Integración de aplicaciones con Microsoft Entra ID y establecimiento de una línea de base de acceso revisado

Cuando haya establecido las directivas para quien debe tener acceso a una aplicación, puede conectar la aplicación a Microsoft Entra ID y, a continuación, implementar las directivas para gobernar el acceso a ellas.

La gobernanza de identificadores de Entra de Microsoft se puede integrar con muchas aplicaciones, incluidas aplicaciones conocidas como SAP R/3, SAP S/4HANA y aquellos que usan estándares como OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP y REST. A través de estos estándares, puede utilizar Microsoft Entra ID con muchas aplicaciones SaaS populares y aplicaciones locales, incluidas las aplicaciones que desarrolladas por su organización. En este plan de implementación se explica cómo conectar la aplicación a Microsoft Entra ID y permitir el uso de las características de gobernanza de identidades para esa aplicación.

Para usar el gobierno de id. de Microsoft Entra en una aplicación, ésta debe estar primero integrada con Microsoft Entra ID y representada en su directorio. Para que una aplicación se integre en Microsoft Entra ID, se debe cumplir uno de dos requisitos:

• La aplicación se basa en Microsoft Entra ID para el inicio de sesión único federado y Microsoft Entra ID controla la emisión de tokens de autenticación. Si Microsoft Entra ID es el único proveedor de identidades para la aplicación, solo los usuarios que están asignados a uno de los roles de la aplicación en Microsoft Entra ID pueden iniciar sesión en ella. Esos usuarios que pierden su asignación de roles de aplicación ya no pueden obtener un nuevo token para iniciar sesión en la aplicación.
• La aplicación se basa en listas de usuarios o grupos que Microsoft Entra ID proporciona a la aplicación. Este cumplimiento se puede realizar mediante un protocolo de aprovisionamiento como SCIM, mediante la aplicación de consultas a Microsoft Entra ID con Microsoft Graph o la aplicación mediante Kerberos de AD para obtener las pertenencias a grupos de un usuario.

Si no se cumple ninguno de esos criterios para una aplicación, por ejemplo, cuando la aplicación no depende de Microsoft Entra ID, se puede usar la gobernanza de identidades. Sin embargo, puede haber algunas limitaciones en el uso de la gobernanza de identidades sin que se cumplan los criterios. Por ejemplo, los usuarios que no están en su instancia de Microsoft Entra ID, o que no están asignados a los roles de aplicación de Microsoft Entra ID, no se incluirán en las revisiones de acceso de la aplicación, hasta que los asigne a los roles de aplicación. Para más información, consulte Preparación de una revisión de acceso para el acceso de los usuarios a una aplicación.

Integración de la aplicación con Microsoft Entra ID para asegurarse de que solo los usuarios autorizados puedan acceder a la aplicación

Normalmente, este proceso de integrar una aplicación comienza cuando se configura esa aplicación para que la autenticación de usuarios dependa de Microsoft Entra ID, con una conexión de protocolo de inicio de sesión único (SSO) federado, y, luego, se agrega el aprovisionamiento. Los protocolos más usados para el inicio de sesión único son SAML y OpenID Connect. Puede obtener más información sobre las herramientas y el proceso para detectar y migrar la autenticación de aplicaciones a Microsoft Entra ID.

A continuación, si la aplicación implementa un protocolo de aprovisionamiento, debe configurar Microsoft Entra ID para aprovisionar a los usuarios de la aplicación, de modo que Microsoft Entra ID pueda indicarle a la aplicación cuándo se ha concedido o se ha quitado el acceso a un usuario. Estas señales de aprovisionamiento permiten a la aplicación realizar correcciones automáticas, como reasignar el contenido creado por un empleado que ha dejado a su responsable.

1. Compruebe si la aplicación está en la lista de aplicaciones empresariales o en la lista de registros de aplicaciones. Si la aplicación ya existe en el inquilino, vaya al paso 5 de esta sección.

2. Si la aplicación es una aplicación SaaS que aún no está registrada en el inquilino, compruebe si está disponible en la galería de aplicaciones que se pueden integrar para el inicio de sesión único federado. Si se encuentra en la galería, use los tutoriales para integrar la aplicación con Microsoft Entra ID.

