Mengamankan akses hibrid dengan integrasi Microsoft Entra

MICROSOFT Entra ID mendukung protokol autentikasi modern yang membantu menjaga aplikasi tetap aman. Namun, banyak aplikasi bisnis bekerja di jaringan perusahaan yang dilindungi, dan beberapa menggunakan metode autentikasi lama. Saat perusahaan membangun strategi Zero Trust dan mendukung lingkungan hibrid dan cloud, ada solusi yang menghubungkan aplikasi ke ID Microsoft Entra dan menyediakan autentikasi untuk aplikasi warisan.

Pelajari lebih lanjut: Keamanan Zero Trust

Microsoft Entra ID secara asli mendukung protokol modern:

• Security Assertion Markup Language (SAML)
• Federasi Layanan Web (WS-Fed)
• OpenID Connect (OIDC)

Proksi aplikasi Microsoft Entra, atau proksi aplikasi Microsoft Entra mendukung Kerberos dan autentikasi berbasis header. Protokol lain, seperti Secure Shell (SSH), (Microsoft Windows NT LAN Manager) NTLM, Lightweight Directory Access Protocol (LDAP), dan cookie, tidak didukung. Namun, vendor perangkat lunak independen (ISV) dapat membuat solusi untuk menghubungkan aplikasi ini dengan ID Microsoft Entra.

ISV dapat membantu pelanggan menemukan dan memigrasikan aplikasi perangkat lunak sebagai layanan (SaaS) ke dalam ID Microsoft Entra. Mereka dapat menghubungkan aplikasi yang menggunakan metode autentikasi warisan dengan ID Microsoft Entra. Pelanggan dapat mengonsolidasikan ke ID Microsoft Entra untuk menyederhanakan manajemen aplikasi mereka dan menerapkan prinsip Zero Trust.

Ikhtisar solusi

Solusi yang Anda bangun dapat mencakup bagian-bagian berikut:

• Penemuan aplikasi - Seringkali, pelanggan tidak menyadari setiap aplikasi yang digunakan
  • Penemuan aplikasi menemukan aplikasi, memfasilitasi aplikasi yang terintegrasi dengan ID Microsoft Entra
• Migrasi aplikasi - Membuat alur kerja untuk mengintegrasikan aplikasi dengan ID Microsoft Entra tanpa menggunakan pusat admin Microsoft Entra
  • Mengintegrasikan aplikasi yang digunakan pelanggan saat ini
• Dukungan autentikasi warisan - Koneksi aplikasi dengan metode autentikasi lama dan akses menyeluruh (SSO)
• Akses Bersyar - Memungkinkan pelanggan menerapkan kebijakan Microsoft Entra ke aplikasi dalam solusi Anda tanpa menggunakan pusat admin Microsoft Entra

Pelajari selengkapnya: Apa itu Akses Bersyar?

Lihat bagian berikut untuk pertimbangan teknis dan rekomendasi.

Menerbitkan aplikasi ke Marketplace Azure

Azure Marketplace adalah sumber aplikasi tepercaya untuk admin TI. Aplikasi kompatibel dengan MICROSOFT Entra ID dan mendukung SSO, mengotomatiskan provisi pengguna, dan berintegrasi ke penyewa eksternal dengan pendaftaran aplikasi otomatis.

Anda dapat mengintegrasikan aplikasi anda sebelumnya dengan Microsoft Entra ID untuk mendukung SSO dan provisi otomatis. Lihat, Mengirimkan permintaan untuk menerbitkan aplikasi Anda di galeri aplikasi Microsoft Entra.

Sebaiknya Anda menjadi penerbit terverifikasi, sehingga pelanggan tahu bahwa Anda adalah penerbit tepercaya. Lihat, Verifikasi penerbit.

Mengaktifkan akses menyeluruh untuk admin TI

Ada beberapa cara untuk mengaktifkan SSO bagi administrator TI ke solusi Anda. Lihat, Merencanakan penyebaran akses menyeluruh, opsi SSO.

Microsoft Graph menggunakan OIDC/OAuth. Pelanggan menggunakan OIDC untuk masuk ke solusi Anda. Gunakan masalah ID Microsoft Entra JSON Web Token (JWT) untuk berinteraksi dengan Microsoft Graph. Lihat, Koneksi OpenID di platform identitas Microsoft.

