Mengelola akses ke aplikasi
Manajemen akses, evaluasi penggunaan, dan pelaporan yang sedang berlangsung terus menjadi tantangan setelah aplikasi diintegrasikan ke dalam sistem identitas organisasi Anda. Dalam banyak kasus, Admin TI atau staf dukungan harus mengambil peran aktif berkelanjutan dalam mengelola akses ke aplikasi Anda. Terkadang, penugasan dilakukan oleh tim IT umum atau divisi. Seringkali, keputusan penugasan dimaksudkan untuk didelegasikan kepada pembuat keputusan bisnis, membutuhkan persetujuan mereka sebelum bagian IT membuat penugasan.
Organisasi lain berinvestasi dalam integrasi dengan sistem manajemen akses dan identitas otomatis yang ada, seperti Role-Based Access Control (RBAC) atau Attribute-Based Access Control (ABAC). Baik integrasi maupun pengembangan aturan cenderung khusus dan mahal. Pemantauan atau pelaporan pada salah satu pendekatan manajemen adalah investasinya sendiri yang terpisah, mahal, dan kompleks.
Bagaimana Microsoft Entra ID membantu?
MICROSOFT Entra ID mendukung manajemen akses ekstensif untuk aplikasi yang dikonfigurasi, memungkinkan organisasi untuk dengan mudah mencapai kebijakan akses yang tepat mulai dari penugasan otomatis berbasis atribut (skenario ABAC atau RBAC) melalui delegasi dan termasuk manajemen administrator. Dengan MICROSOFT Entra ID, Anda dapat dengan mudah mencapai kebijakan kompleks, menggabungkan beberapa model manajemen untuk satu aplikasi dan bahkan dapat menggunakan kembali aturan manajemen di seluruh aplikasi dengan audiens yang sama.
Dengan ID Microsoft Entra, pelaporan penggunaan dan penugasan sepenuhnya terintegrasi, memungkinkan administrator untuk dengan mudah melaporkan status penugasan, kesalahan penugasan, dan bahkan penggunaan.
Menugaskan pengguna dan grup ke aplikasi
Penetapan aplikasi Microsoft Entra berfokus pada dua mode penugasan utama:
Penugasan individual Admin TI dengan izin Administrator Global direktori dapat memilih akun pengguna individual dan memberi mereka akses ke aplikasi.
Penetapan berbasis grup (memerlukan Microsoft Entra ID P1 atau P2) Admin TI dengan izin Administrator Global direktori dapat menetapkan grup ke aplikasi. Akses pengguna tertentu ditentukan oleh apakah mereka adalah anggota grup pada saat mereka mencoba mengakses aplikasi ataukah tidak. Dengan kata lain, administrator dapat secara efektif membuat aturan penugasan yang menyatakan "setiap anggota grup yang ditugasi saat ini memiliki akses ke aplikasi". Dengan menggunakan opsi penugasan ini, administrator dapat memperoleh manfaat dari salah satu opsi manajemen grup Microsoft Entra, termasuk grup dinamis berbasis atribut, grup sistem eksternal (misalnya, Active Directory lokal atau Workday), atau grup yang dikelola administrator atau dikelola layanan mandiri. Sebuah grup dapat dengan mudah ditugasi ke beberapa aplikasi, memastikan bahwa aplikasi dengan afinitas tugas dapat memiliki aturan penugasan yang sama, mengurangi kompleksitas manajemen secara keseluruhan.
Catatan
Keanggotaan Grup bertingkat tidak didukung untuk penetapan berbasis grup ke aplikasi saat ini.
Dengan menggunakan dua mode penugasan ini, administrator dapat mencapai pendekatan manajemen penugasan yang diinginkan.
Mengharuskan penugasan pengguna untuk aplikasi
Dengan jenis aplikasi tertentu, Anda memiliki opsi untuk mengharuskan pengguna untuk ditugasi ke aplikasi. Dengan demikian, Anda mencegah semua orang masuk, kecuali pengguna yang secara eksplisit Anda tugasi ke aplikasi. Jenis aplikasi berikut mendukung opsi ini:
- Aplikasi yang dikonfigurasi untuk akses menyeluruh (SSO) terfederasi dengan autentikasi berbasis SAML
- Proksi Aplikasi aplikasi yang menggunakan Pra-Autentikasi Microsoft Entra
- Aplikasi yang dibangun pada platform aplikasi Microsoft Entra yang menggunakan OAuth 2.0/OpenID Connect Authentication setelah pengguna atau admin menyetujui aplikasi tersebut. Aplikasi perusahaan tertentu menawarkan kontrol lebih besar atas siapa yang diizinkan untuk masuk.
