Alkalmazáshoz való hozzáférés kezelése
Az alkalmazások szervezeti identitásrendszerbe való integrálása kihívást jelent a hozzáférés-kezelés, a használat kiértékelése és a jelentéskészítés terén. Az informatikai rendszergazdáknak vagy az ügyfélszolgálati munkatársaknak általában felügyelni kell az alkalmazáshozzáférést. A hozzáférés-hozzárendelés egy általános vagy részlegszintű informatikai csapathoz tartozhat, de ideális esetben üzleti döntéshozókat kell bevonni, hogy jóváhagyást adjanak a folyamat befejezése előtt.
Más szervezetek integrálást hajtanak végre egy meglévő automatizált identitás- és hozzáférés-kezelési rendszerrel, például szerepköralapú hozzáférés-vezérléssel (RBAC) vagy attribútumalapú hozzáférés-vezérléssel (ABAC). Az integráció és a szabályfejlesztés általában specializált és költséges. A felügyeleti megközelítések monitorozása és jelentése külön, költséges és összetett befektetéssel rendelkezik.
Hogyan segít a Microsoft Entra ID?
A Microsoft Entra ID támogatja a konfigurált alkalmazások széles körű hozzáférés-kezelését, így a szervezetek könnyen elérhetik a megfelelő hozzáférési szabályzatokat az automatikus, attribútumalapú hozzárendeléstől (ABAC- vagy RBAC-forgatókönyvek) a delegáláson keresztül, valamint a rendszergazdai felügyeletig. A Microsoft Entra ID-val egyszerűen elérheti az összetett szabályzatokat, több felügyeleti modellt kombinálva egyetlen alkalmazáshoz, és akár újra felhasználhatja a felügyeleti szabályokat az alkalmazásokban ugyanazokkal a célközönségekkel.
A Microsoft Entra-azonosítóval a használati és hozzárendelési jelentések teljesen integrálva lesznek, így a rendszergazdák egyszerűen jelentést készíthetnek a hozzárendelés állapotáról, a hozzárendelési hibákról és akár a használatról is.
Felhasználók és csoportok hozzárendelése egy alkalmazáshoz
A Microsoft Entra alkalmazás-hozzárendelés két elsődleges hozzárendelési módra összpontosít:
Egyéni hozzárendelés : A felhőalkalmazás-rendszergazdai engedélyekkel rendelkező rendszergazda kijelölheti az egyes felhasználói fiókokat, és hozzáférést biztosíthat nekik az alkalmazáshoz.
Csoportalapú hozzárendelés (P1 vagy P2 Microsoft Entra-azonosítót igényel) A felhőalkalmazás-engedélyekkel rendelkező rendszergazda hozzárendelhet egy csoportot az alkalmazáshoz. Az egyes felhasználók hozzáférését az határozza meg, hogy tagjai-e a csoportnak, amikor megpróbálják elérni az alkalmazást. Más szóval a rendszergazda hatékonyan létrehozhat egy hozzárendelési szabályt, amely szerint "a hozzárendelt csoport bármely jelenlegi tagja hozzáfér az alkalmazáshoz". Ezzel a hozzárendelési beállítással a rendszergazdák bármely Microsoft Entra-csoportkezelési lehetőséget használhatnak, beleértve az attribútumalapú dinamikus tagsági csoportokat, a külső rendszercsoportokat (például helyi Active Directory vagy Workday), vagy a rendszergazda által felügyelt vagy önkiszolgáló felügyelt csoportokat. Egyetlen csoport egyszerűen hozzárendelhető több alkalmazáshoz, így biztosítva, hogy a hozzárendelési affinitással rendelkező alkalmazások megosztják a hozzárendelési szabályokat, csökkentve ezzel a felügyelet összetettségét.
Jegyzet
A beágyazott csoporttagságok jelenleg nem támogatottak az alkalmazásokhoz való csoportalapú hozzárendeléshez.
Ezzel a két hozzárendelési móddal a rendszergazdák bármilyen kívánatos hozzárendelés-kezelési megközelítést elérhetnek.