Jika solusi Anda menggunakan SAML untuk SSO administrator TI, token SAML tidak akan memungkinkan solusi Anda berinteraksi dengan Microsoft Graph. Anda dapat menggunakan SAML untuk SSO administrator TI, tetapi solusi Anda perlu mendukung integrasi OIDC dengan MICROSOFT Entra ID, sehingga bisa mendapatkan JWT dari ID Microsoft Entra untuk berinteraksi dengan Microsoft Graph. Lihat, Bagaimana platform identitas Microsoft menggunakan protokol SAML.

Anda dapat menggunakan salah satu pendekatan SAML berikut:

• Pendekatan SAML yang direkomendasikan: Buat pendaftaran baru di Marketplace Azure, yang merupakan aplikasi OIDC. Pelanggan menambahkan aplikasi SAML dan OIDC ke penyewa mereka. Jika aplikasi Anda tidak berada di galeri Microsoft Entra, Anda dapat memulai dengan aplikasi multi-penyewa non-galeri.
  • Mengonfigurasi aplikasi OpenID Koneksi OAuth dari galeri aplikasi Microsoft Entra
  • Membuat aplikasi Anda multi-penyewa
• Pendekatan SAML alternatif: Pelanggan dapat membuat pendaftaran aplikasi OIDC di penyewa Microsoft Entra mereka dan mengatur URI, titik akhir, dan izin

Gunakan jenis pemberian kredensial klien, yang memerlukan solusi untuk memungkinkan pelanggan memasukkan ID klien dan rahasia. Solusinya juga mengharuskan Anda menyimpan informasi ini. Dapatkan JWT dari ID Microsoft Entra, lalu gunakan untuk berinteraksi dengan Microsoft Graph. Lihat, Dapatkan token. Sebaiknya Anda merepare dokumentasi pelanggan tentang cara membuat pendaftaran aplikasi di penyewa Microsoft Entra mereka. Sertakan titik akhir, URI, dan izin.

Catatan

Sebelum aplikasi digunakan untuk administrator TI atau SSO pengguna, administrator IT pelanggan harus menyetujui aplikasi di penyewa mereka. Lihat, Memberikan persetujuan admin di seluruh penyewa untuk aplikasi.

Alur autentikasi

Alur autentikasi solusi mendukung skenario berikut:

• Administrator TI pelanggan masuk dengan SSO untuk mengelola solusi Anda
• Administrator TI pelanggan menggunakan solusi Anda untuk mengintegrasikan aplikasi dengan ID Microsoft Entra dengan Microsoft Graph
• Pengguna masuk ke aplikasi warisan yang diamankan oleh solusi Anda dan ID Microsoft Entra

Administrator TI pelanggan Anda melakukan akses menyeluruh ke solusi Anda

Solusi Anda dapat menggunakan SAML atau OIDC untuk SSO, saat administrator TI pelanggan masuk. Sebaiknya administrator TI masuk ke solusi Anda dengan kredensial Microsoft Entra mereka, yang memungkinkan penggunaan kontrol keamanan saat ini. Integrasikan Anda dengan MICROSOFT Entra ID untuk SSO melalui SAML atau OIDC.

Diagram berikut mengilustrasikan alur autentikasi pengguna:

1. Administrator TI masuk ke solusi Anda dengan kredensial Microsoft Entra mereka
2. Solusi ini mengalihkan administrator TI ke MICROSOFT Entra ID dengan SAML atau permintaan masuk OIDC
3. Microsoft Entra mengautentikasi administrator TI dan mengalihkannya ke solusi Anda, dengan token SAML atau JWT yang akan diotorisasi dalam solusi Anda

Administrator TI mengintegrasikan aplikasi dengan ID Microsoft Entra

Administrator TI mengintegrasikan aplikasi dengan ID Microsoft Entra dengan menggunakan solusi Anda, yang menggunakan Microsoft Graph untuk membuat pendaftaran aplikasi dan kebijakan Akses Bersyar Microsoft Entra.

