3
AzureAD Enterprise Application, App Registration und Admin consent. Zusammenhang?
Hallo zusammen,
ich erstelle viele Enterprise Applications und App Registrations in der AzureAD.
Wir bevorzugen, dass der Zugriff auf die Enterprise Applications durch Zuweisung in Gruppen in "User and Groups" genehmigt wird. (u.a. können wir den Usern die Berechtigung zur jeweiligen App über ein Formular beantragen lassen.)
Dies wird auch unter Properties entsprechend ausgewählt: Assignment required: YES
Obwohl diese Einstellungen aktiv sind, erhalten wir dann und wann die Anfrage "Admin consent required".
Unter welchen Umständen kann der User eine Anwendung über "Admin consent required" beantragen, obwohl die Anwendung ja bereits in der AzureAD bekannt ist?
Den Zusammenhang habe ich noch nicht vestanden und finde auch keine Quellen dazu.
Das hätten wir gerne automatisiert über oben beschriebenes Zuweisungskonzept.
In den "User Settings" von "Enterprise Application" kann man globale Einstellungen vornehmen. Aber das ist mir zu global.
Ich hoffe, ich konnte meine Frage ausreichend beschreiben.
Vielen Dank für euer Feedback.
ich erstelle viele Enterprise Applications und App Registrations in der AzureAD.
Wir bevorzugen, dass der Zugriff auf die Enterprise Applications durch Zuweisung in Gruppen in "User and Groups" genehmigt wird. (u.a. können wir den Usern die Berechtigung zur jeweiligen App über ein Formular beantragen lassen.)
Dies wird auch unter Properties entsprechend ausgewählt: Assignment required: YES
Obwohl diese Einstellungen aktiv sind, erhalten wir dann und wann die Anfrage "Admin consent required".
Unter welchen Umständen kann der User eine Anwendung über "Admin consent required" beantragen, obwohl die Anwendung ja bereits in der AzureAD bekannt ist?
Den Zusammenhang habe ich noch nicht vestanden und finde auch keine Quellen dazu.
Das hätten wir gerne automatisiert über oben beschriebenes Zuweisungskonzept.
In den "User Settings" von "Enterprise Application" kann man globale Einstellungen vornehmen. Aber das ist mir zu global.
Ich hoffe, ich konnte meine Frage ausreichend beschreiben.
Vielen Dank für euer Feedback.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4137818655
Url: https://administrator.de/contentid/4137818655
Printed on: April 23, 2024 at 07:04 o'clock
3 Comments
Latest comment
Moin,
zur Einordnung:
- App registrieren ist ein eigener Schritt
- Zugriffsberechtigungen (Welche User / Gruppen dürfen die App nutzen) ist ein eigener Schritt
- Graph-ACLs (Zugriffsberechtigungen für die App) ist ein eigener Schritt
- Admin Consent ist ein eigener Schritt
Vereinfacht:
- Registrieren
- Zugriffsberechtigung je User (User zu App, nicht App zu User)
- Zugriffsberechtigungen auf Informationen im Tenant (Graph API)
- Impersonierungrechte
In einem Tenant mit Default-Konfig, könnte jeder User, jede App in den Tenant holen und in seinem Namen registrieren.
Der User hat aber nur Zugriffsberechtigungen auf sein eigenes User-Objekt, was bedeutet, dass die MS Graph API Berechtigungen (z.B. UPN lesen, E-Mail lesen etc) zur für den ausführenden User gelten.
Registriere ich nun allerdings eine App, welche alle Benutzer nutzen sollen muss die App in der Lage sein Impersonierung durchführen zu können (Tenantweit), und das ist dann der Admin Consent.
Der Admin Consent erteilt der jeweiligen App im Prinzip nur das Impersonierungsrecht. Alle o.g. Schritte sind unabhängig von einander.
Aus den genannten Umständen lässt sich dieser Prozess, nicht wie von dir beschrieben automatisieren.
Sollten deine User in der Lage sein, selbstständig Apps zu registieren, würde ich das schleunigst abschalten.
(AZ Portal / AAD Blade / Users / All Users / Settings / App Registrations / Users can register applications)
Über den Weg kann z.B. Amazon Alexa dein Azure-AD als Authentifzierungsprovider nutzen und Daten aus dem Tenant lesen. Erfordert logischerweise einen User der dies vornimmt, von alleine passiert da erst mal nichts.