Felhasználói hozzárendelés megkövetelése egy alkalmazáshoz
Bizonyos típusú alkalmazások esetén megkövetelheti, hogy a felhasználók hozzá legyenek rendelve az alkalmazáshoz. Ezzel megakadályozhatja, hogy mindenki bejelentkezjen, kivéve azokat a felhasználókat, akiket kifejezetten hozzárendel az alkalmazáshoz. A következő típusú alkalmazások támogatják ezt a beállítást:
- SamL-alapú hitelesítéssel összevont egyszeri bejelentkezéshez (SSO) konfigurált alkalmazások
- Alkalmazásproxy Microsoft Entra előzetes hitelesítést használó alkalmazások
- Az OAuth 2.0/OpenID Connect-hitelesítést használó Microsoft Entra alkalmazásplatformra épülő alkalmazások, miután egy felhasználó vagy rendszergazda hozzájárult az alkalmazáshoz. Egyes vállalati alkalmazások nagyobb mértékben szabályozhatják, hogy ki jelentkezhet be.
Ha felhasználói hozzárendelésre van szükség, csak azok a felhasználók tudnak bejelentkezni, akiket ön hozzárendel az alkalmazáshoz (közvetlen felhasználói hozzárendeléssel vagy csoporttagság alapján). Az alkalmazást a Saját alkalmazások portálon vagy egy közvetlen hivatkozással érhetik el.
Ha nincs szükség felhasználói hozzárendelésre, a nem hozzárendelt felhasználók nem látják az alkalmazást a Saját alkalmazások, de továbbra is bejelentkezhetnek magára az alkalmazásra (más néven SP által kezdeményezett bejelentkezésre), vagy használhatják a Felhasználói hozzáférés URL-címét az alkalmazás Tulajdonságok lapján (más néven IDP által kezdeményezett bejelentkezés). További információ a felhasználói hozzárendelés konfigurálásának megköveteléséről: Alkalmazás konfigurálása
Ez a beállítás nem befolyásolja, hogy egy alkalmazás megjelenik-e Saját alkalmazások. Az alkalmazások akkor jelennek meg a felhasználói Saját alkalmazások portálon, ha felhasználót vagy csoportot rendel az alkalmazáshoz.
Jegyzet
Ha egy alkalmazás hozzárendelést igényel, az alkalmazás felhasználói hozzájárulása nem engedélyezett. Ez akkor is igaz, ha a felhasználók máskülönben engedélyezték volna az alkalmazáshoz való hozzájárulást. Mindenképpen adjon bérlőszintű rendszergazdai hozzájárulást a hozzárendelést igénylő alkalmazásokhoz.
Egyes alkalmazások esetében a felhasználói hozzárendelés megkövetelése nem érhető el az alkalmazás tulajdonságai között. Ezekben az esetekben a PowerShell használatával beállíthatja az appRoleAssignmentRequired tulajdonságot a szolgáltatásnéven.
Az alkalmazásokhoz való hozzáférés felhasználói élményének meghatározása
A Microsoft Entra ID számos testre szabható módszert kínál az alkalmazások szervezet végfelhasználói számára történő üzembe helyezésére:
- Microsoft Entra Saját alkalmazások
- Microsoft 365 alkalmazásindító
- Közvetlen bejelentkezés összevont alkalmazásokba (service-pr)
- Részletes hivatkozások összevont, jelszóalapú vagy meglévő alkalmazásokhoz
Meghatározhatja, hogy a vállalati alkalmazáshoz rendelt felhasználók láthatják-e a Saját alkalmazások és a Microsoft 365 alkalmazásindítójában.
Példa: Összetett alkalmazás-hozzárendelés a Microsoft Entra-azonosítóval
Fontolja meg egy olyan alkalmazást, mint a Salesforce. Számos szervezetben a Salesforce-t elsősorban a marketing- és értékesítési csapatok használják. A marketingcsapat tagjai gyakran magas jogosultsági szintű hozzáféréssel rendelkeznek a Salesforce-hoz, míg az értékesítési csapat tagjai korlátozott hozzáféréssel rendelkeznek. Az információs dolgozók széles köre sok esetben korlátozott hozzáférést kap az alkalmazáshoz. A szabályok alóli kivételek bonyolítják a dolgokat. Gyakran a marketing- vagy értékesítési vezetői csapatok előjoga, hogy hozzáférést biztosítsanak a felhasználóknak, vagy az általános szabályoktól függetlenül módosítsák a szerepköreiket.