Diagram berikut mengilustrasikan alur autentikasi pengguna:

1. Administrator TI masuk ke solusi Anda dengan kredensial Microsoft Entra mereka
2. Solusi ini mengalihkan administrator TI ke MICROSOFT Entra ID dengan SAML atau permintaan masuk OIDC
3. Microsoft Entra mengautentikasi administrator TI dan mengalihkannya ke solusi Anda dengan token SAML atau JWT untuk otorisasi
4. Saat administrator TI mengintegrasikan aplikasi dengan MICROSOFT Entra ID, solusi memanggil Microsoft Graph dengan JWT mereka untuk mendaftarkan aplikasi, atau menerapkan kebijakan Akses Bersyarkat Microsoft Entra

Pengguna masuk ke aplikasi

Saat pengguna masuk ke aplikasi, mereka menggunakan OIDC atau SAML. Jika aplikasi perlu berinteraksi dengan Microsoft Graph atau MICROSOFT Entra protected API, kami sarankan Anda mengonfigurasinya untuk menggunakan OICD. Konfigurasi ini memastikan JWT diterapkan untuk berinteraksi dengan Microsoft Graph. Jika tidak perlu aplikasi berinteraksi dengan Microsoft Graph, atau API yang dilindungi Microsoft Entra, gunakan SAML.

Diagram berikut menunjukkan alur autentikasi pengguna:

1. Pengguna masuk ke aplikasi
2. Solusi mengalihkan pengguna ke ID Microsoft Entra dengan SAML atau permintaan masuk OIDC
3. Microsoft Entra mengautentikasi pengguna dan mengalihkannya ke solusi Anda dengan token SAML atau JWT untuk otorisasi
4. Solusi ini memungkinkan permintaan dengan menggunakan protokol aplikasi

API Microsoft Graph

Sebaiknya gunakan API berikut. Gunakan ID Microsoft Entra untuk mengonfigurasi izin yang didelegasikan atau izin aplikasi. Untuk solusi ini, gunakan izin yang didelegasikan.

• API templat aplikasi - Dalam Marketplace Azure, gunakan API ini untuk menemukan templat aplikasi yang cocok
  • Izin diperlukan: Application.Read.All
• API pendaftaran aplikasi - Membuat pendaftaran aplikasi OIDC atau SAML bagi pengguna untuk masuk ke aplikasi yang diamankan dengan solusi Anda
  • Izin diperlukan: Application.Read.All, Application.ReadWrite.All
• API perwakilan layanan - Setelah Anda mendaftarkan aplikasi, perbarui objek perwakilan layanan untuk mengatur properti SSO
  • Izin diperlukan: Application.ReadWrite.All, Directory.AccessAsUser.All, AppRoleAssignment.ReadWrite.All (untuk penugasan)
• API Akses Bersyar - Menerapkan kebijakan Akses Bersyar Microsoft Entra ke aplikasi pengguna
  • Izin diperlukan: Policy.Read.All, Policy.ReadWrite.ConditionalAccess, dan Application.Read.All

Pelajari selengkapnya Menggunakan Microsoft Graph API

Skenario Microsoft Graph API

Gunakan informasi berikut untuk menerapkan pendaftaran aplikasi, menyambungkan aplikasi warisan, dan mengaktifkan kebijakan Akses Bersyar. Pelajari cara mengotomatiskan persetujuan admin, mendapatkan sertifikat penandatanganan token, dan menetapkan pengguna dan grup.

Menggunakan Microsoft Graph API untuk mendaftarkan aplikasi dengan ID Microsoft Entra

Menambahkan aplikasi di Marketplace Azure

Beberapa aplikasi yang digunakan pelanggan Anda ada di Marketplace Azure. Anda dapat membuat solusi yang menambahkan aplikasi ke penyewa eksternal. Gunakan contoh berikut dengan Microsoft Graph API untuk mencari Marketplace Azure templat.

Catatan

Di API Templat Aplikasi, nama tampilan peka huruf besar/kecil.

Authorization: Required with a valid Bearer token
Method: Get

https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayname eq "Salesforce.com"

Jika Anda menemukan kecocokan dari panggilan API, ambil ID. Lakukan panggilan API berikut dan berikan nama tampilan untuk aplikasi di isi JSON:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/cd3ed3de-93ee-400b-8b19-b61ef44a0f29/instantiate
{
    "displayname": "Salesforce.com"
}

Setelah melakukan panggilan API, Anda membuat objek perwakilan layanan. Ambil ID aplikasi dan ID perwakilan layanan untuk digunakan dalam panggilan API berikutnya.

