Oktatóanyag a Saviynt azure Active Directory B2C-vel való konfigurálásához
Ismerje meg, hogyan integrálhatja az Azure Active Directory B2C-t (Azure AD B2C) a Saviynt Security Manager platformmal, amely láthatóságot, biztonságot és szabályozást biztosít. A Saviynt magában foglalja az alkalmazáskockázatot és -szabályozást, az infrastruktúra-kezelést, a kiemelt fiókkezelést és az ügyfelek kockázatelemzését.
További információ: Saviynt for Azure AD B2C
Az alábbi utasításokat követve beállíthatja a hozzáférés-vezérlés delegált felügyeletét az Azure AD B2C-felhasználók számára. A Saviynt meghatározza, hogy egy felhasználó jogosult-e az Azure AD B2C-felhasználók kezelésére a következőkkel:
- Szolgáltatásszintű biztonság annak megállapításához, hogy a felhasználók végrehajthatnak-e műveletet
- Például hozzon létre egy felhasználót, frissítse a felhasználót, állítsa alaphelyzetbe a felhasználói jelszót stb.
- Mezőszintű biztonság annak megállapításához, hogy a felhasználók képesek-e felhasználói attribútumok olvasására/írására a felhasználófelügyeleti műveletek során
- Egy Ügyfélszolgálati ügynök például frissíthet egy telefonszámot; más attribútumok írásvédettek
- Adatszintű biztonság annak megállapításához, hogy a felhasználók végrehajthatnak-e műveletet egy másik felhasználón
- Az Egyesült Királyság régiójának ügyfélszolgálati rendszergazdája például az Egyesült Királyság felhasználóit kezeli
Előfeltételek
A kezdéshez a következők szükségesek:
Azure-előfizetés
- Ha nincs bekapcsolva, szerezze be az ingyenes Azure-fiókot
Azure-előfizetéshez társított Azure AD B2C-bérlő
Lépjen saviynt.com Lépjen kapcsolatba velünk bemutató kéréséhez
Forgatókönyv leírása
A Saviynt-integráció a következő összetevőket tartalmazza:
- Azure AD B2C – identitás szolgáltatásként az ügyfél-regisztráció, a bejelentkezés és a profilkezelés egyéni vezérléséhez
- Saviynt az Azure AD B2C-hez – identitásszabályozás a felhasználói életciklus felügyeletének és hozzáférés-szabályozásának delegált felügyeletéhez
- Lásd: Saviynt for Azure AD B2C
- Microsoft Graph API – a Saviynt felülete az Azure AD B2C-felhasználók és hozzáférésük kezeléséhez
Az alábbi architektúradiagram a megvalósítást szemlélteti.
- Egy delegált rendszergazda elindítja az Azure AD B2C felhasználói műveletet a Saviynttel.
- A Saviynt ellenőrzi, hogy a delegált rendszergazda végrehajthatja-e a műveletet.
- A Saviynt sikeres vagy sikertelen engedélyezési választ küld.
- A Saviynt lehetővé teszi, hogy a delegált rendszergazda végrehajtsa a műveletet.
- A Saviynt felhasználói attribútumokkal meghívja a Microsoft Graph API-t a felhasználó Azure AD B2C-ben való kezeléséhez.
- A Microsoft Graph API létrehozza, frissíti vagy törli a felhasználót az Azure AD B2C-ben.
- Az Azure AD B2C sikeres vagy sikertelen választ küld.
- A Microsoft Graph API a Saviynt válaszát adja vissza.
Saviynt-fiók létrehozása és delegált szabályzatok létrehozása
- Hozzon létre egy Saviynt-fiókot. Első lépésként lépjen saviynt.com Lépjen kapcsolatba velünk.
- Delegált felügyeleti szabályzatok létrehozása.
- Delegált rendszergazdai szerepkör hozzárendelése a felhasználókhoz.
Az Azure AD B2C konfigurálása a Saviynttel
Az alábbi utasításokat követve létrehozhat egy alkalmazást, törölheti a felhasználókat stb.
Microsoft Entra-alkalmazás létrehozása a Saviynthez
Az alábbi utasításokhoz használja a címtárat az Azure AD B2C-bérlővel.
Jelentkezzen be az Azure Portalra.
A portál eszköztárán válassza a Könyvtárak + előfizetések lehetőséget.
A Portál beállításai, Címtárak + előfizetések lapon, a Címtár névlistában keresse meg az Azure AD B2C-címtárat.
Válassza a Váltás lehetőséget.
Az Azure Portalon keressen és válassza ki az Azure AD B2C-t.
Válassza a Alkalmazásregisztrációk> New regisztrációt.
Adjon meg egy alkalmazásnevet. Például: Saviynt.
Select Create.
Nyissa meg az API-engedélyeket.
Válassza a + Engedély hozzáadása lehetőséget.
Megjelenik a Kérelem API engedélyoldala.
Válassza a Microsoft API-k lapot.
Válassza a Microsoft Graphot a gyakran használt Microsoft API-kként.
Lépjen a következő oldalra.
Válassza ki az alkalmazásengedélyeket.
Válassza a Címtár lehetőséget.
Jelölje be a Directory.Read.All és a Directory.ReadWrite.All jelölőnégyzetet.
Válassza az Engedélyek hozzáadása lehetőséget.
Tekintse át az engedélyeket.
Válassza az Alapértelmezett címtár rendszergazdai hozzájárulásának megadása lehetőséget.
Válassza a Mentés parancsot.
Lépjen a Tanúsítványok és titkos kódok elemre.
Válassza a +Titkos ügyfélkód hozzáadása lehetőséget.
Adja meg az ügyfél titkos kódjának leírását.
Válassza ki a lejárati lehetőséget.
Select Add.
A titkos kulcs megjelenik az Ügyfélkód szakaszban. Mentse az ügyfélkulcsot későbbi használatra.
Lépjen az Áttekintés elemre.
Másolja ki az ügyfél- és bérlőazonosítót.
Mentse a bérlőazonosítót, az ügyfél-azonosítót és az ügyfélkulcsot a telepítés befejezéséhez.
Felhasználók törlésének engedélyezése a Saviynt számára
Engedélyezze a Saviynt számára, hogy felhasználói törlési műveleteket hajthasson végre az Azure AD B2C-ben.
További információ: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban
- Telepítse a Microsoft Graph PowerShell modul legújabb verzióját windowsos munkaállomásra vagy -kiszolgálóra.
További információkért tekintse meg a Microsoft Graph PowerShell dokumentációját.
- Csatlakozás a PowerShell-modulba, és hajtsa végre a következő parancsokat:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId
A megoldás tesztelése
Keresse meg a Saviynt-alkalmazás bérlőit, és tesztelje a felhasználói életciklus-kezelési és hozzáférés-szabályozási használati eseteket.