Meine Erfahrung zeigt: Ein Admin übernimmt alle Registriervorgänge (Der ausführenden Admin sollte Global Adminberechtigungen via Azure PIM beziehen (Falls Azure AD P2 Lizenzen vorhanden) und den entsprechend Consent geben. Als Admin kann man dies direkt bei der Registration vornehmen.
Ein Teil meiner Aussage ist hier dokumentiert: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/gra ...
zur Einordnung:
- App registrieren ist ein eigener Schritt
- Zugriffsberechtigungen (Welche User / Gruppen dürfen die App nutzen) ist ein eigener Schritt
- Graph-ACLs (Zugriffsberechtigungen für die App) ist ein eigener Schritt
- Admin Consent ist ein eigener Schritt
Vereinfacht:
- Registrieren
- Zugriffsberechtigung je User (User zu App, nicht App zu User)
- Zugriffsberechtigungen auf Informationen im Tenant (Graph API)
- Impersonierungrechte
In einem Tenant mit Default-Konfig, könnte jeder User, jede App in den Tenant holen und in seinem Namen registrieren.
Der User hat aber nur Zugriffsberechtigungen auf sein eigenes User-Objekt, was bedeutet, dass die MS Graph API Berechtigungen (z.B. UPN lesen, E-Mail lesen etc) zur für den ausführenden User gelten.
Registriere ich nun allerdings eine App, welche alle Benutzer nutzen sollen muss die App in der Lage sein Impersonierung durchführen zu können (Tenantweit), und das ist dann der Admin Consent.
Der Admin Consent erteilt der jeweiligen App im Prinzip nur das Impersonierungsrecht. Alle o.g. Schritte sind unabhängig von einander.
Aus den genannten Umständen lässt sich dieser Prozess, nicht wie von dir beschrieben automatisieren.
Sollten deine User in der Lage sein, selbstständig Apps zu registieren, würde ich das schleunigst abschalten.
(AZ Portal / AAD Blade / Users / All Users / Settings / App Registrations / Users can register applications)
Über den Weg kann z.B. Amazon Alexa dein Azure-AD als Authentifzierungsprovider nutzen und Daten aus dem Tenant lesen. Erfordert logischerweise einen User der dies vornimmt, von alleine passiert da erst mal nichts.
Meine Erfahrung zeigt: Ein Admin übernimmt alle Registriervorgänge (Der ausführenden Admin sollte Global Adminberechtigungen via Azure PIM beziehen (Falls Azure AD P2 Lizenzen vorhanden) und den entsprechend Consent geben. Als Admin kann man dies direkt bei der Registration vornehmen.
Ein Teil meiner Aussage ist hier dokumentiert: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/gra ...
Vielen Dank für deinen Input.
Mit "Automatisieren" meinte ich, dass ein User den Zugriff auf bestehende Apps anfragen kann, was dann zu einem Genehmigungsprozess führt, final erfolgt dann die Zuweisung in die Usergruppe.
Ich schreibe es mal direkter, vielleicht wird es dann klarer:
Ich möchte nicht immer für die gleiche Anwendung dauernd Admin consent-Anfragen erhalten.
Es sollte möglich sein, dass diese Anwendung einmal von einem User angefragt wird, ich einmalig Admin consent vergebe, eine Gruppe erstelle und zukünftig über die Userzuweisung in dieser Gruppe, der Zugriff erteilt wird.
Oder nicht?
Mit "Automatisieren" meinte ich, dass ein User den Zugriff auf bestehende Apps anfragen kann, was dann zu einem Genehmigungsprozess führt, final erfolgt dann die Zuweisung in die Usergruppe.
Ich schreibe es mal direkter, vielleicht wird es dann klarer:
Ich möchte nicht immer für die gleiche Anwendung dauernd Admin consent-Anfragen erhalten.
Es sollte möglich sein, dass diese Anwendung einmal von einem User angefragt wird, ich einmalig Admin consent vergebe, eine Gruppe erstelle und zukünftig über die Userzuweisung in dieser Gruppe, der Zugriff erteilt wird.
Oder nicht?
Eigentlich sollte ein einmaliger Admin Consent ausreichen.
Machst Du das ganze denn auch wirklich mit einem Global Adminbenutzer?
Machst Du das ganze denn auch wirklich mit einem Global Adminbenutzer?
