Megosztás a következőn keresztül:

Alkalmazások integrálása a Microsoft Entra-azonosítóval és az áttekintett hozzáférés alapkonfigurációjának létrehozása

  • Cikk

Miután létrehozta azokat a szabályzatokat, amelyeknek hozzáféréssel kell rendelkezniük egy alkalmazáshoz, csatlakoztathatja az alkalmazást a Microsoft Entra-azonosítóhoz, majd üzembe helyezheti a hozzájuk való hozzáférés szabályozására vonatkozó szabályzatokat.

Microsoft Entra ID-kezelés számos alkalmazással integrálható, beleértve az olyan jól ismert alkalmazásokat, mint az SAP R/3, az SAP S/4HANA, valamint az openID Csatlakozás, SAML, SCIM, SQL, LDAP, SOAP és REST szabványokat használó alkalmazásokat. Ezen szabványok segítségével a Microsoft Entra ID számos népszerű SaaS-alkalmazással és helyszíni alkalmazással használható, beleértve a szervezet által kifejlesztett alkalmazásokat is. Ez az üzembe helyezési terv bemutatja, hogyan csatlakoztathatja az alkalmazást a Microsoft Entra-azonosítóhoz, és hogyan engedélyezheti az identitásszabályozási funkciók használatát az adott alkalmazáshoz.

Ahhoz, hogy Microsoft Entra ID-kezelés alkalmazáshoz lehessen használni, az alkalmazást először integrálnia kell a Microsoft Entra-azonosítóval, és meg kell jelenítenie a címtárban. A Microsoft Entra-azonosítóval integrálható alkalmazásnak két követelmény egyikét kell teljesítenie:

  • Az alkalmazás az összevont egyszeri bejelentkezés Microsoft Entra-azonosítójára támaszkodik, és a Microsoft Entra ID szabályozza a hitelesítési jogkivonatok kiállítását. Ha az alkalmazás egyetlen identitásszolgáltatója a Microsoft Entra ID, akkor csak azok a felhasználók jelentkezhetnek be az alkalmazásba, akik az alkalmazás egyik szerepköréhez vannak hozzárendelve a Microsoft Entra-azonosítóban. Azok a felhasználók, akik elveszítik az alkalmazásszerepkör-hozzárendelésüket, már nem kapnak új jogkivonatot az alkalmazásba való bejelentkezéshez.
  • Az alkalmazás olyan felhasználói vagy csoportlistákra támaszkodik, amelyeket a Microsoft Entra ID biztosít az alkalmazásnak. Ezt a teljesítést egy olyan kiépítési protokollon keresztül végezheti el, mint például az SCIM, a Microsoft Entra ID-t a Microsoft Graphon keresztül lekérdező alkalmazással, vagy az AD Kerberost használó alkalmazással a felhasználó csoporttagságainak lekérésével.

Ha egyik feltétel sem teljesül egy alkalmazás esetében, például ha az alkalmazás nem a Microsoft Entra-azonosítóra támaszkodik, akkor az identitásszabályozás továbbra is használható. Előfordulhat azonban, hogy bizonyos korlátozások az identitásszabályozást a feltételek teljesítése nélkül használják. Például azok a felhasználók, akik nem szerepelnek a Microsoft Entra-azonosítóban, vagy nincsenek hozzárendelve a Microsoft Entra-azonosító alkalmazásszerepköreihez, nem lesznek belefoglalva az alkalmazás hozzáférési felülvizsgálataiba, amíg ön nem rendeli őket az alkalmazásszerepkörökhöz. További információ: Felkészülés a felhasználók alkalmazáshoz való hozzáférésének hozzáférési felülvizsgálatára.

Integrálja az alkalmazást a Microsoft Entra-azonosítóval, hogy csak a jogosult felhasználók férhessenek hozzá az alkalmazáshoz

Az alkalmazás integrálásának folyamata általában akkor kezdődik, amikor úgy konfigurálja az alkalmazást, hogy a felhasználói hitelesítéshez a Microsoft Entra-azonosítóra támaszkodjon, összevont egyszeri bejelentkezési (SSO) protokollkapcsolattal, majd adja hozzá a kiépítést. Az egyszeri bejelentkezéshez leggyakrabban használt protokollok az SAML és az OpenID Csatlakozás. Az alkalmazáshitelesítés felderítésére és a Microsoft Entra-azonosítóba való migrálására használható eszközökről és folyamatokról bővebben olvashat.

Ezután, ha az alkalmazás egy kiépítési protokollt implementál, akkor konfigurálnia kell a Microsoft Entra-azonosítót a felhasználók alkalmazáshoz való kiépítéséhez, hogy a Microsoft Entra-azonosító jelezhesse az alkalmazásnak, ha egy felhasználó hozzáférést kapott, vagy egy felhasználó hozzáférését eltávolították. Ezek a kiépítési jelek lehetővé teszik az alkalmazás számára, hogy automatikus javításokat végezzenek, például egy olyan alkalmazott által létrehozott tartalom hozzárendelését, aki elhagyta a felettesét.

