Medgivandeupplevelse för program i Microsoft Entra-ID
I den här artikeln får du lära dig mer om användarupplevelsen för Microsoft Entra-programmedgivande. Du kan hantera program för din organisation på ett intelligent sätt och/eller utveckla program med en smidigare medgivandeupplevelse.
Medgivande är processen för en användare som beviljar auktorisering till ett program för att få åtkomst till skyddade resurser för deras räkning. En administratör eller användare kan uppmanas att ge sitt medgivande för att tillåta åtkomst till organisationens/enskilda data.
Den faktiska användarupplevelsen av att bevilja medgivande skiljer sig beroende på principer som angetts för användarens klientorganisation, användarens behörighetsområde (eller roll) och vilken typ av behörigheter som begärs av klientprogrammet. Det innebär att programutvecklare och klientadministratörer har viss kontroll över medgivandeupplevelsen. Administratörer har flexibiliteten att ange och inaktivera principer för en klientorganisation eller app för att kontrollera medgivandefunktionen i klientorganisationen. Programutvecklare kan bestämma vilka typer av behörigheter som begärs och om de vill vägleda användarna genom flödet för användarmedgivande eller flödet för administratörsmedgivande.
- Flöde för användarmedgivande är när en programutvecklare dirigerar användare till auktoriseringsslutpunkten med avsikten att registrera medgivande för endast den aktuella användaren.
- Flödet för administratörsmedgivande är när en programutvecklare dirigerar användare till slutpunkten för administratörsmedgivande med avsikt att registrera medgivande för hela klientorganisationen. För att säkerställa att flödet för administratörsmedgivande fungerar korrekt måste programutvecklare visa alla behörigheter i
RequiredResourceAccess
egenskapen i programmanifestet. Mer information finns i Programmanifest.
Byggstenar i medgivandeprompten
Medgivandeprompten är utformad för att säkerställa att användarna har tillräckligt med information för att avgöra om de litar på att klientprogrammet har åtkomst till skyddade resurser åt dem. Att förstå byggstenarna hjälper användare som beviljar medgivande att fatta mer välgrundade beslut och hjälper utvecklare att skapa bättre användarupplevelser.
Följande diagram och tabell innehåller information om byggstenarna i medgivandeprompten.
# | Komponent | Syfte |
---|---|---|
1 | Användaridentifierare | Den här identifieraren representerar den användare som klientprogrammet begär att få åtkomst till skyddade resurser för. |
2 | Title | Rubriken ändras baserat på om användarna går igenom användar- eller administratörsmedgivandeflödet. I användarmedgivandeflödet är rubriken "Behörigheter begärda" medan rubriken i administratörsmedgivandeflödet har en annan rad "Acceptera för din organisation". |
3 | App-logotyp | Den här bilden bör hjälpa användarna att få en visuell signal om huruvida den här appen är den app som de har för avsikt att komma åt. Den här avbildningen tillhandahålls av programutvecklare och ägarskapet för den här avbildningen verifieras inte. |
4 | Appnamn | Det här värdet bör informera användarna om vilket program som begär åtkomst till deras data. Observera att det här namnet tillhandahålls av utvecklarna och ägarskapet för det här appnamnet verifieras inte. |
5 | Utgivarens namn och verifiering | Det blå "verifierade" märket innebär att apputgivaren har verifierat sin identitet med hjälp av ett Microsoft Partner Network-konto och har slutfört verifieringsprocessen. Om appen har verifierats visas utgivarens namn. Om appen inte har verifierats visas "Overifierad" i stället för ett utgivarnamn. Mer information finns i om verifiering av utgivare. Om du väljer utgivarens namn visas mer appinformation som tillgänglig, till exempel utgivarens namn, utgivardomän, datum som skapats, certifieringsinformation och svars-URL:er. |
6 | Microsoft 365-certifiering | Microsoft 365-certifieringslogotypen innebär att en app har granskats mot kontroller som härleds från ledande branschstandardramverk och att det finns starka säkerhets- och efterlevnadsmetoder för att skydda kunddata. Mer information finns i Om Microsoft 365-certifiering. |
7 | Utgivarinformation | Visar om programmet har publicerats av Microsoft. |
8 | Behörigheter | Den här listan innehåller de behörigheter som begärs av klientprogrammet. Användare bör alltid utvärdera vilka typer av behörigheter som begärs för att förstå vilka data klientprogrammet kommer att ha behörighet att komma åt för deras räkning om de accepterar. Som programutvecklare är det bäst att begära åtkomst till de behörigheter som har minst behörighet. |
9 | Behörighetsbeskrivning | Det här värdet tillhandahålls av tjänsten som exponerar behörigheterna. Om du vill se behörighetsbeskrivningarna måste du växla sparren bredvid behörigheten. |
10 | https://myapps.microsoft.com |
Det här är länken där användare kan granska och ta bort alla program som inte kommer från Microsoft och som för närvarande har åtkomst till sina data. |
11 | Rapportera det här | Den här länken används för att rapportera en misstänkt app om du inte litar på appen, om du tror att appen utger sig för att vara en annan app, om du tror att appen missbrukar dina data eller av någon annan anledning. |
Vanliga scenarier och medgivandeupplevelser
I följande avsnitt beskrivs de vanliga scenarierna och den förväntade medgivandeupplevelsen för var och en av dem.
