Demander des autorisations qui nécessitent un consentement administratif
Dans cet article, nous décrivons l’expérience de consentement et d’autorisation pour un scénario où vous, en tant que développeur, écrivez votre code d’application pour demander des autorisations d’application qui nécessitent un consentement administratif. Les exemples de captures d’écran des boîtes de dialogue d’autorisation et de consentement et du Centre d’administration Microsoft Entra vous donnent une idée de l’expérience de vos utilisateurs et administrateurs clients. Améliorez la collaboration avec les administrateurs pour implémenter le principe de Confiance Zéro des privilèges minimum dans vos applications.
Quand vous développez votre application, vous écrivez du code qui demande un accès à une ressource en demandant un jeton d’accès avec une étendue spécifique (ou autorisation). Vous utilisez le paramètre d’étendue comme décrit dans la norme OAuth 2.0 que certaines personnes décrivent comme étant une autorisation. Les propriétaires de ressources accordent ou refusent les demandes d’autorisation. Dans Microsoft Entra ID, le propriétaire de ressource est soit l’utilisateur de l’application, soit un administrateur qui a les droits d’accorder son consentement à cette ressource au nom de tous les utilisateurs.
Expérience de consentement de l'utilisateur
Lorsque votre application demande l’autorisation d’accéder à une ressource, il est possible que votre utilisateur voit une boîte de dialogue Autorisations demandées similaire à cet exemple.
Dans l’exemple de boîte de dialogue ci-dessus, l’utilisateur accorde le consentement pour permettre à l’application de lire les données en leur nom en sélectionnant Accepter ou refuser la demande en sélectionnant Annuler. L’application reçoit un jeton d’accès et peut continuer ces processus, une fois le consentement donné par l’utilisateur. N’oubliez pas de vous assurer que votre application est prête à gérer correctement lorsqu’elle ne reçoit pas de jeton.
expérience de consentement Administration
Pour certaines demandes d’accès, seul un administrateur peut accorder son consentement. Si l’accès demandé est puissant ou implique des ressources dont les propriétaires ne sont pas les utilisateurs actuels, code pour que seul un administrateur puisse accorder des demandes.
Cependant, vous ne connaissez jamais les autorisations qui nécessitent un consentement administratif et celles qui permettent à un utilisateur régulier de donner son consentement, car les administrateurs de locataire peuvent configurer leur locataire avec l’option Ne pas autoriser le consentement de l’utilisateur (toutes les autorisations nécessitent un consentement administrateur) comme illustré dans l’exemple de capture d’écran suivant des Paramètres de consentement de l’utilisateur dans le centre d’administration Microsoft Entra.
les Administration peuvent également Autoriser le consentement de l’utilisateur pour les applications à partir d’éditeurs vérifiés, pour les autorisations sélectionnées, comme illustré dans l’exemple de capture d’écran ci-dessous des paramètres de consentement utilisateur dans le Centre d’administration Microsoft Entra.
les Administration peuvent ensuite Ajoutez des autorisations auxquelles les utilisateurs peuvent donner leur consentement, comme indiqué dans l’exemple de capture d’écran suivant des classifications d’autorisations dans le Centre d’administration Microsoft Entra.
Quand votre application demande une autorisation qui exige le consentement administrateur (par dessein ou configuration de l’administrateur), il est possible que votre utilisateur voit une boîte de dialogue Approbation administrateur requise similaire à cet exemple.
L’exemple de boîte de dialogue ci-dessus montre l’expérience par défaut (prête à l’emploi) pour les autorisations qui nécessitent le consentement de l’administrateur. La plupart des utilisateurs ne savent pas quoi faire dans ce scénario. Ils ne savent pas qui est leur administrateur, ils ne savent pas qui aller pour approbation. Cette incertitude peut limiter la capacité de l’utilisateur à obtenir des résultats souhaités.
Amélioration des autorisations et de l’expérience de consentement
Pour améliorer les autorisations et l’expérience de consentement,administrateur client peut configurer le flux de travail de consentement administrateur, comme illustré dans l’exemple de capture d’écran suivant des paramètres utilisateur dans le Centre d’administration Microsoft Entra.
Dans Demandes de consentement administrateur, l’administrateur de locataire peut améliorer l’expérience de consentement et d’autorisation de l’utilisateur en sélectionnant Oui sur Les utilisateurs peuvent demander un consentement administrateur aux applications pour lesquelles ils ne peuvent pas donner leur consentement et en configurant d’autres paramètres Demandes de consentement administrateur.