Patch objek perwakilan layanan dengan protokol SAML dan URL masuk:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
    "preferredSingleSignOnMode":"saml",
    "loginURL": "https://www.salesforce.com"
}

Patch objek aplikasi dengan URI pengalihan dan URI pengidentifikasi:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
    "web": {
    "redirectUris":["https://www.salesforce.com"]},
    "identifierUris":["https://www.salesforce.com"]
}

Menambahkan aplikasi yang tidak ada di Marketplace Azure

Jika tidak ada kecocokan dalam Marketplace Azure, atau untuk mengintegrasikan aplikasi kustom, daftarkan aplikasi kustom di ID Microsoft Entra dengan ID templat: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Kemudian, lakukan panggilan API berikut dan berikan nama tampilan aplikasi di isi JSON:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
    "displayname": "Custom SAML App"
}

Setelah melakukan panggilan API, Anda membuat objek perwakilan layanan. Ambil ID aplikasi dan ID perwakilan layanan untuk digunakan dalam panggilan API berikutnya.

Patch objek perwakilan layanan dengan protokol SAML dan URL masuk:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
    "preferredSingleSignOnMode":"saml",
    "loginURL": "https://www.samlapp.com"
}

Patch objek aplikasi dengan URI pengalihan dan URI pengidentifikasi:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
    "web": {
    "redirectUris":["https://www.samlapp.com"]},
    "identifierUris":["https://www.samlapp.com"]
}

Menggunakan akses menyeluruh Microsoft Entra

Setelah aplikasi SaaS terdaftar di ID Microsoft Entra, aplikasi harus mulai menggunakan ID Microsoft Entra sebagai Penyedia Identitas (IdP):

• Aplikasi mendukung SSO satu klik - MICROSOFT Entra ID memungkinkan aplikasi. Di pusat admin Microsoft Entra, pelanggan melakukan SSO satu klik dengan kredensial administratif untuk aplikasi SaaS yang didukung.
  • Pelajari lebih lanjut: Konfigurasi aplikasi sekali klik dari akses menyeluruh
• Aplikasi tidak mendukung SSO satu klik - Pelanggan memungkinkan aplikasi untuk menggunakan ID Microsoft Entra.
  • Tutorial untuk mengintegrasikan aplikasi SaaS dengan Microsoft Entra ID

Koneksi aplikasi ke ID Microsoft Entra dengan autentikasi warisan

Solusi Anda dapat memungkinkan pelanggan untuk menggunakan fitur SSO dan Microsoft Entra, bahkan aplikasi yang tidak didukung. Untuk mengizinkan akses dengan protokol warisan, aplikasi Anda memanggil ID Microsoft Entra untuk mengautentikasi pengguna dan menerapkan kebijakan Akses Bersyar Microsoft Entra. Aktifkan integrasi ini dari konsol Anda. Buat SAML atau pendaftaran aplikasi OIDC antara solusi Anda dan ID Microsoft Entra.

Membuat pendaftaran aplikasi baru

Gunakan ID templat aplikasi kustom berikut: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Kemudian, lakukan panggilan API berikut dan berikan nama tampilan di isi JSON:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
    "displayname": "Custom SAML App"
}

Setelah melakukan panggilan API, Anda membuat objek perwakilan layanan. Ambil ID aplikasi dan ID perwakilan layanan untuk digunakan dalam panggilan API berikutnya.

Patch objek perwakilan layanan dengan protokol SAML dan URL masuk:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
    "preferredSingleSignOnMode":"saml",
    "loginURL": "https://www.samlapp.com"
}

Patch objek aplikasi dengan URI pengalihan dan URI pengidentifikasi:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
    "web": {
    "redirectUris":["https://www.samlapp.com"]},
    "identifierUris":["https://www.samlapp.com"]
}

Membuat pendaftaran aplikasi OIDC

Gunakan ID templat berikut untuk aplikasi kustom: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Lakukan panggilan API berikut dan berikan nama tampilan di isi JSON:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
    "displayname": "Custom OIDC App"
}

Dari panggilan API, ambil ID aplikasi dan ID perwakilan layanan untuk digunakan dalam panggilan API berikutnya.