  1. Ellenőrizze, hogy az alkalmazás szerepel-e a vállalati alkalmazások listáján vagy az alkalmazásregisztrációk listáján. Ha az alkalmazás már megtalálható a bérlőben, ugorjon a szakasz 5. lépésére.

  2. Ha az alkalmazás olyan SaaS-alkalmazás, amely még nincs regisztrálva a bérlőben, ellenőrizze, hogy az alkalmazás elérhető-e az összevont egyszeri bejelentkezéshez integrálható alkalmazások alkalmazásgyűjteményében . Ha a katalógusban található, akkor az oktatóanyagokkal integrálhatja az alkalmazást a Microsoft Entra-azonosítóval.

    1. Az oktatóanyagot követve konfigurálhatja az összevont egyszeri bejelentkezést a Microsoft Entra-azonosítóval.
    2. ha az alkalmazás támogatja a kiépítést, konfigurálja az alkalmazást a kiépítéshez.
    3. Ha elkészült, ugorjon a cikk következő szakaszára. Ha az SaaS-alkalmazás nincs a katalógusban, kérje meg az SaaS-szállítót, hogy vegye fel a kapcsolatot.

  3. Ha ez egy privát vagy egyéni alkalmazás, az alkalmazás helye és képességei alapján egyetlen bejelentkezési integrációt is kiválaszthat, amely a legmegfelelőbb.

    • Ha ez az alkalmazás a nyilvános felhőben található, és támogatja az egyszeri bejelentkezést, akkor konfigurálja az egyszeri bejelentkezést közvetlenül a Microsoft Entra-azonosítóból az alkalmazásba.

      Az alkalmazás támogatja Következő lépések
      OpenID Connect OpenID-Csatlakozás OAuth-alkalmazás hozzáadása
      SAML 2.0 Regisztrálja az alkalmazást, és konfigurálja az alkalmazást a Microsoft Entra ID SAML-végpontjaival és tanúsítványával
      SAML 1.1 SAML-alapú alkalmazás hozzáadása

    • Ellenkező esetben, ha ez egy helyszíni vagy IaaS által üzemeltetett alkalmazás, amely támogatja az egyszeri bejelentkezést, akkor konfigurálja az egyszeri bejelentkezést a Microsoft Entra ID-ból az alkalmazásproxyn keresztül.

      Az alkalmazás támogatja Következő lépések
      SAML 2.0 Az alkalmazásproxy üzembe helyezése és alkalmazás konfigurálása SAML SSO-hoz
      Integrált Windows-hitelesítés (IWA) Telepítse az alkalmazásproxyt, konfiguráljon egy alkalmazást az integrált Windows-hitelesítési egyszeri bejelentkezéshez, és állítson be tűzfalszabályokat az alkalmazás végpontjaihoz való hozzáférés megakadályozása érdekében, kivéve a proxyn keresztül.
      fejlécalapú hitelesítés Az alkalmazásproxy üzembe helyezése és az alkalmazás konfigurálása fejlécalapú egyszeri bejelentkezéshez

  4. Ha az alkalmazás több szerepkörrel rendelkezik, minden felhasználó csak egy szerepkörrel rendelkezik az alkalmazásban, és az alkalmazás a Microsoft Entra-azonosítóra támaszkodva küldi el a felhasználó egyetlen alkalmazásspecifikus szerepkörét az alkalmazásba bejelentkező felhasználó jogcímeként, majd konfigurálja ezeket az alkalmazásBeli Microsoft Entra-azonosítóban, majd rendelje hozzá az egyes felhasználókat az alkalmazásszerepkörhöz. Az alkalmazásszerepkörök felhasználói felületével felveheti ezeket a szerepköröket az alkalmazásjegyzékbe. Ha a Microsoft Hitelesítési kódtárakat használja, van egy kódminta az alkalmazáson belüli alkalmazásszerepkörök hozzáférés-vezérléshez való használatához. Ha egy felhasználó egyszerre több szerepkörrel is rendelkezhet, akkor előfordulhat, hogy a jogkivonatok jogcímeiben vagy a Microsoft Graphon keresztül elérhető biztonsági csoportok ellenőrzéséhez szeretné implementálni az alkalmazást ahelyett, hogy az alkalmazásjegyzékből származó alkalmazásszerepköröket használná a hozzáférés-vezérléshez.