Saat penugasan pengguna diperlukan, hanya pengguna yang Anda tetapkan ke aplikasi (baik melalui penugasan pengguna langsung atau berdasarkan keanggotaan grup) yang dapat masuk. Pengguna dapat mengakses aplikasi di portal Aplikasi Saya atau dengan menggunakan tautan langsung.
Saat penugasan pengguna tidak diperlukan, pengguna yang belum ditetapkan tidak melihat aplikasi di Aplikasi Saya, tetapi pengguna masih dapat masuk ke aplikasi itu sendiri (juga dikenal sebagai masuk yang dimulai oleh SP) atau pengguna dapat menggunakan URL Akses Pengguna di halaman Properti aplikasi (juga dikenal sebagai masuk yang dimulai oleh IDP). Untuk mengetahui informasi selengkapnya tentang memerlukan konfigurasi penugasan pengguna, Lihat Mengonfigurasi aplikasi
Pengaturan ini tidak memengaruhi apakah aplikasi akan muncul atau tidak di Aplikasi Saya. Aplikasi akan muncul di panel akses Aplikasi Saya milik pengguna setelah Anda menetapkan pengguna atau grup ke aplikasi.
Catatan
Saat aplikasi memerlukan penugasan, persetujuan pengguna untuk aplikasi tersebut tidak diizinkan. Hal ini berlaku bahkan jika pengguna menyetujui aplikasi tersebut jika tidak diizinkan. Pastikan untuk memberikan izin admin seluruh penyewa untuk aplikasi yang memerlukan penugasan.
Untuk beberapa aplikasi, opsi untuk mengharuskan penugasan pengguna tidak tersedia di properti aplikasi. Dalam kasus ini, Anda dapat menggunakan PowerShell untuk mengatur properti appRoleAssignmentRequired pada perwakilan layanan.
Menentukan pengalaman pengguna untuk mengakses aplikasi
MICROSOFT Entra ID menyediakan beberapa cara yang dapat disesuaikan untuk menyebarkan aplikasi kepada pengguna akhir di organisasi Anda:
- Microsoft Entra Aplikasi Saya
- Peluncur aplikasi Microsoft 365
- Masuk langsung ke aplikasi federasi (service-pr)
- Tautan dalam ke aplikasi terfederasi, berbasis kata sandi, atau yang sudah ada
Anda dapat menentukan apakah pengguna yang ditugasi ke aplikasi perusahaan dapat melihatnya di Aplikasi Saya dan peluncur aplikasi Microsoft 365.
Contoh: Penugasan aplikasi kompleks dengan ID Microsoft Entra
Pertimbangkan aplikasi seperti Salesforce. Di banyak organisasi, Salesforce terutama digunakan oleh tim pemasaran dan penjualan. Seringkali, anggota tim pemasaran memiliki akses yang sangat istimewa ke Salesforce, sementara anggota tim penjualan memiliki akses terbatas. Dalam banyak kasus, populasi luas pekerja informasi telah membatasi akses ke aplikasi. Pengecualian untuk aturan ini mempersulit masalah. Seringkali hak prerogatif tim kepemimpinan pemasaran atau penjualan untuk memberikan akses pengguna atau mengubah peran mereka secara independen dari aturan generik ini.
Dengan MICROSOFT Entra ID, aplikasi seperti Salesforce dapat dikonfigurasi sebelumnya untuk akses menyeluruh (SSO) dan provisi otomatis. Setelah aplikasi dikonfigurasi, Administrator dapat mengambil tindakan satu kali untuk membuat dan menugasi grup yang sesuai. Dalam contoh ini, administrator dapat menjalankan penugasan berikut:
Grup dinamis dapat ditentukan untuk secara otomatis mewakili semua anggota tim pemasaran dan penjualan menggunakan atribut seperti departemen atau peran:
- Semua anggota grup pemasaran akan ditugasi untuk peran "pemasaran" di Salesforce
- Semua anggota grup tim penjualan akan ditugasi untuk peran "penjualan" di Salesforce. Penyempurnaan lebih lanjut dapat menggunakan beberapa grup yang mewakili tim penjualan regional yang ditugasi untuk berbagai peran Salesforce.