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/{Application Object ID}
{
    "web": {
    "redirectUris":["https://www.samlapp.com"]},
    "identifierUris":["[https://www.samlapp.com"],
    "requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
        {
            "id": "7427e0e9-2fba-42fe-b0c0-848c9e6a8182",
            "type": "Scope"
        },
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        },
        {
            "id": "37f7f235-527c-4136-accd-4a02d197296e",
            "type": "Scope"
        }]
    }]
}

Catatan

Izin API dalam simpul resourceAccess memberi aplikasi izin openid, User.Read, dan offline_access, yang memungkinkan masuk. Lihat, Gambaran Umum izin Microsoft Graph.

Menerapkan kebijakan Akses Bersyarat

Pelanggan dan mitra dapat menggunakan Microsoft Graph API untuk membuat atau menerapkan kebijakan Akses Bersyar per aplikasi. Untuk mitra, pelanggan dapat menerapkan kebijakan ini dari solusi Anda tanpa menggunakan pusat admin Microsoft Entra. Ada dua opsi untuk menerapkan kebijakan Akses Bersyar microsoft Entra:

• Menetapkan aplikasi ke kebijakan Akses Bersyar
• Buat kebijakan Akses Bersyar baru dan tetapkan aplikasi ke dalamnya

Menggunakan kebijakan Akses Bersyar

Untuk daftar kebijakan Akses Bersyariah, jalankan kueri berikut. Dapatkan ID objek kebijakan untuk dimodifikasi.

Authorization: Required with a valid Bearer token
Method:GET

https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies

Untuk menambal kebijakan, sertakan ID objek aplikasi yang akan berada dalam cakupan includeApplications, dalam isi JSON:

Authorization: Required with a valid Bearer token
Method: PATCH

https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{policyid}
{
    "displayName":"Existing Conditional Access Policy",
    "state":"enabled",
    "conditions": 
    {
        "applications": 
        {
            "includeApplications":[
                "00000003-0000-0ff1-ce00-000000000000", 
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ] 
        }
    },
    "grantControls": 
    {
        "operator":"OR",
        "builtInControls":[
            "mfa"
        ]
    }
}

Membuat kebijakan Akses Bersyarat baru

Tambahkan ID objek aplikasi untuk berada dalam cakupan includeApplications, dalam isi JSON:

Authorization: Required with a valid Bearer token
Method: POST

https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/
{
    "displayName":"New Conditional Access Policy",
    "state":"enabled",
    "conditions": 
    {
        "applications": {
            "includeApplications":[
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ]
        }
    },
    "grantControls": {
        "operator":"OR",
        "builtInControls":[
            "mfa"
        ]
    }
}

#Policy Template for Requiring Compliant Device

{
    "displayName":"Enforce Compliant Device",
    "state":"enabled",
    "conditions": {
        "applications": {
            "includeApplications":[
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ]
        }
    },
    "grantControls": {
        "operator":"OR",
        "builtInControls":[
            "compliantDevice",
            "domainJoinedDevice"
        ]
    }
}

#Policy Template for Block

{
    "displayName":"Block",
    "state":"enabled",
    "conditions": {
        "applications": {
            "includeApplications":[
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ] 
        }
    },
    "grantControls": {
        "operator":"OR",
        "builtInControls":[
            "block"
        ]
    }
}

Mengotomatiskan persetujuan admin

Jika pelanggan menambahkan aplikasi dari solusi Anda ke ID Microsoft Entra, Anda dapat mengotomatiskan persetujuan administrator dengan Microsoft Graph. Anda memerlukan ID objek utama layanan aplikasi yang Anda buat dalam panggilan API, dan ID objek utama layanan Microsoft Graph dari penyewa eksternal.

Dapatkan ID objek utama layanan Microsoft Graph dengan melakukan panggilan API berikut:

Authorization: Required with a valid Bearer token
Method:GET

https://graph.microsoft.com/v1.0/serviceprincipals/?$filter=appid eq '00000003-0000-0000-c000-000000000000'&$select=id,appDisplayName

Untuk mengotomatiskan persetujuan admin, lakukan panggilan API berikut:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/oauth2PermissionGrants
{
    "clientId":"{Service Principal Object ID of Application}",
    "consentType":"AllPrincipals",
    "principalId":null,
    "resourceId":"{Service Principal Object ID Of Microsoft Graph}",
    "scope":"openid user.read offline_access}"
}

Mendapatkan sertifikat penandatanganan token

Untuk mendapatkan bagian publik dari sertifikat penandatanganan token, gunakan GET dari titik akhir metadata Microsoft Entra untuk aplikasi:

Method:GET

https://login.microsoftonline.com/{Tenant_ID}/federationmetadata/2007-06/federationmetadata.xml?appid={Application_ID}

Tetapkan pengguna dan grup

Setelah memublikasikan aplikasi ke ID Microsoft Entra, Anda dapat menetapkan aplikasi ke pengguna dan grup untuk memastikan aplikasi tersebut muncul di portal Aplikasi Saya. Penugasan ini ada pada objek perwakilan layanan yang dihasilkan saat Anda membuat aplikasi. Lihat, Aplikasi Saya gambaran umum portal.

