Správa přístupu k aplikaci

Průběžná správa přístupu, vyhodnocení využití a vytváření sestav jsou i nadále výzvou po integraci aplikace do systému identit vaší organizace. V mnoha případech musí IT Správa istrátory nebo helpdesk převzít průběžnou aktivní roli při správě přístupu k vašim aplikacím. Někdy přiřazení provádí obecný nebo divizní IT tým. Rozhodnutí o přiřazení je často určeno k delegování na tvůrce obchodních rozhodnutí, které vyžaduje schválení před tím, než IT přiřazení provede.

Jiné organizace investují do integrace se stávajícím automatizovaným systémem správy identit a přístupu, jako je řízení přístupu na základě role (RBAC) nebo řízení přístupu na základě atributů (ABAC). Integrace i vývoj pravidel mají tendenci být specializované a nákladné. Monitorování nebo generování sestav o přístupu ke správě je vlastní samostatná, nákladná a složitá investice.

Jak microsoft Entra ID pomáhá?

Microsoft Entra ID podporuje rozsáhlou správu přístupu pro nakonfigurované aplikace, což organizacím umožňuje snadno dosáhnout správných zásad přístupu od automatického přiřazení na základě atributů (scénářů ABAC nebo RBAC) prostřednictvím delegování a včetně správy správců. S ID Microsoft Entra můžete snadno dosáhnout složitých zásad, kombinovat více modelů správy pro jednu aplikaci a dokonce opakovaně používat pravidla správy napříč aplikacemi se stejnými cílovými skupinami.

Díky ID Microsoft Entra je sestava využití a přiřazení plně integrovaná a umožňuje správcům snadno hlásit stav přiřazení, chyby přiřazení a dokonce i využití.

Přiřazení uživatelů a skupin k aplikaci

Přiřazení aplikace Microsoft Entra se zaměřuje na dva primární režimy přiřazení:

  • Individuální přiřazení Správce IT s oprávněními Globální Správa istrator adresáře může vybrat jednotlivé uživatelské účty a udělit mu přístup k aplikaci.

  • Přiřazení založené na skupinách (vyžaduje Microsoft Entra ID P1 nebo P2) Správce IT s oprávněními globálního adresáře Správa istrator může k aplikaci přiřadit skupinu. Přístup konkrétních uživatelů se určuje podle toho, jestli jsou členy skupiny v době, kdy se pokusí o přístup k aplikaci. Jinými slovy, správce může efektivně vytvořit pravidlo přiřazení, které říká, že k aplikaci má přístup jakýkoli aktuální člen přiřazené skupiny. Pomocí této možnosti přiřazení můžou správci využívat některou z možností správy skupin Microsoft Entra, včetně dynamických skupin založených na atributech, skupin externích systémů (například místní Active Directory nebo Workday) nebo Správa správně spravovaných skupin nebo skupin spravovaných samoobslužnou službou. Jednu skupinu je možné snadno přiřadit k více aplikacím a zajistit tak, aby aplikace s přidružením přiřazení mohly sdílet pravidla přiřazení, což snižuje celkovou složitost správy.

    Poznámka:

    Vnořené členství ve skupinách se v současnosti nepodporuje pro přiřazování na základě skupin k aplikacím.

Pomocí těchto dvou režimů přiřazení můžou správci dosáhnout libovolného žádoucího přístupu správy přiřazení.

Vyžadování přiřazení uživatele pro aplikaci

U určitých typů aplikací máte možnost vyžadovat, aby se k aplikaci přiřadili uživatelé. Tím zabráníte, aby se všichni přihlásili s výjimkou uživatelů, které explicitně přiřadíte k aplikaci. Tuto možnost podporují následující typy aplikací:

  • Aplikace nakonfigurované pro federované jednotné přihlašování (SSO) s ověřováním založeným na SAML
  • proxy aplikací aplikací, které používají předběžné ověřování Microsoft Entra
  • Aplikace postavené na aplikační platformě Microsoft Entra, které používají ověřování OAuth 2.0 / OpenID Connect poté, co uživatel nebo správce s danou aplikací souhlasil. Některé podnikové aplikace nabízejí větší kontrolu nad tím, kdo se může přihlásit.

