Alkalmazáshoz való hozzáférés kezelése

A folyamatos hozzáférés-kezelés, a használat kiértékelése és a jelentéskészítés továbbra is kihívást jelent, miután egy alkalmazás integrálva van a szervezet identitásrendszerébe. Sok esetben a rendszergazdáknak vagy az ügyfélszolgálatnak folyamatosan aktív szerepet kell vállalniuk az alkalmazásokhoz való hozzáférés kezelésében. Néha a hozzárendelést egy általános vagy részleg informatikai csapat végzi el. Gyakran előfordul, hogy a hozzárendelési döntést az üzleti döntéshozónak delegálják, és a hozzárendelés előtt jóváhagyást igényelnek.

Más szervezetek integrálása egy meglévő automatizált identitás- és hozzáférés-kezelési rendszerrel, például Role-Based Access Control (RBAC) vagy Attribute-Based Access Control (ABAC). Az integráció és a szabályfejlesztés általában specializált és költséges. A felügyeleti megközelítések monitorozása vagy jelentése önálló, költséges és összetett befektetés.

Hogyan segít az Azure Active Directory?

Azure AD támogatja a konfigurált alkalmazások széles körű hozzáférés-kezelését, így a szervezetek könnyen elérhetik a megfelelő hozzáférési szabályzatokat az automatikus, attribútumalapú hozzárendeléstől (ABAC- vagy RBAC-forgatókönyvek) a delegáláson át a rendszergazdai felügyeletig. A Azure AD segítségével egyszerűen elérheti az összetett szabályzatokat, és egyetlen alkalmazáshoz több felügyeleti modellt kombinálhat, és akár újra felhasználhatja a felügyeleti szabályokat az azonos célközönséggel rendelkező alkalmazásokban.

A Azure AD a használati és hozzárendelési jelentéskészítés teljes mértékben integrálva van, így a rendszergazdák egyszerűen jelentést készíthetnek a hozzárendelés állapotáról, a hozzárendelési hibákról és még a használatról is.

Felhasználók és csoportok hozzárendelése egy alkalmazáshoz

Az Azure AD-ben az alkalmazások hozzárendelésének két elsődleges módszere van:

  • Egyéni hozzárendelés A címtár globális rendszergazdai engedélyekkel rendelkező rendszergazdái kiválaszthatják az egyes felhasználói fiókokat, és hozzáférést biztosíthatnak nekik az alkalmazáshoz.

  • Csoportalapú hozzárendelés (Prémium P1 szintű Azure AD vagy P2) Egy címtár globális rendszergazdai engedélyekkel rendelkező rendszergazda hozzárendelhet egy csoportot az alkalmazáshoz. Az egyes felhasználók hozzáférését az határozza meg, hogy tagjai-e a csoportnak abban az időpontban, amikor megpróbálják elérni az alkalmazást. Más szóval a rendszergazda hatékonyan létrehozhat egy hozzárendelési szabályt, amely szerint "a hozzárendelt csoport bármely jelenlegi tagja hozzáfér az alkalmazáshoz". Ezzel a hozzárendelési lehetőséggel a rendszergazdák bármely Azure AD csoportfelügyeleti lehetőséget használhatják, beleértve az attribútumalapú dinamikus csoportokat, a külső rendszercsoportokat (például helyi Active Directory vagy Workday), illetve a rendszergazda által felügyelt vagy önkiszolgáló felügyelt csoportokat. Egyetlen csoport egyszerűen hozzárendelhető több alkalmazáshoz, így biztosítva, hogy a hozzárendelési affinitással rendelkező alkalmazások megosztják a hozzárendelési szabályokat, csökkentve ezzel a felügyelet összetettségét.

    Megjegyzés

    A beágyazott csoporttagságok jelenleg nem támogatottak az alkalmazásokhoz való csoportalapú hozzárendeléshez.

A két hozzárendelési mód használatával a rendszergazdák bármilyen kívánatos hozzárendelés-kezelési megközelítést elérhetnek.

Felhasználó-hozzárendelés megkövetelése egy alkalmazáshoz

Bizonyos típusú alkalmazások esetén megkövetelheti, hogy a felhasználók hozzá legyenek rendelve az alkalmazáshoz. Ezzel megakadályozza, hogy mindenki jelentkezzen be, kivéve azokat a felhasználókat, akiket kifejezetten hozzárendel az alkalmazáshoz. Ezt a lehetőséget az alábbi alkalmazástípusok támogatják:

  • SamL-alapú hitelesítéssel összevont egyszeri bejelentkezéshez (SSO) konfigurált alkalmazások
  • Az Azure Active Directory előhitelesítést használó alkalmazások alkalmazásproxy
  • Az Azure AD-alkalmazásplatformra épülő, OAuth 2.0 / OpenID Connect hitelesítést használó alkalmazások, miután a felhasználó vagy egy rendszergazda jóváhagyta ezt az alkalmazást. Egyes vállalati alkalmazások nagyobb mértékben szabályozhatják, hogy ki jelentkezhet be.