Dapatkan AppRole instans yang mungkin telah dikaitkan dengan aplikasi tersebut. Adalah umum bagi aplikasi SaaS untuk memiliki berbagai AppRole contoh yang terkait dengannya. Biasanya, untuk aplikasi kustom, ada satu instans default AppRole . Dapatkan ID instans yang AppRole ingin Anda tetapkan:

Authorization: Required with a valid Bearer token
Method:GET

https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27

Dari ID Microsoft Entra, dapatkan ID objek pengguna atau grup yang ingin Anda tetapkan ke aplikasi. Ambil ID peran aplikasi dari panggilan API sebelumnya dan kirimkan dengan isi patch pada perwakilan layanan:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
    "principalId":"{Principal Object ID of User -or- Group}",
    "resourceId":"{Service Principal Object ID}",
    "appRoleId":"{App Role ID}"
}

Kemitraan

Untuk membantu melindungi aplikasi warisan, saat menggunakan pengontrol jaringan dan pengiriman, Microsoft memiliki kemitraan dengan penyedia pengontrol pengiriman aplikasi (ADC) berikut.

• Akamai Enterprise Application Access
  • Tutorial: Integrasi SSO Microsoft Entra dengan Akamai
• Citrix ADC
  • Tutorial: Integrasi Microsoft Entra SSO dengan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID (autentikasi berbasis Kerberos)
• Manajer Kebijakan Akses F5 BIG-IP
  • Tutorial: Integrasi Microsoft Entra SSO dengan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID (autentikasi berbasis Kerberos)
• Kemp LoadMaster
  • Tutorial: Integrasi SSO Microsoft Entra dengan integrasi Kemp LoadMaster Microsoft Entra
• Pulse Secure Virtual Traffic Manager
  • Tutorial: Integrasi SSO Microsoft Entra dengan Pulse Secure Virtual Traffic Manager

Penyedia solusi VPN berikut terhubung dengan MICROSOFT Entra ID untuk mengaktifkan metode autentikasi dan otorisasi modern seperti SSO dan autentikasi multifaktor (MFA).

• Cisco AnyConnect
  • Tutorial: Integrasi SSO Microsoft Entra dengan Cisco Any Koneksi
• Fortinet FortiGate
  • Tutorial: Integrasi SSO Microsoft Entra dengan VPN SSL FortiGate
• Manajer Kebijakan Akses F5 BIG-IP
  • Tutorial: Mengonfigurasi F5 BIG-IP SSL-VPN untuk Microsoft Entra SSO
• Palo Alto Networks GlobalProtect
  • Tutorial: Integrasi SSO Microsoft Entra dengan Palo Alto Networks - Admin UI
• Pulse Connect Secure
  • Tutorial: Integrasi SSO Microsoft Entra dengan Pulse Secure PCS

Penyedia solusi perimeter yang ditentukan perangkat lunak (SDP) berikut terhubung dengan ID Microsoft Entra untuk metode autentikasi dan otorisasi seperti SSO dan MFA.

• Datawiza Access Broker
  • Tutorial: Mengonfigurasi Akses Hibrid Aman dengan ID Microsoft Entra dan Datawiza
• Perimeter 81
  • Tutorial: Integrasi SSO Microsoft Entra dengan Perimeter 81
• Platform Autentikasi Silverfort
  • Tutorial: Mengonfigurasi Akses Hibrid Aman dengan ID Microsoft Entra dan Silverfort
• Strata Maverics Identity Orchestrator
  • Mengintegrasikan Microsoft Entra SSO dengan Maverics Identity Orchestrator SAML Koneksi or
• Zscaler Private Access
  • Tutorial: Mengintegrasikan Zscaler Private Access dengan MICROSOFT Entra ID