Integrace aplikací s ID Microsoft Entra a vytvoření směrného plánu kontrolovaného přístupu

Jakmile vytvoříte zásady pro uživatele, kteří by měli mít přístup k aplikaci, můžete aplikaci připojit k ID Microsoft Entra a pak nasadit zásady pro řízení přístupu k nim.

Zásady správného řízení MICROSOFT Entra ID je možné integrovat s mnoha aplikacemi, včetně známých aplikací, jako jsou SAP R/3, SAP S/4HANA a těch, které používají standardy, jako jsou OpenID Připojení, SAML, SCIM, SQL, LDAP, SOAP a REST. Prostřednictvím těchto standardů můžete použít Microsoft Entra ID s mnoha oblíbenými aplikacemi SaaS a místními aplikacemi, včetně aplikací, které vaše organizace vyvinula. Tento plán nasazení popisuje, jak připojit aplikaci k ID Microsoft Entra a povolit pro tuto aplikaci funkce zásad správného řízení identit.

Aby se zásady správného řízení ID Microsoft Entra používaly pro aplikaci, musí být aplikace nejprve integrována s Microsoft Entra ID a reprezentována ve vašem adresáři. Aplikace integrovaná s ID Microsoft Entra znamená splnění jednoho ze dvou požadavků:

• Aplikace spoléhá na ID Microsoft Entra pro federované jednotné přihlašování a Microsoft Entra ID řídí vystavování ověřovacích tokenů. Pokud je MICROSOFT Entra ID jediným zprostředkovatelem identity pro aplikaci, pak se k aplikaci můžou přihlásit jenom uživatelé, kteří jsou přiřazeni k jedné z rolí aplikace v Microsoft Entra ID. Uživatelé, kteří ztratí přiřazení role aplikace, už nemůžou získat nový token pro přihlášení k aplikaci.
• Aplikace spoléhá na seznamy uživatelů nebo skupin, které jsou k aplikaci poskytovány pomocí Microsoft Entra ID. Toto plnění může být provedeno prostřednictvím zřizovacího protokolu, jako je SCIM, dotazováním Microsoft Entra ID prostřednictvím Microsoft Graphu nebo aplikace pomocí protokolu AD Kerberos k získání členství ve skupinách uživatele.

Pokud se pro aplikaci nesplní žádná z těchto kritérií, například pokud aplikace nespoléhá na ID Microsoft Entra, můžete zásady správného řízení identit použít i nadále. Při používání zásad správného řízení identit však mohou existovat určitá omezení bez splnění kritérií. Například uživatelé, kteří nejsou ve vašem ID Microsoft Entra nebo nejsou přiřazeni k rolím aplikace v Microsoft Entra ID, nebudou zahrnuti do kontrol přístupu aplikace, dokud je nepřiřadíte k rolím aplikace. Další informace najdete v tématu Příprava kontroly přístupu uživatelů k aplikaci.

Integrujte aplikaci s Microsoft Entra ID, abyste měli jistotu, že k aplikaci mají přístup jenom autorizovaní uživatelé.

Tento proces integrace aplikace obvykle začíná při konfiguraci této aplikace tak, aby se spoléhala na Microsoft Entra ID pro ověřování uživatelů, s připojením k federovaným jednotným přihlašováním (SSO) a následným přidáním zřizování. Nejčastěji používané protokoly pro jednotné přihlašování jsou SAML a OpenID Připojení. Můžete si přečíst další informace o nástrojích a procesu zjišťování a migrace ověřování aplikací do Microsoft Entra ID.

Pokud aplikace implementuje zřizovací protokol, měli byste nakonfigurovat ID Microsoft Entra tak, aby zřizovala uživatele aplikace, aby microsoft Entra ID mohl signalizovat aplikaci, když byl uživateli udělen přístup nebo byl odebrán přístup uživatele. Tyto signály zřizování umožňují aplikaci provádět automatické opravy, například změnit přiřazení obsahu vytvořeného zaměstnancem, který opustil svého nadřízeného.

1. Zkontrolujte, jestli je vaše aplikace v seznamu podnikových aplikací nebo seznamu registrací aplikací. Pokud už aplikace ve vašem tenantovi existuje, přejděte ke kroku 5 v této části.

2. Pokud je vaše aplikace SaaS aplikace, která ještě není ve vašem tenantovi zaregistrovaná, zkontrolujte, jestli je aplikace dostupná v galerii aplikací pro aplikace, které je možné integrovat pro federované jednotné přihlašování. Pokud je v galerii, pomocí kurzů integrujte aplikaci s ID Microsoft Entra.