  5. Ha az alkalmazás támogatja a kiépítést, konfigurálja a hozzárendelt felhasználók és csoportok kiépítését a Microsoft Entra-azonosítóból az adott alkalmazásba. Ha ez egy privát vagy egyéni alkalmazás, az alkalmazás helye és képességei alapján kiválaszthatja a legmegfelelőbb integrációt is.

  6. Ha az alkalmazás a Microsoft Graph használatával kérdez le csoportokat a Microsoft Entra-azonosítóból, akkor hagyja jóvá az alkalmazásokat, hogy megfelelő engedélyekkel rendelkezzenek a bérlőtől való olvasáshoz.

  7. Állítsa be, hogy az alkalmazáshoz való hozzáférés csak az alkalmazáshoz rendelt felhasználók számára engedélyezett. Ez a beállítás megakadályozza, hogy a felhasználók véletlenül megtekinthessék az alkalmazást a MyAppsben, és megpróbáljanak bejelentkezni az alkalmazásba a feltételes hozzáférési szabályzatok engedélyezése előtt.

Kezdeti hozzáférési felülvizsgálat végrehajtása

Ha ez egy új alkalmazás, amelyet a szervezet még nem használt, és ezért senki sem rendelkezik már meglévő hozzáféréssel, vagy ha már végzett hozzáférési felülvizsgálatokat ehhez az alkalmazáshoz, ugorjon a következő szakaszra.

Ha azonban az alkalmazás már létezett a környezetében, akkor lehetséges, hogy a felhasználók a múltban manuális vagy sávon kívüli folyamatokon keresztül jutottak hozzá, és ezeket a felhasználókat most felül kell vizsgálni, hogy megerősítsék, hogy a hozzáférésük továbbra is szükséges, és a megfelelő továbblépésre is szükség van. Javasoljuk, hogy végezzen hozzáférési felülvizsgálatot az alkalmazáshoz már hozzáféréssel rendelkező felhasználókról, mielőtt engedélyezi a szabályzatok használatát, hogy több felhasználó igényelhesse a hozzáférést. Ez a felülvizsgálat az összes olyan felhasználó alapkonfigurációját állítja be, amelyet legalább egyszer áttekintettek, így biztosítva, hogy ezek a felhasználók továbbra is hozzáférhessenek.

  1. Kövesse a felhasználók alkalmazáshoz való hozzáférésének hozzáférési felülvizsgálatára való felkészülés lépéseit.
  2. Ha az alkalmazás nem Microsoft Entra-azonosítót vagy AD-t használt, de támogatja a kiépítési protokollt, vagy rendelkezik mögöttes SQL- vagy LDAP-adatbázissal, hozzon létre minden meglévő felhasználót, és hozzon létre hozzájuk alkalmazásszerepkör-hozzárendeléseket .
  3. Ha az alkalmazás nem Microsoft Entra-azonosítót vagy AD-t használt, és nem támogatja a kiépítési protokollt, szerezze be a felhasználók listáját az alkalmazásból, és hozzon létre alkalmazásszerepkör-hozzárendeléseket mindegyikhez.
  4. Ha az alkalmazás AD biztonsági csoportokat használt, akkor át kell tekintenie a biztonsági csoportok tagságát.
  5. Ha az alkalmazásnak saját könyvtára vagy adatbázisa volt, és nem volt integrálva a kiépítéshez, akkor a felülvizsgálat befejezése után előfordulhat, hogy manuálisan kell frissítenie az alkalmazás belső adatbázisát vagy könyvtárát, hogy eltávolítsa azokat a felhasználókat, akiket megtagadtak.
  6. Ha az alkalmazás AD-biztonsági csoportokat használt, és ezeket a csoportokat az AD-ben hozták létre, akkor a felülvizsgálat befejezése után manuálisan frissítenie kell az AD-csoportokat a megtagadott felhasználók tagságának eltávolításához. Ezt követően, ha automatikusan el szeretné távolítani a hozzáférési jogosultságokat, frissítheti az alkalmazást a Microsoft Entra-azonosítóban létrehozott és a Microsoft Entra-azonosítóba visszaírt AD-csoport használatára, vagy áthelyezheti a tagságot az AD-csoportból a Microsoft Entra-csoportba, és az írott hátcsoportot az AD-csoport egyetlen tagjaként ágyazhatja be.
  7. Miután a felülvizsgálat befejeződött, és az alkalmazás hozzáférése frissült, vagy ha nincs hozzáférése a felhasználóknak, folytassa a következő lépésekkel a feltételes hozzáférési és jogosultságkezelési szabályzatok alkalmazáshoz való üzembe helyezéséhez.

Most, hogy rendelkezik egy alapkonfigurációval, amely biztosítja a meglévő hozzáférés felülvizsgálatát, üzembe helyezheti a szervezet szabályzatait a folyamatos hozzáférésre és az új hozzáférési kérelmekre vonatkozóan.

Következő lépések