Après la sélection de Oui par l’administrateur de locataire sur Les utilisateurs peuvent demander un consentement administrateur aux applications pour lesquelles ils ne peuvent pas donner leur consentement et la demande d’autorisation par une application nécessitant un consentement administrateur, l’utilisateur voit un élément similaire à la boîte de dialogue Approbation exigée suivant qui fournit une meilleure expérience utilisateur.
Dans l’exemple de boîte de dialogue ci-dessus, l’utilisateur peut entrer une justification pour demander cette application avant de sélectionner Demander l’approbation. La demande d’approbation entre ensuite une file d’attente de demandes de consentement administrateur dans laquelle les administrateurs ont des options pour examiner, accepter ou interdire les applications de leur organisation en fonction du profil de risque.
Quand un administrateur exécute une application qui nécessite un consentement administrateur sans configurer un consentement dans le centre d’administration Microsoft Entra, l’utilisateur administrateur voit une boîte de dialogue Autorisations demandées semblable à l’exemple suivant.
Dans l’exemple ci-dessus, l’administrateur voit une description des autorisations demandées par l’application. L’administrateur peut sélectionner Accepter pour exécuter individuellement l’application ou sélectionner Consentement pour le compte de votre organisation avant de sélectionner Accepter. Une fois que l’administrateur donne son consentement à l’application, aucun futur utilisateur de l’organisation n’a besoin de donner son autorisation pour cette application, sauf si un administrateur supprime le consentement dans la configuration Demandes de consentement administrateur du tenant.
Une autre méthode de consentement administrateur de locataire se situe dans Autorisations du centre d’administration Microsoft Entra où les administrateurs peuvent passer en revue les détails des autorisations d’application précédemment demandées.
Dans l’exemple de consentement de l’utilisateur ci-dessus, l’administrateur peut examiner les autorisations accordées pour l’application, ainsi que des informations sur les revendications, le type d’autorisation et qui a donné son consentement. L’administrateur peut sélectionner Administration consentement pour passer en revue les autorisations accordées qui nécessitent le consentement de l’administrateur.
Demande de consentement administrateur à l’avance
Votre meilleure stratégie des autorisations d’application consiste à déclarer d’avance toutes les autorisations dont votre application peut avoir besoin ou vous demander d’inscrire votre application. Vous n’avez pas à demander toutes les autorisations en même temps mais, après avoir déclaré toutes les autorisations dont votre application peut avoir besoin, les administrateurs peuvent sélectionner Accorder un consentement d’administrateur pour dans la configuration de votre application dans le tenant pour afficher un dialogue similaire à cet exemple.
L’exemple ci-dessus montre comment l’administrateur peut donner son consentement d’avance aux autorisations que vous avez déclarées et fournir la meilleure expérience pour vos utilisateurs et administrateurs de locataire.
La demande de consentement administrateur à l’avance est un excellent choix pour les applications métier( LOB), en particulier les applications que votre organisation développe. Il est plus simple de ne pas demander à votre utilisateur si votre entreprise peut accéder aux données de celle-ci en consentant d’avance à ces demandes. Vous effectuez la demande de consentement de l’administrateur dans le cadre de votre processus d’inscription d’application.
Étapes suivantes
- Acquérir l’autorisation d’accéder aux ressources vous aide à comprendre comment garantir la Confiance Zéro lors de l’acquisition d’autorisations d’accès aux ressources pour votre application.
- API Protection décrit les meilleures pratiques pour protéger votre API par le biais de l'enregistrement, de la définition des autorisations et du consentement, et de l'application de l'accès pour atteindre vos objectifs de confiance zéro.
- Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.
- Personnaliser les jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra. Cela explique comment personnaliser des jetons pour améliorer la flexibilité et le contrôle tout en augmentant la sécurité confiance zéro de l’application avec des privilèges minimum.
- Vue d’ensemble des autorisations et du consentement dans le Plateforme d'identités Microsoft vous aide à comprendre les concepts fondamentaux de l’accès et de l’autorisation.
- Vue d'ensemble du consentement et des autorisations vous permet d’apprendre des concepts fondamentaux et des scénarios autour du consentement et des autorisations dans Microsoft Entra ID.
- Module Learn : Les autorisations et l’infrastructure de consentement vous aident à apprendre les autorisations et les modèles d’infrastructure de consentement.
- Learn Live : Microsoft Identity : Permissions and Consent Framework vous aide à découvrir les principes de base de l’identité Microsoft, notamment les jetons, les types de comptes et les topologies.