Appen kräver en behörighet som användaren har rätt att bevilja
I det här medgivandescenariot får användaren åtkomst till en app som kräver en behörighetsuppsättning som ligger inom användarens behörighetsområde. Användaren dirigeras till användarmedgivandeflödet.
Administratörer ser en annan kontroll i den traditionella medgivandeprompten som gör det möjligt att ge medgivande åt hela klientorganisationen. Kontrollen är som standard inaktiverad, så endast när administratörer uttryckligen markerar kryssrutan beviljas medgivande för hela klientorganisationens räkning. Kryssrutan visas endast för rollen Privilegierad rolladministratör, så molnadministratören och appadministratören ser inte den här kryssrutan.
Användarna ser den traditionella medgivandeprompten.
Appen kräver en behörighet som användaren inte har rätt att bevilja
I det här medgivandescenariot får användaren åtkomst till en app som kräver minst en behörighet som ligger utanför användarens behörighetsområde.
Administratörer ser en annan kontroll i den traditionella medgivandeprompten som tillåter dem medgivande för hela klientorganisationens räkning.
Användare som inte är administratör blockeras från att bevilja medgivande till programmet, och de uppmanas att be administratören om åtkomst till appen. Om arbetsflödet för administratörsmedgivande är aktiverat i användarens klientorganisation kan användarna skicka en begäran om administratörsgodkännande från medgivandeprompten. Mer information om arbetsflödet för administratörsmedgivande finns i Arbetsflöde för administratörsmedgivande.
Användaren dirigeras till flödet för administratörsmedgivande
I det här medgivandescenariot navigerar användaren till eller dirigeras till flödet för administratörsmedgivande.
Administratörsanvändare ser uppmaningen om administratörsmedgivande. Rubriken och behörighetsbeskrivningarna har ändrats i den här prompten. Ändringarna belyser det faktum att om du godkänner den här uppmaningen får appen åtkomst till begärda data för hela klientorganisationens räkning.
Användare blockeras från att bevilja medgivande till programmet och uppmanas att be administratören om åtkomst till appen.
Administratörsmedgivande via administrationscentret för Microsoft Entra
I det här scenariot godkänner en administratör alla behörigheter som ett program begär, vilket kan innehålla delegerade behörigheter för alla användare i klientorganisationen. Administratören beviljar medgivande via api-behörighetssidan för programregistreringen i administrationscentret för Microsoft Entra.
Alla användare i klientorganisationen ser inte medgivandedialogrutan om inte programmet kräver nya behörigheter. Information om vilka administratörsroller som kan samtycka till delegerade behörigheter finns i Administratörsrollbehörigheter i Microsoft Entra-ID.
Viktigt!
Att bevilja uttryckligt medgivande med hjälp av knappen Bevilja behörigheter krävs för närvarande för ensidesprogram (SPA) som använder MSAL.js. Annars misslyckas programmet när åtkomsttoken begärs.
Vanliga problem
I det här avsnittet beskrivs vanliga problem med medgivandeupplevelsen och möjliga felsökningstips.
403-fel
- Är det här ett delegerat scenario? Vilka behörigheter har en användare?
- Har nödvändiga behörigheter lagts till för att använda slutpunkten?
- Kontrollera token för att se om det finns nödvändiga anspråk för att anropa slutpunkten.
- Vilka behörigheter har fått medgivande? Vem har gett medgivande?
Användaren kan inte samtycka
- Kontrollera om klientadministratören har inaktiverat användarmedgivande för din organisation
- Kontrollera om de behörigheter som du begär är administratörsbegränsade behörigheter.
Användaren blockeras fortfarande även efter att administratören har gett medgivande
- Kontrollera om statiska behörigheter har konfigurerats för att vara en superuppsättning med behörigheter som begärs dynamiskt.
- Kontrollera om användartilldelning krävs för appen.
Felsöka kända fel
Felsökningssteg finns i Oväntat fel när du utför medgivande till ett program.
Se även
- Få en stegvis översikt över hur Microsoft Entra-ramverket för medgivande implementerar medgivande.
- Mer detaljerad information finns i hur ett program med flera klientorganisationer kan använda ramverket för medgivande för att implementera "användare" och "administratörsmedgivande" med stöd för mer avancerade programmönster på flera nivåer.
- Lär dig hur du konfigurerar appens utgivardomän.