Sie den Anwendungsfall "Rollenbasierte Zugriffssteuerung".

Gruppen

Entwickler können die rollenbasierte Zugriffssteuerung auch mithilfe von Sicherheitsgruppen in ihren Anwendungen implementieren. Dabei werden die Mitgliedschaften der Benutzer in spezifischen Gruppen als deren Rollenmitgliedschaften interpretiert. Wenn eine Organisation Sicherheitsgruppen verwendet, ist ein Gruppenanspruch im Token enthalten. Der Gruppenanspruch gibt die Bezeichner aller Gruppen an, denen der Benutzer im aktuellen externen Mandanten zugewiesen ist.

Tipp

Jetzt testen

Um dieses Feature auszuprobieren, wechseln Sie zur Woodgrove Groceries Demo, und starten Sie den Anwendungsfall "Gruppenbasierte Zugriffssteuerung".

App-Rollen im Vergleich zu Gruppen

Obwohl Sie App-Rollen oder Gruppen für die Autorisierung verwenden können, können wichtige Unterschiede zwischen ihnen Ihre Entscheidung beeinflussen, welche für das Szenario verwendet werden sollen.

App-Rollen Gruppen
Sie sind für eine Anwendung spezifisch und werden in der App-Registrierung definiert. Sie sind nicht spezifisch für eine App, sondern für einen externen Mandanten.
Sie können nicht anwendungsübergreifend verwendet werden. Sie können in mehreren Anwendungen verwendet werden.
App-Rollen werden entfernt, wenn Ihre App-Registrierung entfernt wird. Gruppen bleiben intakt, auch wenn die App entfernt wird.
Werden im roles-Anspruch bereitgestellt. Werden im groups-Anspruch bereitgestellt.

Erstellen einer Sicherheitsgruppe

Sicherheitsgruppen verwalten den Benutzer- und Computerzugriff auf freigegebene Ressourcen. Sie können eine Sicherheitsgruppe erstellen, damit alle Gruppenmitglieder dieselben Sicherheitsberechtigungen haben.

Führen Sie die folgenden Schritte aus, um eine Sicherheitsgruppe zu erstellen:

  1. Melden Sie sich im Microsoft Entra Admin Center mindestens als Gruppenadministrierender an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol für Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zum externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
  4. Wählen Sie Neue Gruppe aus.
  5. Wählen Sie in der Dropdownliste Gruppentyp die Option Sicherheit aus.
  6. Geben Sie einen Wert im Feld Gruppenname für die Sicherheitsgruppe ein, z. B. Contoso_App_Administratoren.
  7. Geben Sie eine Gruppenbeschreibung für die Sicherheitsgruppe ein, z. B. Contoso App Sicherheitsadmin.
  8. Klicken Sie auf Erstellen.

Die neue Sicherheitsgruppe wird in der Liste Alle Gruppen angezeigt. Falls Sie sie nicht direkt sehen, aktualisieren Sie die Seite.

Microsoft Entra External ID für Kundinnen und Kunden kann Informationen zur Gruppenmitgliedschaft eines Benutzerkontos in Token bereitstellen, damit diese in Anwendungen verwendet werden können. Im Abschnitt Zuweisen von Benutzern und Gruppen zu Rollen erfahren Sie, wie Sie Token den Gruppenanspruch hinzufügen.

Deklarieren von Rollen für eine Anwendung

  1. Melden Sie sich im Microsoft Entra Admin Center mindestens als Administrator für privilegierte Rollen an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

  3. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.

  4. Wählen Sie die Anwendung aus, in der Sie App-Rollen definieren möchten.

  5. Wählen Sie App-Rollen und dann App-Rolle erstellen aus.

  6. Geben Sie im Bereich App-Rolle erstellen die Einstellungen für die Rolle ein. In der folgenden Tabelle werden die einzelnen Einstellungen mit den jeweiligen Parametern beschrieben.

