Bagikan melalui

Apa itu manajemen aplikasi di MICROSOFT Entra ID?

Manajemen aplikasi di MICROSOFT Entra ID adalah proses membuat, mengonfigurasi, mengelola, dan memantau aplikasi di cloud. Ketika aplikasi terdaftar di penyewa Microsoft Entra, pengguna yang sudah ditetapkan ke aplikasi tersebut dapat mengaksesnya dengan aman. Banyak jenis aplikasi dapat didaftarkan di ID Microsoft Entra. Untuk informasi selengkapnya, lihat jenis Aplikasi untuk platform identitas Microsoft.

Dalam artikel ini, Anda mempelajari aspek-aspek penting dalam mengelola siklus hidup aplikasi:

  • Mengembangkan, menambahkan, atau menyambungkan - Anda mengambil jalur yang berbeda tergantung pada apakah Anda mengembangkan aplikasi Anda sendiri, menggunakan aplikasi yang telah diintegrasi sebelumnya, atau menyambungkan ke aplikasi lokal.
  • Mengelola akses – Akses dapat dikelola dengan menggunakan akses menyeluruh (SSO), menetapkan sumber daya, menentukan cara akses diberikan dan disetujui, dan menggunakan provisi otomatis.
  • Mengonfigurasi properti – Mengonfigurasi persyaratan untuk masuk ke aplikasi dan bagaimana aplikasi diwakili di portal pengguna.
  • Amankan aplikasi – Kelola konfigurasi izin, autentikasi multifaktor, Akses Bersyarah, token, dan sertifikat.
  • Mengatur dan memantau – Mengelola interaksi dan meninjau aktivitas menggunakan pengelolaan pemberian izin dan sumber daya pelaporan dan pemantauan.
  • Bersihkan – Saat aplikasi Anda tidak lagi diperlukan, bersihkan penyewa Anda dengan menghapus akses ke sana dan menghapusnya.

Mengembangkan, menambahkan, atau menyambungkan

Ada beberapa cara agar Anda dapat mengelola aplikasi di MICROSOFT Entra ID. Cara term mudah untuk mulai mengelola aplikasi adalah dengan menggunakan aplikasi yang telah diintegrasi sebelumnya dari galeri Microsoft Entra. Mengembangkan aplikasi Anda sendiri dan mendaftarkannya di MICROSOFT Entra ID adalah opsi, atau Anda dapat terus menggunakan aplikasi lokal.

Gambar berikut menunjukkan bagaimana aplikasi ini berinteraksi dengan MICROSOFT Entra ID.

Diagram memperlihatkan bagaimana aplikasi yang Anda kembangkan sendiri, aplikasi yang telah diintegrasikan sebelumnya, dan aplikasi lokal dapat digunakan sebagai aplikasi perusahaan.

Aplikasi yang telah diinteegrasi sebelumnya

Banyak aplikasi yang sudah diintegrasi sebelumnya (ditampilkan sebagai aplikasi Cloud pada gambar sebelumnya dalam artikel ini) dan dapat diatur dengan upaya minimal. Setiap aplikasi di galeri Microsoft Entra memiliki artikel yang tersedia yang menunjukkan kepada Anda langkah-langkah yang diperlukan untuk mengonfigurasi aplikasi. Untuk contoh sederhana tentang bagaimana aplikasi dapat ditambahkan ke tenant Microsoft Entra Anda dari galeri, lihat Panduan Memulai Cepat : Tambahkan aplikasi perusahaan.

Aplikasi Anda sendiri

Jika Anda mengembangkan aplikasi bisnis Anda sendiri, Anda dapat mendaftarkannya dengan MICROSOFT Entra ID untuk memanfaatkan fitur keamanan yang disediakan penyewa. Anda dapat mendaftarkan aplikasi Anda di Pendaftaran Aplikasi, atau Anda dapat mendaftarkannya menggunakan tautan Membuat aplikasi Anda sendiri saat menambahkan aplikasi baru di aplikasi Enterprise. Pertimbangkan bagaimana autentikasi diterapkan di aplikasi Anda untuk integrasi dengan Microsoft Entra ID.