A Microsoft Entra ID-val az olyan alkalmazások, mint a Salesforce előre konfigurálhatók egyszeri bejelentkezéshez (SSO) és automatikus kiépítéshez. Az alkalmazás konfigurálása után a rendszergazda elvégezheti az egyszeri műveletet a megfelelő csoportok létrehozásához és hozzárendeléséhez. Ebben a példában a rendszergazda a következő feladatokat hajthatja végre:
A dinamikus csoportok úgy határozhatók meg, hogy automatikusan képviseljenek a marketing- és értékesítési csapatok minden tagját olyan attribútumok használatával, mint a részleg vagy a szerepkör:
- A marketingcsoportok minden tagja hozzá lesz rendelve a Salesforce "marketing" szerepköréhez
- Az értékesítési csoportcsoportok minden tagja hozzá lesz rendelve a Salesforce "sales" szerepköréhez. A további finomítások több csoportot is használhatnak, amelyek különböző Salesforce-szerepkörökhöz rendelt regionális értékesítési csoportokat képviselnek.
A kivételi mechanizmus engedélyezéséhez minden szerepkörhöz létre lehet hozni egy önkiszolgáló csoportot. A "Salesforce marketing kivétel" csoport például önkiszolgáló csoportként hozható létre. A csoport hozzárendelhető a Salesforce marketingszerepköréhez, a marketingvezetési csapat pedig tulajdonossá tehető. A marketingvezetési csapat tagjai felhasználókat adhatnak hozzá vagy távolíthatnak el, csatlakozási szabályzatot állíthatnak be, vagy akár jóváhagyhatják vagy elutasíthatják az egyes felhasználók csatlakozási kéréseit. Ezt a mechanizmust egy olyan, az információs feldolgozónak megfelelő tapasztalat támogatja, amely nem igényel speciális képzést a tulajdonosok vagy a tagok számára.
Ebben az esetben az összes hozzárendelt felhasználó automatikusan ki lesz építve a Salesforce számára. A különböző csoportokhoz való hozzáadásukkor a szerepkör-hozzárendelésük frissül a Salesforce-ban. A felhasználók felfedezhetik és elérhetik a Salesforce-ot Saját alkalmazások, Office-webügyfeleken keresztül, vagy a szervezeti Salesforce bejelentkezési oldalára lépve. A rendszergazdák egyszerűen megtekinthetik a használati és hozzárendelési állapotot a Microsoft Entra ID jelentéssel.
A rendszergazdák a Microsoft Entra Feltételes hozzáférést használhatják adott szerepkörök hozzáférési szabályzatainak beállításához. Ezek a szabályzatok magukban foglalhatják, hogy a hozzáférés engedélyezett-e a vállalati környezeten kívül, vagy akár többtényezős hitelesítés vagy eszközkövetelmények is lehetnek a hozzáférés eléréséhez különböző esetekben.
Hozzáférés Microsoft-alkalmazásokhoz
A Microsoft-alkalmazások (például az Exchange, a SharePoint, a Yammer stb.) hozzárendelése és kezelése kissé eltér a nem Microsoft SaaS-alkalmazásoktól vagy más alkalmazásoktól, amelyeket az egyszeri bejelentkezéshez integrálhat a Microsoft Entra-azonosítóval.
A felhasználók három fő módon férhetnek hozzá a Microsoft által közzétett alkalmazásokhoz.
A Microsoft 365-ben vagy más fizetős csomagokban lévő alkalmazások esetében a felhasználók licenckiosztással kapnak hozzáférést közvetlenül a felhasználói fiókjukhoz, vagy csoportalapú licenc-hozzárendelési képességünkkel rendelkező csoporton keresztül.
A Microsoft vagy egy nem Microsoft-szervezet által szabadon közzétett alkalmazásokhoz a felhasználók felhasználói hozzájárulással férhetnek hozzá. A felhasználók a Microsoft Entra munkahelyi vagy iskolai fiókjával jelentkeznek be az alkalmazásba, és lehetővé teszik számukra, hogy korlátozott számú adathoz férhessenek hozzá a fiókjukon.