    Feld Beschreibung Beispiel
    Anzeigename Anzeigename für die Anwendungsrolle, die auf der Benutzeroberfläche für App-Zuweisungen angezeigt wird. Dieser Wert kann Leerzeichen enthalten. Orders manager
    Zulässige Mitgliedstypen Gibt an, ob diese App-Rolle Benutzern, Anwendungen oder beiden zugeordnet werden kann. Users/Groups
    Wert Gibt den Wert des Rollenanspruchs an, den die Anwendung in den Token erwarten sollte. Der Wert sollte genau mit der Zeichenfolge übereinstimmen, auf die im Code der Anwendung verwiesen wird. Der Wert darf keine Leerzeichen enthalten. Orders.Manager
    Beschreibung Eine ausführlichere Beschreibung der App-Rolle, die dem Administrator auf der Benutzeroberfläche für App-Zuweisungen angezeigt wird. Manage online orders.
    Möchten Sie diese App-Rolle aktivieren? Gibt an, ob die App-Rolle aktiviert ist. Um eine App-Rolle zu löschen, deaktivieren Sie dieses Kontrollkästchen, und wenden Sie die Änderung an, bevor Sie den Löschvorgang starten. Überprüft
  7. Klicken Sie dann auf Übernehmen, um die Anwendungsrolle zu erstellen.

Zuweisen von Benutzern und Gruppen zu Rollen

Nachdem Sie Anwendungsrollen in Ihrer Anwendung hinzugefügt haben, kann ein Administrator den Rollen Benutzer und Gruppen zuweisen. Die Zuweisung von Benutzern und Gruppen zu Rollen kann über das Admin Center oder programmgesteuert mit Microsoft Graph erfolgen. Wenn sich Benutzer, denen verschiedene Anwendungsrollen zugewiesen sind, bei der Anwendung anmelden, enthalten deren Token die zugewiesenen Rollen im roles-Anspruch.

So weisen Sie Benutzern und Gruppen im Azure-Portal Anwendungsrollen zu:

  1. Melden Sie sich im Microsoft Entra Admin Center mindestens als Administrator für privilegierte Rollen an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  4. Wählen Sie Alle Anwendungen, um eine Liste mit Ihren Anwendungen anzuzeigen. Falls die Anwendung nicht in der Liste angezeigt wird, können Sie oben in der Liste Alle Anwendungen die Filter verwenden, um den Inhalt der Liste einzugrenzen. Sie können auch in der Liste nach unten scrollen, um nach Ihrer Anwendung zu suchen.
  5. Wählen Sie die Anwendung aus, in der Sie Benutzer oder eine Sicherheitsgruppe zu Rollen zuweisen möchten.
  6. Klicken Sie unter Verwalten auf Benutzer und Gruppen.
  7. Wählen Sie Benutzer hinzufügen aus, um den Bereich Zuweisung hinzufügen zu öffnen.
  8. Wählen Sie im Bereich Zuweisung hinzufügen die Option Benutzer und Gruppen aus. Eine Liste von Benutzern und Sicherheitsgruppen wird angezeigt. Sie können mehrere Benutzer und Gruppen in der Liste auswählen.
  9. Nachdem Sie Benutzer und Gruppen ausgewählt haben, wählen Sie Auswählen aus.
  10. Wählen Sie im Bereich Zuweisung hinzufügen die Option Rolle auswählen aus. Alle Rollen, die Sie für die Anwendung definiert haben, werden angezeigt.
  11. Wählen Sie eine Rolle und dann Auswählen aus.
  12. Wählen Sie Zuweisen aus, um die Zuweisung von Benutzern und Gruppen zur App abzuschließen.
  13. Vergewissern Sie sich, dass die hinzugefügten Benutzer und Gruppen in der Liste Benutzer und Gruppen angezeigt werden.

Um Ihre Anwendung zu testen, melden Sie sich ab und danach erneut mit dem Benutzer an, dem Sie die Rollen zugewiesen haben. Überprüfen Sie das Sicherheitstoken, um sicherzustellen, dass es die Rolle des Benutzers enthält.

Hinzufügen von Gruppenansprüchen zu Sicherheitstoken

Führen Sie die folgenden Schritte aus, um die Gruppenmitgliedschaftsansprüche in Sicherheitstoken zu übermitteln:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol für Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zum externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Anwendungen>App-Registrierungen.
  4. Wählen Sie die Anmeldung aus, in der Sie den Gruppenanspruch hinzufügen wollen.
  5. Wählen Sie unter Verwalten die Option Tokenkonfiguration aus.
  6. Wählen Sie Anspruchsgruppen hinzufügen aus.
  7. Wählen Sie die Gruppentypen aus, die in die Sicherheitstoken einbezogen werden sollen.
  8. Wählen Sie für Tokeneigenschaften nach Typ anpassendie Option Gruppen-ID aus.
  9. Wählen Sie Hinzufügen aus, um den Gruppenanspruch hinzuzufügen.

