bierchen
Goto Top

AzureAD Enterprise Application, App Registration und Admin consent. Zusammenhang?

Hallo zusammen,

ich erstelle viele Enterprise Applications und App Registrations in der AzureAD.


Wir bevorzugen, dass der Zugriff auf die Enterprise Applications durch Zuweisung in Gruppen in "User and Groups" genehmigt wird. (u.a. können wir den Usern die Berechtigung zur jeweiligen App über ein Formular beantragen lassen.)

Dies wird auch unter Properties entsprechend ausgewählt: Assignment required: YES

Obwohl diese Einstellungen aktiv sind, erhalten wir dann und wann die Anfrage "Admin consent required".

Unter welchen Umständen kann der User eine Anwendung über "Admin consent required" beantragen, obwohl die Anwendung ja bereits in der AzureAD bekannt ist?

Den Zusammenhang habe ich noch nicht vestanden und finde auch keine Quellen dazu.

Das hätten wir gerne automatisiert über oben beschriebenes Zuweisungskonzept.

In den "User Settings" von "Enterprise Application" kann man globale Einstellungen vornehmen. Aber das ist mir zu global.


Ich hoffe, ich konnte meine Frage ausreichend beschreiben.

Vielen Dank für euer Feedback.

Content-Key: 4137818655

Url: https://administrator.de/contentid/4137818655

Printed on: December 4, 2022 at 19:12 o'clock

Member: Cloudrakete
Cloudrakete Oct 03, 2022 updated at 20:53:15 (UTC)
Goto Top
Moin,

zur Einordnung:

- App registrieren ist ein eigener Schritt
- Zugriffsberechtigungen (Welche User / Gruppen dürfen die App nutzen) ist ein eigener Schritt
- Graph-ACLs (Zugriffsberechtigungen für die App) ist ein eigener Schritt
- Admin Consent ist ein eigener Schritt

Vereinfacht:

- Registrieren
- Zugriffsberechtigung je User (User zu App, nicht App zu User)
- Zugriffsberechtigungen auf Informationen im Tenant (Graph API)
- Impersonierungrechte


In einem Tenant mit Default-Konfig, könnte jeder User, jede App in den Tenant holen und in seinem Namen registrieren.
Der User hat aber nur Zugriffsberechtigungen auf sein eigenes User-Objekt, was bedeutet, dass die MS Graph API Berechtigungen (z.B. UPN lesen, E-Mail lesen etc) zur für den ausführenden User gelten.

Registriere ich nun allerdings eine App, welche alle Benutzer nutzen sollen muss die App in der Lage sein Impersonierung durchführen zu können (Tenantweit), und das ist dann der Admin Consent.

Der Admin Consent erteilt der jeweiligen App im Prinzip nur das Impersonierungsrecht. Alle o.g. Schritte sind unabhängig von einander.

Aus den genannten Umständen lässt sich dieser Prozess, nicht wie von dir beschrieben automatisieren.
Sollten deine User in der Lage sein, selbstständig Apps zu registieren, würde ich das schleunigst abschalten.
(AZ Portal / AAD Blade / Users / All Users / Settings / App Registrations / Users can register applications)

Über den Weg kann z.B. Amazon Alexa dein Azure-AD als Authentifzierungsprovider nutzen und Daten aus dem Tenant lesen. Erfordert logischerweise einen User der dies vornimmt, von alleine passiert da erst mal nichts.

Meine Erfahrung zeigt: Ein Admin übernimmt alle Registriervorgänge (Der ausführenden Admin sollte Global Adminberechtigungen via Azure PIM beziehen (Falls Azure AD P2 Lizenzen vorhanden) und den entsprechend Consent geben. Als Admin kann man dies direkt bei der Registration vornehmen.

Ein Teil meiner Aussage ist hier dokumentiert: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/gra ...
Member: bierchen
bierchen Oct 04, 2022 at 05:42:25 (UTC)
Goto Top
Vielen Dank für deinen Input.

Mit "Automatisieren" meinte ich, dass ein User den Zugriff auf bestehende Apps anfragen kann, was dann zu einem Genehmigungsprozess führt, final erfolgt dann die Zuweisung in die Usergruppe.

Ich schreibe es mal direkter, vielleicht wird es dann klarer:

Ich möchte nicht immer für die gleiche Anwendung dauernd Admin consent-Anfragen erhalten.
Es sollte möglich sein, dass diese Anwendung einmal von einem User angefragt wird, ich einmalig Admin consent vergebe, eine Gruppe erstelle und zukünftig über die Userzuweisung in dieser Gruppe, der Zugriff erteilt wird.

Oder nicht?
Member: Cloudrakete
Cloudrakete Oct 04, 2022 at 22:07:27 (UTC)
Goto Top
Eigentlich sollte ein einmaliger Admin Consent ausreichen.
Machst Du das ganze denn auch wirklich mit einem Global Adminbenutzer?