   1. Para configurar la aplicación para el inicio de sesión único federado con Microsoft Entra ID, siga el tutorial.
   2. Si la aplicación admite aprovisionamiento, configure la aplicación para el aprovisionamiento.
   3. Cuando haya terminado, vaya a la sección siguiente de este artículo. Si la aplicación SaaS no está en la galería, pida al proveedor de SaaS que la incorpore.

3. Si es una aplicación privada o personalizada, también puede seleccionar una integración de inicio de sesión único que sea más adecuada, en función de la ubicación y las funcionalidades de la aplicación.

   • Si esta aplicación está en la nube pública y admite el inicio de sesión único, configúrelo directamente desde Microsoft Entra ID en la aplicación.

     La aplicación admite	Pasos siguientes
     OpenID Connect	Agregar una aplicación OAuth de OpenID Connect
     SAML 2.0	Registrar y configurar la aplicación con los puntos de conexión SAML y el certificado de Microsoft Entra ID
     SAML 1.1	Agregar una aplicación basada en SAML

   • De lo contrario, si se trata de una aplicación hospedada local o IaaS que admite el inicio de sesión único, configúrelo desde Microsoft Entra ID en la aplicación mediante el proxy de aplicación.

     La aplicación admite	Pasos siguientes
     SAML 2.0	Implementar el proxy de aplicación y configurar una aplicación para el inicio de sesión único de SAML.
     Autenticación de Windows integrada (IWA)	Implementar el proxy de aplicación, configurar una aplicación para el inicio de sesión único de la autenticación integrada de Windows y establecer reglas de firewall para impedir el acceso a los puntos de conexión de la aplicación, excepto a través del proxy.
     Autenticación basada en encabezados	Implementar el proxy de aplicación y configurar una aplicación para el inicio de sesión único basado en encabezados.

4. Si la aplicación tiene varios roles, cada usuario tiene solo un rol en la aplicación y confía en Microsoft Entra ID para enviar el rol específico de la aplicación de un usuario como notificación del inicio de sesión en la aplicación, configure esos roles de app en Microsoft Entra ID en la aplicación y asigne cada usuario al rol de aplicación. Puede usar la interfaz de usuario de roles de aplicación para agregar esos roles al manifiesto de aplicación. Si usa las bibliotecas de autenticación de Microsoft, hay un ejemplo de código para usar roles de aplicación dentro de la aplicación para el control de acceso. Si un usuario podría tener varios roles simultáneamente, es posible que quiera implementar la aplicación para comprobar los grupos de seguridad, ya sea en las notificaciones de token o disponibles a través de Microsoft Graph, en lugar de usar roles de app desde el manifiesto de aplicación para el control de acceso.

5. Si la aplicación admite aprovisionamiento, configure el aprovisionamiento de los usuarios y grupos asignados de Microsoft Entra ID en esa aplicación. Si se trata de una aplicación privada o personalizada, también puede seleccionar la integración más adecuada, en función de la ubicación y las funcionalidades de la aplicación.

   • Si esta aplicación se basa en SAP Cloud Identity Services, configure el aprovisionamiento de usuarios a través de SCIM en SAP Cloud Identity Services.

     La aplicación admite	Pasos siguientes
     SAP Cloud Identity Services	Configurar Microsoft Entra ID para aprovisionar usuarios en SAP Cloud Identity Services

   • Si esta aplicación está en la nube pública y admite SCIM, configure el aprovisionamiento de usuarios a través de SCIM.

     La aplicación admite	Pasos siguientes
     SCIM	Configurar una aplicación con SCIM para el aprovisionamiento de usuarios.

   • Si esta aplicación usa AD, configure la escritura diferida de grupos y actualice la aplicación para usar los grupos creados por Microsoft Entra ID o anidar los grupos creados por Microsoft Entra ID en los grupos de seguridad de AD existentes de las aplicaciones.

     La aplicación admite	Pasos siguientes
     Kerberos	Configurar Microsoft Entra Cloud Sync escritura diferida de grupos en AD, crear grupos en el identificador de Microsoft Entra y escribir esos grupos en AD

   • De lo contrario, si se trata de una aplicación hospedada local o IaaS y no está integrada con AD, configure el aprovisionamiento en esa aplicación, ya sea mediante SCIM o en la base de datos o el directorio subyacentes de la aplicación.