Hinzufügen von Mitgliedern zu einer Gruppe

Nachdem Sie nun den Anwendungsgruppenanspruch in Ihrer Anwendung hinzugefügt haben, fügen Sie den Sicherheitsgruppen Benutzer hinzu. Erstellen Sie eine Sicherheitsgruppe, wenn noch keine vorhanden ist.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol für Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zum externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
  4. Wählen Sie die Gruppe aus, die Sie verwalten möchten.
  5. Wählen Sie Mitglieder aus.
  6. Wählen Sie + Mitglieder hinzufügen aus.
  7. Scrollen Sie durch die Liste, oder geben Sie einen Namen in das Suchfeld ein. Sie können mehrere Namen auswählen. Wählen Sie abschließend Auswählen aus.
  8. Die Seite Gruppenübersicht wird aktualisiert und zeigt danach die Anzahl der Mitglieder an, die nun der Gruppe hinzugefügt sind.

Um Ihre Anwendung zu testen, melden Sie sich ab und danach erneut mit dem Benutzer an, den Sie der Sicherheitsgruppe hinzugefügt haben. Überprüfen Sie das Sicherheitstoken, um sicherzustellen, dass es die Gruppenmitgliedschaft des Benutzers enthält.

Unterstützung von Gruppen- und Anwendungsrollen

Ein externer Mandant folgt dem Benutzer- und Gruppenverwaltungsmodell und der Anwendungszuweisung von Microsoft Entra. Viele der Kernfeatures von Microsoft Entra werden schrittweise in externen Mandanten eingeführt.

Die folgende Tabelle zeigt, welche Funktionen derzeit verfügbar sind.

Feature Derzeit verfügbar
Erstellen einer Anwendungsrolle für eine Ressource Ja, durch Ändern des Anwendungsmanifests
Zuweisen einer Anwendungsrolle zu Benutzerinnen bzw. Benutzern Ja
Zuweisen einer Anwendungsrolle zu Gruppen Ja, nur über Microsoft Graph
Zuweisen einer Anwendungsrolle zu Anwendungen Ja, über Anwendungsberechtigungen
Zuweisen einer Benutzerin oder eines Benutzers zu einer Anwendungsrolle Ja
Zuweisen einer Anwendung zu einer Anwendungsrolle (Anwendungsberechtigung) Ja
Hinzufügen einer Gruppe zu einer Anwendung / einem Dienstprinzipal (Gruppenanspruch) Ja, nur über Microsoft Graph
Erstellen/Aktualisieren/Löschen einer Kundin bzw. eines Kunden (lokaler Benutzer) über das Microsoft Entra Admin Center Ja
Zurücksetzen des Kennworts für eine Kundin bzw. einen Kunden (lokaler Benutzer) über das Microsoft Entra Admin Center Ja
Erstellen/Aktualisieren/Löschen einer Kundin bzw. eines Kunden (lokaler Benutzer) über Microsoft Graph Ja
Zurücksetzen eines Kennworts für eine Kundin bzw. einen Kunden (lokaler Benutzer) über Microsoft Graph Ja, nur, wenn der Dienstprinzipal der Rolle „Globaler Admin“ hinzugefügt wird
Erstellen/Aktualisieren/Löschen einer Sicherheitsgruppe über das Microsoft Entra Admin Center Ja
Erstellen/Aktualisieren/Löschen einer Sicherheitsgruppe über die Microsoft Graph-API Ja
Ändern von Sicherheitsgruppenmitgliedern mithilfe des Microsoft Entra Admin Center Ja
Ändern von Sicherheitsgruppenmitgliedern mithilfe der Microsoft Graph-API Ja
Skalieren von bis zu 50.000 Benutzerinnen bzw. Benutzern und 50.000 Gruppen Derzeit nicht verfügbar
Hinzufügen von 50.000 Benutzerinnen bzw. Benutzern zu mindestens zwei Gruppen Derzeit nicht verfügbar

Nächste Schritte