Untuk mengaktifkan mekanisme pengecualian, grup layanan mandiri dapat dibuat untuk setiap peran. Misalnya, grup "Pengecualian pemasaran Salesforce" dapat dibuat sebagai grup layanan mandiri. Grup dapat ditugasi untuk peran pemasaran Salesforce dan tim kepemimpinan pemasaran dapat dibuat pemilik. Anggota tim kepemimpinan pemasaran dapat menambahkan atau menghapus pengguna, menetapkan kebijakan bergabung, atau bahkan menyetujui atau menolak permintaan pengguna individu untuk bergabung. Mekanisme ini didukung melalui pengalaman tepat pekerja informasi yang tidak memerlukan pelatihan khusus untuk pemilik atau anggota.
Dalam kasus ini, semua pengguna yang ditetapkan akan secara otomatis disediakan ke Salesforce. Saat pengguna ditambahkan ke grup yang berbeda, penetapan peran akan diperbarui di Salesforce. Pengguna dapat menemukan dan mengakses Salesforce melalui Aplikasi Saya, klien web Office, atau dengan menavigasi ke halaman masuk Salesforce organisasi pengguna. Administrator dapat dengan mudah melihat status penggunaan dan penugasan menggunakan pelaporan ID Microsoft Entra.
Administrator dapat menggunakan Microsoft Entra Conditional Access untuk mengatur kebijakan akses untuk peran tertentu. Kebijakan ini dapat mencakup apakah akses diizinkan di luar lingkungan perusahaan dan bahkan autentikasi multifaktor atau persyaratan perangkat untuk mencapai akses dalam berbagai kasus.
Akses ke aplikasi Microsoft
Aplikasi Microsoft (seperti Exchange, SharePoint, Yammer, dll.) ditetapkan dan dikelola sedikit berbeda dari aplikasi SaaS pihak ketiga atau aplikasi lain yang Anda integrasikan dengan ID Microsoft Entra untuk akses menyeluruh.
Ada tiga cara utama agar pengguna bisa mendapatkan akses ke aplikasi yang diterbitkan Microsoft.
Untuk aplikasi di Microsoft 365 atau suite berbayar lainnya, pengguna diberi akses melalui penugasan lisensi baik secara langsung ke akun penggunanya, atau melalui grup menggunakan kemampuan penugasan lisensi berbasis grup kami.
Untuk aplikasi yang diterbitkan oleh Microsoft atau pihak ketiga secara bebas untuk digunakan siapa saja, pengguna dapat diberikan akses melalui persetujuan pengguna. Pengguna masuk ke aplikasi dengan akun kerja atau sekolah Microsoft Entra mereka dan memungkinkannya untuk memiliki akses ke beberapa kumpulan data terbatas di akun mereka.
Untuk aplikasi yang diterbitkan oleh Microsoft atau pihak ketiga secara bebas untuk digunakan siapa saja, pengguna juga dapat diberikan akses melalui persetujuan admin. Ini berarti bahwa admin telah menentukan bahwa aplikasi dapat digunakan oleh semua orang di organisasi, jadi mereka masuk ke aplikasi dengan akun Administrator Global dan memberikan akses kepada semua orang di organisasi.
Beberapa aplikasi menggabungkan metode ini. Misalnya, aplikasi Microsoft tertentu adalah bagian dari langganan Microsoft 365, tetapi masih memerlukan persetujuan.
Pengguna dapat mengakses aplikasi Microsoft 365 melalui portal Office 365 mereka. Anda juga bisa memperlihatkan atau menyembunyikan aplikasi Microsoft 365 di Aplikasi Saya dengan pengalih visibilitas Office 365 di Pengaturan pengguna direktori Anda.
Seperti halnya aplikasi perusahaan, Anda dapat menetapkan pengguna ke aplikasi Microsoft tertentu melalui pusat admin Microsoft Entra atau, menggunakan PowerShell.