Ha felhasználó-hozzárendelést alkalmaz, csak azok a felhasználók tudnak bejelentkezni, akik az alkalmazáshoz vannak rendelve (akár közvetlen felhasználó-hozzárendeléssel, akár csoporttagság alapján). Az alkalmazáshoz a Saját alkalmazások portálon vagy közvetlen hivatkozással férhetnek hozzá.

Ha nincs szükség felhasználó-hozzárendelésre, a nem hozzárendelt felhasználók nem látják az alkalmazást a Saját alkalmazások, de továbbra is bejelentkezhetnek az alkalmazásba (más néven SP által kezdeményezett bejelentkezés), vagy használhatják a felhasználói hozzáférés URL-címét az alkalmazás Tulajdonságok lapján (más néven IDP által kezdeményezett bejelentkezés). További információ a felhasználó-hozzárendelési konfigurációk megköveteléséről: Alkalmazás konfigurálása

Ez a beállítás nem befolyásolja, hogy megjelenik-e alkalmazás a Saját alkalmazások. Az alkalmazások akkor jelennek meg a felhasználók Saját alkalmazások hozzáférési paneleken, ha már hozzárendelt egy felhasználót vagy csoportot az alkalmazáshoz.

Megjegyzés

Ha egy alkalmazás hozzárendelést igényel, az alkalmazás felhasználói jóváhagyása nem engedélyezett. Ez akkor is így van, ha az alkalmazás felhasználói jóváhagyása egyébként megengedett. A hozzárendelést megkövetelő alkalmazásokhoz feltétlenül adja meg a bérlőszintű rendszergazdai hozzájárulást.

Egyes alkalmazások esetében a felhasználó-hozzárendelés megkövetelése nem érhető el az alkalmazás tulajdonságai között. Ezekben az esetekben a PowerShell használatával beállíthatja az appRoleAssignmentRequired tulajdonságot a szolgáltatásnéven.

Az alkalmazásokhoz való hozzáférés felhasználói élményének meghatározása

Azure AD számos testre szabható módszert kínál az alkalmazások üzembe helyezésére a szervezet végfelhasználói számára:

  • Azure AD Saját alkalmazások
  • Microsoft 365 alkalmazásindító
  • Közvetlen bejelentkezés összevont alkalmazásokba (service-pr)
  • Mélyhivatkozások az összevont, jelszóalapú vagy meglévő alkalmazásokhoz

Meghatározhatja, hogy a vállalati alkalmazáshoz rendelt felhasználók láthatják-e azt a Saját alkalmazások és a Microsoft 365 alkalmazásindítójában.

Példa: Összetett alkalmazás-hozzárendelés Azure AD

Vegyünk egy olyan alkalmazást, mint a Salesforce. Számos szervezetben a Salesforce-t elsősorban a marketing- és értékesítési csapatok használják. A marketingcsapat tagjai gyakran magas jogosultsági szintű hozzáféréssel rendelkeznek a Salesforce-hoz, míg az értékesítési csapat tagjai korlátozott hozzáféréssel rendelkeznek. Sok esetben az információs dolgozók széles körének korlátozott hozzáférése van az alkalmazáshoz. A szabályok alóli kivételek bonyolítják a dolgokat. Gyakran a marketing- vagy értékesítési vezetői csapatok előjoga, hogy hozzáférést biztosítsanak a felhasználóknak, vagy az általános szabályoktól függetlenül módosítsák a szerepköreiket.

A Azure AD a Salesforce-hoz hasonló alkalmazások előre konfigurálhatók egyszeri bejelentkezéshez (SSO) és automatikus kiépítéshez. Az alkalmazás konfigurálása után a rendszergazdák az egyszeri művelet végrehajtásával létrehozhatják és hozzárendelhetik a megfelelő csoportokat. Ebben a példában egy rendszergazda a következő hozzárendeléseket hajthatja végre:

  • Dinamikus csoportok definiálhatók úgy, hogy a marketing- és értékesítési csapatok minden tagját automatikusan képviselje olyan attribútumok használatával, mint a részleg vagy a szerepkör:

    • A marketingcsoportok minden tagja hozzá lesz rendelve a Salesforce "marketing" szerepköréhez
    • Az értékesítési csapatcsoportok minden tagja hozzá lesz rendelve a Salesforce "sales" szerepköréhez. A további finomítások több csoportot is használhatnak, amelyek különböző Salesforce-szerepkörökhöz rendelt regionális értékesítési csapatokat képviselnek.
  • A kivételmechanizmus engedélyezéséhez minden szerepkörhöz létre lehet hozni egy önkiszolgáló csoportot. A "Salesforce marketing kivétel" csoport például létrehozható önkiszolgáló csoportként. A csoport hozzárendelhető a Salesforce marketingszerepkörhöz, és a marketingvezetési csapat is tulajdonossá tehető. A marketingvezetési csapat tagjai felhasználókat adhatnak hozzá vagy távolíthatnak el, csatlakozási szabályzatot állíthatnak be, vagy akár jóváhagyhatják vagy elutasíthatják az egyes felhasználók csatlakozási kérelmeit. Ezt a mechanizmust az információmunkás megfelelő tapasztalata támogatja, amely nem igényel speciális képzést a tulajdonosok vagy a tagok számára.

Ebben az esetben az összes hozzárendelt felhasználó automatikusan ki lesz építve a Salesforce számára. Mivel különböző csoportokhoz vannak hozzáadva, a szerepkör-hozzárendelésük frissülne a Salesforce-ban. A felhasználók felfedezhetik és elérhetik a Salesforce-t Saját alkalmazások, az Office webes ügyfelein keresztül, vagy a szervezeti Salesforce bejelentkezési oldalukra lépve. A rendszergazdák egyszerűen megtekinthetik a használati és hozzárendelési állapotot Azure AD jelentéskészítéssel.

A rendszergazdák Azure AD feltételes hozzáférést használhatnak adott szerepkörök hozzáférési szabályzatainak beállításához. Ezek a szabályzatok magukban foglalhatják, hogy a hozzáférés engedélyezve van-e a vállalati környezeten kívül, és akár többtényezős hitelesítést vagy eszközkövetelményeket is tartalmazhatnak a hozzáférés eléréséhez különböző esetekben.

Hozzáférés a Microsoft-alkalmazásokhoz

A Microsoft-alkalmazások (például Exchange, SharePoint, Yammer stb.) hozzárendelése és kezelése kissé eltér a külső SaaS-alkalmazásoktól vagy más alkalmazásoktól, amelyeket az egyszeri bejelentkezéshez Azure AD integrál.

A felhasználók három fő módon férhetnek hozzá a Microsoft által közzétett alkalmazásokhoz.

  • A Microsoft 365-ben vagy más fizetős csomagokban lévő alkalmazások esetében a felhasználók licenc-hozzárendeléssel kapnak hozzáférést közvetlenül a felhasználói fiókjukhoz, vagy csoportalapú licenc-hozzárendelési képességünkkel rendelkező csoporton keresztül.

  • Azon alkalmazások esetében, amelyeket a Microsoft vagy egy harmadik fél bárki számára szabadon közzétesz, a felhasználók felhasználói hozzájárulással kaphatnak hozzáférést. A felhasználók a Azure AD Munkahelyi vagy Iskolai fiókjukkal jelentkeznek be az alkalmazásba, és lehetővé teszik számukra, hogy korlátozott mennyiségű adathoz férhessenek hozzá a fiókjukban.

  • A Microsoft vagy egy harmadik fél által szabadon közzétett alkalmazások esetében a felhasználók rendszergazdai hozzájárulással is hozzáférést kaphatnak. Ez azt jelenti, hogy egy rendszergazda megállapította, hogy az alkalmazást a szervezet minden tagja használhatja, ezért globális rendszergazdai fiókkal jelentkezik be az alkalmazásba, és hozzáférést ad a szervezet minden tagja számára.

Egyes alkalmazások kombinálják ezeket a módszereket. Bizonyos Microsoft-alkalmazások például egy Microsoft 365-előfizetés részét képezik, de továbbra is hozzájárulást igényelnek.

A felhasználók a Office 365 portáljukon keresztül érhetik el a Microsoft 365-alkalmazásokat. A Microsoft 365-alkalmazásokat a Saját alkalmazások is megjelenítheti vagy elrejtheti, ha a címtár Felhasználói beállításai között Office 365 láthatósági kapcsolóval.

A vállalati alkalmazásokhoz hasonlóan a felhasználókat is hozzárendelheti bizonyos Microsoft-alkalmazásokhoz a Azure Portal vagy ha a portál nem érhető el, a PowerShell használatával.

Következő lépések