Bagikan melalui


Mengelola akses ke aplikasi

Mengintegrasikan aplikasi ke dalam sistem identitas organisasi Anda membawa tantangan dalam manajemen akses, evaluasi penggunaan, dan pelaporan. Administrator TI atau staf help desk biasanya perlu mengawasi akses aplikasi. Penetapan akses dapat jatuh ke tim IT umum atau divisi, tetapi idealnya, pembuat keputusan bisnis harus terlibat, memberikan persetujuan sebelum IT menyelesaikan proses.

Organisasi lain berinvestasi dalam integrasi dengan sistem manajemen identitas dan akses otomatis yang ada, seperti Kontrol Akses Berbasis Peran (RBAC) atau Kontrol Akses Berbasis Atribut (ABAC). Integrasi dan pengembangan aturan cenderung khusus dan mahal. Pemantauan atau pelaporan pada pendekatan manajemen memiliki investasi yang terpisah, mahal, dan kompleks.

Bagaimana Microsoft Entra ID membantu?

MICROSOFT Entra ID mendukung manajemen akses ekstensif untuk aplikasi yang dikonfigurasi, memungkinkan organisasi untuk dengan mudah mencapai kebijakan akses yang tepat mulai dari penugasan otomatis berbasis atribut (skenario ABAC atau RBAC) melalui delegasi dan termasuk manajemen administrator. Dengan MICROSOFT Entra ID, Anda dapat dengan mudah mencapai kebijakan kompleks, menggabungkan beberapa model manajemen untuk satu aplikasi dan bahkan dapat menggunakan kembali aturan manajemen di seluruh aplikasi dengan audiens yang sama.

Dengan ID Microsoft Entra, pelaporan penggunaan dan penugasan sepenuhnya terintegrasi, memungkinkan administrator untuk dengan mudah melaporkan status penugasan, kesalahan penugasan, dan bahkan penggunaan.

Menetapkan pengguna dan grup ke aplikasi

Penetapan aplikasi Microsoft Entra berfokus pada dua mode penugasan utama:

  • Penugasan individual Admin TI dengan izin Administrator Aplikasi Cloud direktori dapat memilih akun pengguna individual dan memberi mereka akses ke aplikasi.

  • Penetapan berbasis grup (memerlukan Microsoft Entra ID P1 atau P2) Admin TI dengan izin Aplikasi Cloud direktori dapat menetapkan grup ke aplikasi. Akses pengguna tertentu ditentukan oleh apakah mereka adalah anggota grup pada saat mereka mencoba mengakses aplikasi. Dengan kata lain, administrator dapat secara efektif membuat aturan penugasan yang menyatakan "anggota grup yang ditetapkan saat ini memiliki akses ke aplikasi." Dengan opsi penugasan ini, administrator dapat memperoleh manfaat dari salah satu opsi manajemen grup Microsoft Entra, termasuk grup keanggotaan dinamis berbasis atribut, grup sistem eksternal (misalnya, Active Directory lokal atau Workday), atau grup yang dikelola administrator atau dikelola layanan mandiri. Satu grup dapat dengan mudah ditetapkan ke beberapa aplikasi, memastikan bahwa aplikasi dengan afinitas penugasan dapat berbagi aturan penugasan, mengurangi kompleksitas manajemen secara keseluruhan.

    Nota

    Keanggotaan grup berlapis tidak didukung untuk penugasan berbasis grup ke aplikasi saat ini.

Dengan dua mode penugasan ini, administrator dapat mencapai pendekatan manajemen penugasan yang diinginkan.

Mengharuskan penetapan pengguna untuk aplikasi

Dengan jenis aplikasi tertentu, Anda memiliki opsi untuk mengharuskan pengguna ditetapkan ke aplikasi. Dengan demikian, Anda mencegah semua orang masuk kecuali pengguna yang Anda tetapkan secara eksplisit ke aplikasi. Jenis aplikasi berikut mendukung opsi ini:

  • Aplikasi yang dikonfigurasi untuk akses menyeluruh (SSO) federasi dengan autentikasi berbasis SAML
  • Proksi Aplikasi aplikasi yang menggunakan Pra-Autentikasi Microsoft Entra
  • Aplikasi, yang dibangun di platform aplikasi Microsoft Entra yang menggunakan OAuth 2.0 / OpenID Connect Authentication setelah pengguna atau admin menyetujui aplikasi tersebut. Aplikasi perusahaan tertentu menawarkan kontrol lebih besar atas siapa yang diizinkan untuk masuk.

Saat penetapan pengguna diperlukan, hanya pengguna yang Anda tetapkan ke aplikasi (baik melalui penetapan pengguna langsung atau berdasarkan keanggotaan grup) yang dapat masuk. Mereka dapat mengakses aplikasi di portal Aplikasi Saya atau dengan menggunakan tautan langsung.