Pokud se vyžaduje přiřazení uživatelů, mohou se přihlásit jenom ti uživatelé, které k aplikaci přiřadíte (buď přímým přiřazením uživatelů, nebo na základě členství ve skupinách). K aplikaci mají přístup na portálu Moje aplikace nebo pomocí přímého odkazu.

Pokud se přiřazení uživatele nevyžaduje, nepřiřazení uživatelé aplikaci na svém Moje aplikace nevidí, ale můžou se přihlásit k samotné aplikaci (označované také jako přihlášení iniciované sp) nebo můžou použít adresu URL uživatelského přístupu na stránce Vlastnosti aplikace (označované také jako přihlášení iniciované protokolem IDP). Další informace o vyžadování konfigurací přiřazení uživatelů najdete v tématu Konfigurace aplikace.

Toto nastavení nemá vliv na to, jestli se aplikace zobrazuje na Moje aplikace. Po přiřazení uživatele nebo skupiny k aplikaci se aplikace zobrazí na Moje aplikace přístupových panelech uživatelů.

Poznámka:

Pokud aplikace vyžaduje přiřazení, souhlas uživatele pro danou aplikaci není povolený. To platí i v případě, že by jinak byl souhlas uživatelů s touto aplikací povolený. Nezapomeňte udělit souhlas správce v rámci celého tenanta aplikacím, které vyžadují přiřazení.

U některých aplikací není možnost vyžadovat přiřazení uživatele ve vlastnostech aplikace k dispozici. V těchto případech můžete pomocí PowerShellu nastavit vlastnost appRoleAssignmentRequired instančního objektu.

Určení uživatelského prostředí pro přístup k aplikacím

Microsoft Entra ID poskytuje několik přizpůsobitelných způsobů nasazení aplikací koncovým uživatelům ve vaší organizaci:

  • Microsoft Entra Moje aplikace
  • Spouštěč aplikací Microsoft 365
  • Přímé přihlašování k federovaným aplikacím (service-pr)
  • Přímé odkazy na federované nebo existující aplikace či aplikace založené na hesle

Můžete určit, jestli ho uživatelé přiřazení k podnikové aplikaci uvidí v Moje aplikace a spouštěči aplikací Microsoftu 365.

Příklad: Komplexní přiřazení aplikace s ID Microsoft Entra

Představte si aplikaci, jako je Salesforce. V mnoha organizacích používá Salesforce primárně marketingové a prodejní týmy. Členové marketingového týmu mají často vysoce privilegovaný přístup k Salesforce, zatímco členové prodejního týmu mají omezený přístup. V mnoha případech má široká populace informačních pracovníků omezený přístup k aplikaci. Výjimky z těchto pravidel komplikují záležitosti. Často se jedná o prerogativní týmy marketingového nebo prodejního vedení, které uživateli udělí přístup nebo změní jejich role nezávisle na těchto obecných pravidlech.

Pomocí Microsoft Entra ID je možné předem nakonfigurovat aplikace, jako je Salesforce, pro jednotné přihlašování a automatizované zřizování. Jakmile je aplikace nakonfigurovaná, může Správa istrator provést jednorázovou akci k vytvoření a přiřazení příslušných skupin. V tomto příkladu může správce provést následující přiřazení:

  • Dynamické skupiny je možné definovat tak, aby automaticky představovaly všechny členy marketingového a prodejního týmu pomocí atributů, jako je oddělení nebo role:

    • Všichni členové marketingových skupin by se přiřadili k roli marketing v Salesforce.
    • Všichni členové skupin prodejního týmu by se přiřadili k roli "prodej" v Salesforce. Další upřesnění může použít několik skupin, které představují regionální prodejní týmy přiřazené k různým rolím Salesforce.
  • Pokud chcete povolit mechanismus výjimek, může být pro každou roli vytvořena skupina samoobslužných služeb. Skupinu "Salesforce marketing exception" můžete například vytvořit jako samoobslužnou skupinu. Skupinu je možné přiřadit k marketingové roli Salesforce a tým marketingového vedení může být vlastníkem. Členové marketingového týmu vedení můžou přidávat nebo odebírat uživatele, nastavovat zásady připojení nebo dokonce schvalovat nebo odepřít žádosti jednotlivých uživatelů o připojení. Tento mechanismus je podporován prostřednictvím vhodného prostředí informačního pracovníka, které nevyžaduje specializované školení pro vlastníky nebo členy.

V takovém případě se všichni přiřazení uživatelé automaticky zřídí pro Salesforce. Při přidání do různých skupin se přiřazení role v Salesforce aktualizuje. Uživatelé můžou vyhledávat a přistupovat k Salesforce prostřednictvím Moje aplikace, webových klientů Office nebo přechodem na přihlašovací stránku Salesforce organizace. Správa istrátory můžou snadno zobrazit stav použití a přiřazení pomocí generování sestav ID Microsoft Entra.

Správa istrátory mohou využívat Podmíněný přístup Microsoft Entra pro nastavení zásad přístupu pro konkrétní role Tyto zásady můžou zahrnovat, jestli je přístup povolený mimo podnikové prostředí, a dokonce i požadavky na vícefaktorové ověřování nebo zařízení, aby bylo možné dosáhnout přístupu v různých případech.

Přístup k aplikacím Microsoftu

Aplikace Microsoftu (například Exchange, SharePoint, Yammer atd.) se přiřazují a spravují trochu jinak než aplikace SaaS třetích stran nebo jiné aplikace, které integrujete s Microsoft Entra ID pro jednotné přihlašování.

Existují tři hlavní způsoby, jak může uživatel získat přístup k publikované aplikaci Microsoftu.

  • Pro aplikace v Microsoftu 365 nebo jiných placených sadách mají uživatelé udělený přístup prostřednictvím přiřazení licencí buď přímo ke svému uživatelskému účtu, nebo prostřednictvím skupiny, která používá naši funkci přiřazení licencí na základě skupin.

  • Pro aplikace, které Společnost Microsoft nebo třetí strana volně publikuje pro každého, kdo může používat, může být uživatelům udělen přístup prostřednictvím souhlasu uživatele. Uživatelé se přihlásí k aplikaci pomocí svého pracovního nebo školního účtu Microsoft Entra a umožní mu přístup k určité omezené sadě dat na svém účtu.

  • U aplikací, které Společnost Microsoft nebo třetí strana volně publikuje pro všechny uživatele, mohou být uživatelům udělen přístup také prostřednictvím souhlasu správce. To znamená, že správce určil, že aplikaci můžou používat všichni uživatelé v organizaci, aby se přihlásili k aplikaci pomocí globálního účtu Správa istratoru a udělili přístup všem uživatelům v organizaci.

Některé aplikace tyto metody kombinují. Některé aplikace Microsoftu jsou například součástí předplatného Microsoftu 365, ale přesto vyžadují souhlas.

Uživatelé mají přístup k aplikacím Microsoft 365 prostřednictvím svých portálů Office 365. Aplikace Microsoft 365 můžete také zobrazit nebo skrýt v Moje aplikace s přepínačem viditelnosti Office 365 v uživatelských nastaveních vašeho adresáře.

Stejně jako u podnikových aplikací můžete uživatele přiřadit k určitým aplikacím Microsoftu prostřednictvím Centra pro správu Microsoft Entra nebo pomocí PowerShellu.

Další kroky