   1. Podle kurzu nakonfigurujte aplikaci pro federované jednotné přihlašování s ID Microsoft Entra.
   2. pokud aplikace podporuje zřizování, nakonfigurujte aplikaci pro zřizování.
   3. Po dokončení přejděte k další části tohoto článku. Pokud aplikace SaaS není v galerii, požádejte dodavatele SaaS o onboarding.

3. Pokud se jedná o soukromou nebo vlastní aplikaci, můžete také vybrat integraci jednotného přihlašování, která je nejvhodnější v závislosti na umístění a možnostech aplikace.

   • Pokud je tato aplikace ve veřejném cloudu a podporuje jednotné přihlašování, nakonfigurujte jednotné přihlašování přímo z Microsoft Entra ID do aplikace.

     Aplikace podporuje	Další kroky
     OpenID Connect	Přidání openID Připojení aplikace OAuth
     SAML 2.0	Zaregistrujte aplikaci a nakonfigurujte aplikaci pomocí koncových bodů SAML a certifikátu Microsoft Entra ID.
     SAML 1.1	Přidání aplikace založené na SAML

   • V opačném případě, pokud se jedná o místní nebo hostované aplikace IaaS, která podporuje jednotné přihlašování, nakonfigurujte jednotné přihlašování z Microsoft Entra ID k aplikaci prostřednictvím proxy aplikace.

     Aplikace podporuje	Další kroky
     SAML 2.0	Nasazení proxy aplikace a konfigurace aplikace pro jednotné přihlašování SAML
     Integrované ověřování Windows (IWA)	Nasaďte proxy aplikace, nakonfigurujte aplikaci pro integrované jednotné přihlašování systému Windows a nastavte pravidla brány firewall, aby se zabránilo přístupu ke koncovým bodům aplikace s výjimkou proxy serveru.
     Ověřování na základě hlaviček	Nasazení proxy aplikace a konfigurace aplikace pro jednotné přihlašování založené na hlavičce

4. Pokud má vaše aplikace více rolí, má každý uživatel v aplikaci jenom jednu roli a aplikace spoléhá na Microsoft Entra ID k odeslání jedné role specifické pro aplikaci uživatele jako deklarace identity uživatele, který se k aplikaci přihlašuje, pak tyto role aplikace nakonfigurujte v Microsoft Entra ID vaší aplikace a pak každému uživateli přiřaďte roli aplikace. Pomocí uživatelského rozhraní rolí aplikací můžete tyto role přidat do manifestu aplikace. Pokud používáte knihovny Microsoft Authentication Library, existuje ukázka kódu, jak používat role aplikací v aplikaci pro řízení přístupu. Pokud by uživatel mohl mít současně více rolí, můžete chtít aplikaci implementovat ke kontrole skupin zabezpečení, a to buď v deklarací identity tokenu, nebo dostupné prostřednictvím Microsoft Graphu, místo abyste k řízení přístupu používali role aplikací z manifestu aplikace.

5. Pokud aplikace podporuje zřizování, nakonfigurujte zřizování přiřazených uživatelů a skupin z Microsoft Entra ID této aplikace. Pokud se jedná o soukromou nebo vlastní aplikaci, můžete také vybrat nejvhodnější integraci na základě umístění a možností aplikace.

   • Pokud tato aplikace spoléhá na SAP Cloud Identity Services, nakonfigurujte zřizování uživatelů prostřednictvím SCIM do SAP Cloud Identity Services.

     Aplikace podporuje	Další kroky
     SAP Cloud Identity Services	Konfigurace ID Microsoft Entra pro zřízení uživatelů ve službě SAP Cloud Identity Services

   • Pokud je tato aplikace ve veřejném cloudu a podporuje SCIM, nakonfigurujte zřizování uživatelů přes SCIM.

     Aplikace podporuje	Další kroky
     SCIM	Konfigurace aplikace s SCIM pro zřizování uživatelů

   • Pokud tato aplikace používá AD, nakonfigurujte zpětný zápis skupiny a buď aplikaci aktualizujte tak, aby používala skupiny vytvořené id Microsoft Entra, nebo vnořit skupiny vytvořené id Microsoft Entra do stávajících skupin zabezpečení AD aplikací.

     Aplikace podporuje	Další kroky
     Kerberos	Konfigurace zpětného zápisu skupiny Microsoft Entra Cloud Sync do AD, vytvoření skupin v ID Microsoft Entra a zápis těchto skupin do AD

   • Jinak platí, že pokud se jedná o místní nebo hostované aplikaci IaaS a není integrovaná se službou AD, nakonfigurujte zřizování této aplikace buď přes SCIM, nebo do podkladové databáze nebo adresáře aplikace.

