Oktatóanyag a Saviynt azure Active Directory B2C-vel való konfigurálásához

  • Cikk

Ismerje meg, hogyan integrálhatja az Azure Active Directory B2C-t (Azure AD B2C) a Saviynt Security Manager platformmal, amely láthatóságot, biztonságot és szabályozást biztosít. A Saviynt magában foglalja az alkalmazáskockázatot és -szabályozást, az infrastruktúra-kezelést, a kiemelt fiókkezelést és az ügyfelek kockázatelemzését.

További információ: Saviynt for Azure AD B2C

Az alábbi utasításokat követve beállíthatja a hozzáférés-vezérlés delegált felügyeletét az Azure AD B2C-felhasználók számára. A Saviynt meghatározza, hogy egy felhasználó jogosult-e az Azure AD B2C-felhasználók kezelésére a következőkkel:

  • Szolgáltatásszintű biztonság annak megállapításához, hogy a felhasználók végrehajthatnak-e műveletet
    • Például hozzon létre egy felhasználót, frissítse a felhasználót, állítsa alaphelyzetbe a felhasználói jelszót stb.
  • Mezőszintű biztonság annak megállapításához, hogy a felhasználók képesek-e felhasználói attribútumok olvasására/írására a felhasználófelügyeleti műveletek során
    • Egy Ügyfélszolgálati ügynök például frissíthet egy telefonszámot; más attribútumok írásvédettek
  • Adatszintű biztonság annak megállapításához, hogy a felhasználók végrehajthatnak-e műveletet egy másik felhasználón
    • Az Egyesült Királyság régiójának ügyfélszolgálati rendszergazdája például az Egyesült Királyság felhasználóit kezeli

Előfeltételek

A kezdéshez a következők szükségesek:

Forgatókönyv leírása

A Saviynt-integráció a következő összetevőket tartalmazza:

  • Azure AD B2C – identitás szolgáltatásként az ügyfél-regisztráció, a bejelentkezés és a profilkezelés egyéni vezérléséhez
  • Saviynt az Azure AD B2C-hez – identitásszabályozás a felhasználói életciklus felügyeletének és hozzáférés-szabályozásának delegált felügyeletéhez
  • Microsoft Graph API – a Saviynt felülete az Azure AD B2C-felhasználók és hozzáférésük kezeléséhez

Az alábbi architektúradiagram a megvalósítást szemlélteti.

Diagram of the Saviynt architecture.

  1. Egy delegált rendszergazda elindítja az Azure AD B2C felhasználói műveletet a Saviynttel.
  2. A Saviynt ellenőrzi, hogy a delegált rendszergazda végrehajthatja-e a műveletet.
  3. A Saviynt sikeres vagy sikertelen engedélyezési választ küld.
  4. A Saviynt lehetővé teszi, hogy a delegált rendszergazda végrehajtsa a műveletet.
  5. A Saviynt felhasználói attribútumokkal meghívja a Microsoft Graph API-t a felhasználó Azure AD B2C-ben való kezeléséhez.
  6. A Microsoft Graph API létrehozza, frissíti vagy törli a felhasználót az Azure AD B2C-ben.
  7. Az Azure AD B2C sikeres vagy sikertelen választ küld.
  8. A Microsoft Graph API a Saviynt válaszát adja vissza.

Saviynt-fiók létrehozása és delegált szabályzatok létrehozása

  1. Hozzon létre egy Saviynt-fiókot. Első lépésként lépjen saviynt.com Lépjen kapcsolatba velünk.
  2. Delegált felügyeleti szabályzatok létrehozása.
  3. Delegált rendszergazdai szerepkör hozzárendelése a felhasználókhoz.

Az Azure AD B2C konfigurálása a Saviynttel

Az alábbi utasításokat követve létrehozhat egy alkalmazást, törölheti a felhasználókat stb.

Microsoft Entra-alkalmazás létrehozása a Saviynthez

Az alábbi utasításokhoz használja a címtárat az Azure AD B2C-bérlővel.

  1. Jelentkezzen be az Azure Portalra.

  2. A portál eszköztárán válassza a Könyvtárak + előfizetések lehetőséget.

  3. A Portál beállításai, Címtárak + előfizetések lapon, a Címtár névlistában keresse meg az Azure AD B2C-címtárat.

  4. Válassza a Váltás lehetőséget.

  5. Az Azure Portalon keressen és válassza ki az Azure AD B2C-t.

  6. Válassza a Alkalmazásregisztrációk> New regisztrációt.

  7. Adjon meg egy alkalmazásnevet. Például: Saviynt.

  8. Select Create.

  9. Nyissa meg az API-engedélyeket.

  10. Válassza a + Engedély hozzáadása lehetőséget.

  11. Megjelenik a Kérelem API engedélyoldala.

  12. Válassza a Microsoft API-k lapot.

  13. Válassza a Microsoft Graphot a gyakran használt Microsoft API-kként.

  14. Lépjen a következő oldalra.

  15. Válassza ki az alkalmazásengedélyeket.

  16. Válassza a Címtár lehetőséget.

  17. Jelölje be a Directory.Read.All és a Directory.ReadWrite.All jelölőnégyzetet.

  18. Válassza az Engedélyek hozzáadása lehetőséget.

  19. Tekintse át az engedélyeket.

  20. Válassza az Alapértelmezett címtár rendszergazdai hozzájárulásának megadása lehetőséget.

  21. Válassza a Mentés parancsot.

  22. Lépjen a Tanúsítványok és titkos kódok elemre.

  23. Válassza a +Titkos ügyfélkód hozzáadása lehetőséget.

  24. Adja meg az ügyfél titkos kódjának leírását.

  25. Válassza ki a lejárati lehetőséget.

  26. Select Add.

  27. A titkos kulcs megjelenik az Ügyfélkód szakaszban. Mentse az ügyfélkulcsot későbbi használatra.

  28. Lépjen az Áttekintés elemre.

  29. Másolja ki az ügyfél- és bérlőazonosítót.

Mentse a bérlőazonosítót, az ügyfél-azonosítót és az ügyfélkulcsot a telepítés befejezéséhez.

Felhasználók törlésének engedélyezése a Saviynt számára

Engedélyezze a Saviynt számára, hogy felhasználói törlési műveleteket hajthasson végre az Azure AD B2C-ben.

További információ: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban

  1. Telepítse a Microsoft Graph PowerShell modul legújabb verzióját windowsos munkaállomásra vagy -kiszolgálóra.

További információkért tekintse meg a Microsoft Graph PowerShell dokumentációját.

  1. Csatlakozás a PowerShell-modulba, és hajtsa végre a következő parancsokat:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

A megoldás tesztelése

Keresse meg a Saviynt-alkalmazás bérlőit, és tesztelje a felhasználói életciklus-kezelési és hozzáférés-szabályozási használati eseteket.

Következő lépések