Saat penetapan pengguna tidak diperlukan, pengguna yang tidak ditetapkan tidak melihat aplikasi di Aplikasi Saya mereka, tetapi mereka masih dapat masuk ke aplikasi itu sendiri (juga dikenal sebagai masuk yang dimulai SP) atau mereka dapat menggunakan URL Akses Pengguna di halaman Properti aplikasi (juga dikenal sebagai masuk yang dimulai IDP). Untuk informasi selengkapnya tentang mengharuskan konfigurasi penetapan pengguna, lihat Mengonfigurasi aplikasi

Pengaturan ini tidak memengaruhi apakah aplikasi muncul di Aplikasi Saya atau tidak. Aplikasi muncul di portal Aplikasi Saya pengguna setelah Anda menetapkan pengguna atau grup ke aplikasi.

Nota

Saat aplikasi memerlukan penugasan, persetujuan pengguna untuk aplikasi tersebut tidak diizinkan. Ini berlaku bahkan jika persetujuan pengguna untuk aplikasi tersebut akan diizinkan. Pastikan untuk memberikan persetujuan admin di seluruh penyewa ke aplikasi yang memerlukan penugasan.

Untuk beberapa aplikasi, opsi untuk mewajibkan penetapan pengguna tidak tersedia di properti aplikasi. Dalam kasus ini, Anda dapat menggunakan PowerShell untuk mengatur properti appRoleAssignmentRequired pada perwakilan layanan.

Menentukan pengalaman pengguna untuk mengakses aplikasi

MICROSOFT Entra ID menyediakan beberapa cara yang dapat disesuaikan untuk menyebarkan aplikasi kepada pengguna akhir di organisasi Anda:

  • Microsoft Entra Aplikasi Saya
  • Peluncur aplikasi Microsoft 365
  • Masuk langsung ke aplikasi federasi (service-pr)
  • Tautan mendalam ke aplikasi federasi, berbasis kata sandi, atau yang sudah ada

Anda dapat menentukan apakah pengguna yang ditetapkan ke aplikasi perusahaan dapat melihatnya di peluncur aplikasi Aplikasi Saya dan Microsoft 365.

Contoh: Penugasan aplikasi kompleks dengan ID Microsoft Entra

Pertimbangkan aplikasi seperti Salesforce. Di banyak organisasi, Salesforce terutama digunakan oleh tim pemasaran dan penjualan. Seringkali, anggota tim pemasaran memiliki akses yang sangat istimewa ke Salesforce, sementara anggota tim penjualan mendapatkan akses terbatas. Dalam banyak kasus, populasi luas pekerja informasi mendapatkan akses terbatas ke aplikasi. Pengecualian untuk aturan ini mempersulit masalah. Seringkali hak prerogatif tim kepemimpinan pemasaran atau penjualan untuk memberikan akses pengguna atau mengubah peran mereka secara independen dari aturan generik ini.

Dengan MICROSOFT Entra ID, aplikasi seperti Salesforce dapat dikonfigurasi sebelumnya untuk akses menyeluruh (SSO) dan provisi otomatis. Setelah aplikasi dikonfigurasi, Administrator dapat mengambil tindakan satu kali untuk membuat dan menetapkan grup yang sesuai. Dalam contoh ini, administrator dapat menjalankan tugas berikut:

  • Grup dinamis dapat didefinisikan untuk secara otomatis mewakili semua anggota tim pemasaran dan penjualan menggunakan atribut seperti departemen atau peran:

    • Semua anggota grup pemasaran akan ditetapkan ke peran "pemasaran" di Salesforce
    • Semua anggota grup tim penjualan akan ditetapkan ke peran "penjualan" di Salesforce. Penyempurnaan lebih lanjut dapat menggunakan beberapa grup yang mewakili tim penjualan regional yang ditetapkan ke peran Salesforce yang berbeda.
  • Untuk mengaktifkan mekanisme pengecualian, grup layanan mandiri dapat dibuat untuk setiap peran. Misalnya, grup "Pengecualian pemasaran Salesforce" dapat dibuat sebagai grup layanan mandiri. Grup dapat ditetapkan ke peran pemasaran Salesforce dan tim kepemimpinan pemasaran dapat dijadikan pemilik. Anggota tim kepemimpinan pemasaran dapat menambahkan atau menghapus pengguna, menetapkan kebijakan gabungan, atau bahkan menyetujui atau menolak permintaan pengguna individu untuk bergabung. Mekanisme ini didukung melalui pengalaman yang sesuai pekerja informasi yang tidak memerlukan pelatihan khusus untuk pemilik atau anggota.

Dalam hal ini, semua pengguna yang ditetapkan akan secara otomatis diprovisikan ke Salesforce. Saat ditambahkan ke grup yang berbeda, penetapan peran mereka diperbarui di Salesforce. Pengguna dapat menemukan dan mengakses Salesforce melalui Aplikasi Saya, klien web Office, atau dengan menavigasi ke halaman masuk Salesforce organisasi mereka. Administrator dapat dengan mudah melihat status penggunaan dan penugasan menggunakan pelaporan ID Microsoft Entra.

Administrator dapat menggunakan Microsoft Entra Conditional Access untuk mengatur kebijakan akses untuk peran tertentu. Kebijakan ini dapat mencakup apakah akses diizinkan di luar lingkungan perusahaan dan bahkan autentikasi multifaktor atau persyaratan perangkat untuk mencapai akses dalam berbagai kasus.