     Aplikace podporuje	Další kroky
     SCIM	konfigurace aplikace s agentem zřizování pro místní aplikace založené na SCIM
     místní uživatelské účty uložené v databázi SQL	konfigurace aplikace s agentem zřizování pro místní aplikace založené na SQL
     místní uživatelské účty uložené v adresáři LDAP	konfigurace aplikace s agentem zřizování pro místní aplikace založené na protokolu LDAP
     místní uživatelské účty spravované prostřednictvím rozhraní SOAP nebo REST API	konfigurace aplikace s agentem zřizování pomocí konektoru webových služeb
     místní uživatelské účty spravované prostřednictvím konektoru MIM	konfigurace aplikace s agentem zřizování pomocí vlastního konektoru
     SAP ECC s NetWeaver AS jazyk ABAP 7.0 nebo novějším	konfigurace aplikace s agentem zřizování s nakonfigurovaným konektorem webových služeb SAP ECC

6. Pokud vaše aplikace používá Microsoft Graph k dotazování skupin z ID Microsoft Entra, odsouhlaste aplikace, aby měly příslušná oprávnění ke čtení z vašeho tenanta.

7. Nastavení přístupu k aplikaci je povoleno pouze pro uživatele přiřazené k aplikaci. Toto nastavení zabrání uživatelům neúmyslně zobrazit aplikaci v Aplikaci MyApps a pokusu o přihlášení k aplikaci před povolením zásad podmíněného přístupu.

Provedení počáteční kontroly přístupu

Pokud se jedná o novou aplikaci, kterou vaše organizace ještě nepoužila, a proto nikdo nemá předem existující přístup nebo pokud už provádíte kontroly přístupu pro tuto aplikaci, přejděte k další části.

Pokud ale aplikace už ve vašem prostředí existovala, je možné, že uživatelé už v minulosti získali přístup prostřednictvím ručních nebo mimosměrových procesů a tito uživatelé by teď měli zkontrolovat, že jejich přístup je stále potřebný a vhodný. Před povolením zásad pro více uživatelů, kteří mají přístup k aplikaci, doporučujeme provést kontrolu přístupu uživatelů, kteří už mají k aplikaci přístup. Tato kontrola nastaví základní hodnoty všech uživatelů, kteří byli zkontrolováni alespoň jednou, aby se zajistilo, že tito uživatelé mají oprávnění k trvalému přístupu.

1. Postupujte podle kroků v části Příprava na kontrolu přístupu uživatelů k aplikaci.
2. Pokud aplikace nepoužívá Microsoft Entra ID nebo AD, ale podporuje zřizovací protokol nebo má podkladovou databázi SQL nebo LDAP, přineste pro ně všechny stávající uživatele a vytvořte pro ně přiřazení rolí aplikace.
3. Pokud aplikace nepoužívalo Microsoft Entra ID nebo AD a nepodporuje zřizovací protokol, získejte ze aplikace seznam uživatelů a vytvořte pro každou z nich přiřazení rolí aplikace.
4. Pokud aplikace používala skupiny zabezpečení AD, musíte zkontrolovat členství těchto skupin zabezpečení.
5. Pokud aplikace měla svůj vlastní adresář nebo databázi a nebyla integrovaná pro zřizování, budete po dokončení kontroly možná muset ručně aktualizovat interní databázi nebo adresář aplikace a odebrat uživatele, kteří byli odepřeni.
6. Pokud aplikace používala skupiny zabezpečení SLUŽBY AD a tyto skupiny byly vytvořeny v AD, po dokončení kontroly je potřeba skupiny AD ručně aktualizovat, abyste odebrali členství uživatelů, kteří byli odepřeni. Pokud chcete odepřít přístupová práva odebraná automaticky, můžete buď aplikaci aktualizovat tak, aby používala skupinu AD vytvořenou v MICROSOFT Entra ID a zapisovala se zpět do Microsoft Entra ID, nebo přesunout členství ze skupiny AD do skupiny Microsoft Entra a vnořit ji jako jediného člena skupiny AD.
7. Po dokončení kontroly a aktualizaci přístupu k aplikaci nebo v případě, že k aplikaci nemají přístup žádní uživatelé, pokračujte k dalším krokům nasazení zásad podmíněného přístupu a správy nároků pro aplikaci.

Teď, když máte směrný plán, který zajistí, že se zkontroluje stávající přístup, můžete nasadit zásady organizace pro průběžný přístup a všechny nové žádosti o přístup.

Další kroky

• Nasazení zásad správného řízení