A Microsoft vagy egy nem Microsoft-szervezet által szabadon közzétett alkalmazások esetében a felhasználók rendszergazdai hozzájárulással is hozzáférést kaphatnak. Ez azt jelenti, hogy a rendszergazda megállapította, hogy az alkalmazást a szervezet minden tagja használhatja, ezért kiemelt szerepkörökkel rendelkező rendszergazdai szerepkörrel jelentkezik be az alkalmazásba, és hozzáférést biztosít a szervezet minden tagja számára.
Egyes alkalmazások kombinálják ezeket a módszereket. Bizonyos Microsoft-alkalmazások például egy Microsoft 365-előfizetés részét képezik, de továbbra is hozzájárulást igényelnek.
A felhasználók office 365-portáljaikon keresztül férhetnek hozzá a Microsoft 365-alkalmazásokhoz. A Microsoft 365-alkalmazásokat a Saját alkalmazások is megjelenítheti vagy elrejtheti az Office 365 láthatósági kapcsolójával a címtár felhasználói beállításai között.
A nagyvállalati alkalmazásokhoz hasonlóan bizonyos Microsoft-alkalmazásokhoz is hozzárendelhet felhasználókat a Microsoft Entra felügyeleti központban vagy a PowerShell használatával.
Alkalmazáshozzáférés megakadályozása helyi fiókokon keresztül
A Microsoft Entra ID lehetővé teszi a szervezet számára, hogy egyszeri bejelentkezést állítson be a felhasználók feltételes hozzáféréssel, többtényezős hitelesítéssel stb. Egyes alkalmazások korábban saját helyi felhasználói tárolóval rendelkeznek, és lehetővé teszik, hogy a felhasználók helyi hitelesítő adatokkal vagy alkalmazásspecifikus biztonsági mentési hitelesítési módszerrel jelentkezzenek be az alkalmazásba az egyszeri bejelentkezés helyett. Ezek az alkalmazásfunkciók visszaélhetnek, és lehetővé tehetik, hogy a felhasználók akkor is megőrizzék az alkalmazásokhoz való hozzáférést, ha már nincsenek hozzárendelve az alkalmazáshoz a Microsoft Entra-azonosítóban, vagy már nem tudnak bejelentkezni a Microsoft Entra-azonosítóba, és lehetővé tehetik, hogy a támadók a Microsoft Entra ID-naplókban való megjelenés nélkül próbálják meg feltörni az alkalmazást. Annak biztosítása érdekében, hogy az alkalmazásokba való bejelentkezéseket a Microsoft Entra-azonosító védi:
- Azonosítsa, hogy mely alkalmazások csatlakoznak a címtárhoz az egyszeri bejelentkezéshez, így a végfelhasználók helyi alkalmazás hitelesítő adataival vagy biztonsági mentési hitelesítési módszerével megkerülhetik az egyszeri bejelentkezést. Az alkalmazásszolgáltató által biztosított dokumentációt kell áttekintenie, hogy ez lehetséges-e, és hogy milyen beállítások érhetők el. Ezután ezekben az alkalmazásokban tiltsa le azokat a beállításokat, amelyek lehetővé teszik a végfelhasználók számára az egyszeri bejelentkezés megkerülését. A végfelhasználói élmény teszteléséhez nyissa meg a böngészőt az InPrivate-ban, csatlakozzon az alkalmazások bejelentkezési oldalához, adja meg egy felhasználó identitását a bérlőjében, és ellenőrizze, hogy nincs-e más lehetőség a bejelentkezésre, mint a Microsoft Entra használatával.
- Ha az alkalmazás api-t biztosít a felhasználói jelszavak kezeléséhez, távolítsa el a helyi jelszavakat, vagy állítson be egyedi jelszót minden felhasználóhoz az API-kat használva. Ez megakadályozza, hogy a végfelhasználók helyi hitelesítő adatokkal jelentkezzenek be az alkalmazásba.
- Ha az alkalmazás api-t biztosít a felhasználók kezeléséhez, konfigurálja a Microsoft Entra felhasználókiépítését arra az alkalmazásra, hogy letiltsa vagy törölje a felhasználói fiókokat, ha a felhasználók már nem tartoznak az alkalmazás vagy a bérlő hatókörébe.