     La aplicación admite	Pasos siguientes
     SCIM	Configurar una aplicación con el agente de aprovisionamiento para aplicaciones basadas en SCIM local.
     Cuentas de usuario locales, almacenadas en una base de datos SQL	Configurar una aplicación con el agente de aprovisionamiento para aplicaciones basadas en SQL local.
     Cuentas de usuario locales, almacenadas en un directorio LDAP	Configurar una aplicación con el agente de aprovisionamiento para aplicaciones basadas en LDAP local.
     cuentas de usuario locales, administradas a través de una SOAP o API de REST	configurar una aplicación con el agente de aprovisionamiento con el conector de servicios web
     cuentas de usuario locales, administradas a través de un conector MIM	configurar una aplicación con el agente de aprovisionamiento con un conector personalizado
     SAP ECC con NetWeaver AS ABAP 7.0 o posterior	configurar una aplicación con el agente de aprovisionamiento con un conector de servicios web configurado SAP ECC

6. Si la aplicación usa Microsoft Graph para consultar grupos de Microsoft Entra ID, otorgue su consentimiento a las aplicaciones para que tengan los permisos adecuados para leer desde el inquilino.

7. Establezca que el acceso a la aplicación solo se permita para los usuarios asignados a ella. Esta configuración impide que los usuarios vean por accidente la aplicación en MyApps y que intenten iniciar sesión en ella, antes de habilitar las directivas de acceso condicional.

Realización de una revisión de acceso inicial

Si se trata de una nueva aplicación que su organización no ha usado antes y, por lo tanto, nadie tiene acceso previamente, o si ya ha realizado revisiones de acceso para esta aplicación, vaya a la sección siguiente.

Sin embargo, si la aplicación ya existía en su entorno, es posible que los usuarios hayan obtenido acceso en el pasado mediante procesos manuales o fuera de banda, y que ahora se deban revisar esos usuarios para tener la confirmación de que su acceso sigue siendo necesario y adecuado en el futuro. Se recomienda realizar una revisión de acceso de los usuarios que ya tienen acceso a la aplicación antes de habilitar directivas para que más usuarios puedan solicitar acceso. Esta revisión establece una línea de base de todos los usuarios que se han revisado al menos una vez, a fin de asegurarse de que estén autorizados para el acceso continuado.

1. Siga los pasos que se indican en Preparación de una revisión del acceso de los usuarios a una aplicación.
2. Si la aplicación no usaba Microsoft Entra ID o AD, pero admite un protocolo de aprovisionamiento o tenía una base de datos SQL o LDAP subyacente, incorpore cualquier usuario existente y cree asignaciones de roles de aplicación para él.
3. Si la aplicación no usaba Microsoft Entra ID o AD y no admite un protocolo de aprovisionamiento, obtenga una lista de usuarios de la aplicación y cree asignaciones de roles de aplicación para cada uno de ellos.
4. Si la aplicación usaba grupos de seguridad de AD, debe revisar la pertenencia a esos grupos de seguridad.
5. Si la aplicación tenía su propio directorio o base de datos y no se ha integrado para el aprovisionamiento, una vez completada la revisión, es posible que tenga que actualizar manualmente la base de datos o el directorio internos de la aplicación para quitar los usuarios denegados.
6. Si la aplicación usaba grupos de seguridad de AD y esos grupos se habían creado en AD, una vez completada la revisión, debe actualizar manualmente los grupos de AD para quitar las pertenencias de los usuarios denegados. Posteriormente, para que los derechos de acceso denegados se quiten automáticamente,puede actualizar la aplicación para utilizar un grupo de AD que fue creado en Microsoft Entra ID y volver a escribir en Microsoft Entra ID, o mover la pertenencia del grupo de AD al grupo de Microsoft Entra yanidar el grupo escrito como el único miembro del grupo de AD.
7. Una vez completada la revisión y actualizado el acceso a la aplicación, o si ningún usuario tiene acceso, continúe con los pasos siguientes para implementar directivas de administración de derechos y acceso condicional para la aplicación.

Ahora que tiene una línea de base que garantiza que se ha revisado el acceso existente, puede implementar las directivas de la organización para el acceso continuo y las nuevas solicitudes de acceso.

Pasos siguientes

• Implementación de directivas de gobernanza