Akses ke aplikasi Microsoft

Aplikasi Microsoft (seperti Exchange, SharePoint, Yammer, dan sebagainya) ditetapkan dan dikelola sedikit berbeda dari aplikasi non-Microsoft SaaS atau aplikasi lain, yang Anda integrasikan dengan ID Microsoft Entra untuk akses menyeluruh.

Ada tiga cara utama agar pengguna bisa mendapatkan akses ke aplikasi yang diterbitkan Microsoft.

  • Untuk aplikasi di Microsoft 365 atau suite berbayar lainnya, pengguna diberikan akses melalui penetapan lisensi baik langsung ke akun pengguna mereka, atau melalui grup menggunakan kemampuan penetapan lisensi berbasis grup kami.

  • Untuk aplikasi yang diterbitkan oleh Microsoft atau organisasi non-Microsoft secara bebas bagi siapa saja untuk digunakan, pengguna dapat diberikan akses melalui persetujuan pengguna. Pengguna masuk ke aplikasi dengan akun kerja atau sekolah Microsoft Entra mereka dan memungkinkannya untuk memiliki akses ke beberapa kumpulan data terbatas di akun mereka.

  • Untuk aplikasi yang diterbitkan oleh Microsoft atau organisasi non-Microsoft secara bebas bagi siapa saja untuk digunakan, pengguna juga dapat diberikan akses melalui persetujuan administrator. Ini berarti bahwa administrator telah menentukan aplikasi dapat digunakan oleh semua orang di organisasi, sehingga mereka masuk ke aplikasi dengan peran Administrator Peran Istimewa dan memberikan akses kepada semua orang di organisasi.

Beberapa aplikasi menggabungkan metode ini. Misalnya, aplikasi Microsoft tertentu adalah bagian dari langganan Microsoft 365, tetapi masih memerlukan persetujuan.

Pengguna dapat mengakses aplikasi Microsoft 365 melalui portal Office 365 mereka. Anda juga bisa menampilkan atau menyembunyikan aplikasi Microsoft 365 di Aplikasi Saya dengan pengalih visibilitas Office 365 di pengaturan Pengguna direktori Anda.

Seperti halnya aplikasi perusahaan, Anda dapat menetapkan pengguna ke aplikasi Microsoft tertentu melalui pusat admin Microsoft Entra atau, menggunakan PowerShell.

Mencegah akses aplikasi melalui akun lokal

MICROSOFT Entra ID memungkinkan organisasi Anda menyiapkan akses menyeluruh untuk melindungi cara pengguna mengautentikasi ke aplikasi dengan akses bersyarat, autentikasi multifaktor, dll. Beberapa aplikasi secara historis memiliki penyimpanan pengguna lokal mereka sendiri dan memungkinkan pengguna untuk masuk ke aplikasi menggunakan kredensial lokal atau metode autentikasi cadangan khusus aplikasi, alih-alih menggunakan akses menyeluruh. Kemampuan aplikasi ini dapat disalahgunakan dan memungkinkan pengguna untuk mempertahankan akses ke aplikasi bahkan setelah mereka tidak lagi ditetapkan ke aplikasi di ID Microsoft Entra atau tidak dapat lagi masuk ke ID Microsoft Entra, dan dapat memungkinkan penyerang untuk mencoba membahayakan aplikasi tanpa muncul di log ID Microsoft Entra. Untuk memastikan bahwa masuk ke aplikasi ini dilindungi oleh ID Microsoft Entra:

  • Identifikasi aplikasi mana yang terhubung ke direktori Anda untuk akses menyeluruh memungkinkan pengguna akhir melewati akses menyeluruh dengan kredensial aplikasi lokal atau metode autentikasi cadangan. Anda perlu meninjau dokumentasi yang disediakan oleh penyedia aplikasi untuk memahami apakah ini memungkinkan, dan pengaturan apa yang tersedia. Kemudian, dalam aplikasi tersebut, nonaktifkan pengaturan yang memungkinkan pengguna akhir untuk melewati SSO. Uji pengalaman pengguna akhir telah diamankan dengan membuka browser di InPrivate, menyambungkan ke halaman masuk aplikasi, memberikan identitas pengguna di penyewa Anda, dan memverifikasi bahwa tidak ada opsi untuk masuk selain melalui Microsoft Entra.
  • Jika aplikasi Anda menyediakan API untuk mengelola kata sandi pengguna, hapus kata sandi lokal atau atur kata sandi unik untuk setiap pengguna menggunakan API. Ini akan mencegah pengguna akhir masuk ke aplikasi dengan kredensial lokal.
  • Jika aplikasi Anda menyediakan API untuk mengelola pengguna, konfigurasikan provisi pengguna Microsoft Entra ke aplikasi tersebut untuk menonaktifkan atau menghapus akun pengguna saat pengguna tidak lagi berada dalam cakupan aplikasi atau penyewa.

Langkah berikutnya