Jika Anda ingin membuat aplikasi Anda tersedia melalui galeri, Anda dapat mengirimkan permintaan untuk membuatnya tersedia.

Aplikasi lokal

Jika Anda ingin terus menggunakan aplikasi lokal, tetapi memanfaatkan apa yang ditawarkan ID Microsoft Entra, sambungkan dengan ID Microsoft Entra menggunakan proksi aplikasi Microsoft Entra. Proksi Aplikasi dapat diimplementasikan saat Anda ingin menerbitkan aplikasi lokal secara eksternal. Pengguna jarak jauh yang membutuhkan akses ke aplikasi internal kemudian dapat mengaksesnya dengan cara yang aman.

Mengelola akses

Untuk mengelola akses untuk aplikasi, Anda ingin menjawab pertanyaan berikut:

  • Bagaimana akses diberikan dan disetujui untuk aplikasi?
  • Apakah aplikasi mendukung SSO?
  • Pengguna, grup, dan pemilik mana yang harus ditetapkan ke aplikasi?
  • Apakah ada penyedia identitas lain yang mendukung aplikasi?
  • Apakah berguna untuk mengotomatiskan provisi identitas dan peran pengguna?

Anda dapat mengelola pengaturan persetujuan pengguna untuk memilih apakah pengguna dapat mengizinkan aplikasi atau layanan mengakses profil pengguna dan data organisasi. Ketika aplikasi diberikan akses, pengguna dapat masuk ke aplikasi yang terintegrasi dengan ID Microsoft Entra, dan aplikasi dapat mengakses data organisasi Anda untuk memberikan pengalaman berbasis data yang kaya.

Dalam situasi di mana pengguna tidak dapat menyetujui izin yang diminta aplikasi, pertimbangkan untuk mengonfigurasi alur kerja persetujuan admin. Alur kerja memungkinkan pengguna untuk memberikan pembenaran dan meminta tinjauan dan persetujuan administrator atas aplikasi. Untuk mempelajari cara mengonfigurasi alur kerja persetujuan admin di penyewa Microsoft Entra Anda, lihat Mengonfigurasi alur kerja persetujuan admin.

Sebagai administrator, Anda dapat memberikan persetujuan admin untuk seluruh penyewa ke aplikasi. Persetujuan admin di seluruh penyewa diperlukan ketika aplikasi memerlukan izin yang tidak diizinkan untuk diberikan oleh pengguna reguler. Memberikan persetujuan admin di tingkat penyewa juga memungkinkan organisasi untuk menerapkan proses peninjauan mereka sendiri. Selalu tinjau dengan cermat izin yang diminta aplikasi sebelum memberikan persetujuan. Ketika aplikasi diberikan persetujuan admin luas penyewa, semua pengguna dapat masuk ke aplikasi kecuali Anda mengonfigurasinya untuk memerlukan penugasan pengguna.

Akses menyeluruh

Pertimbangkan untuk menerapkan SSO di aplikasi Anda. Anda dapat mengonfigurasi sebagian besar aplikasi untuk SSO secara manual. Opsi paling populer di Microsoft Entra ID adalah SSO berbasis SAML dan SSO berbasis OpenID Connect. Sebelum memulai, pastikan Anda memahami persyaratan untuk SSO dan cara merencanakan penyebaran. Untuk informasi selengkapnya tentang cara mengonfigurasi SSO berbasis SAML untuk aplikasi perusahaan di penyewa Microsoft Entra Anda, lihat Mengaktifkan akses menyeluruh untuk aplikasi dengan menggunakan Microsoft Entra ID.

Penetapan pengguna, grup, dan pemilik

Secara default, semua pengguna dapat mengakses aplikasi perusahaan Anda tanpa ditetapkan kepada mereka. Namun, jika Anda ingin menetapkan aplikasi ke sekumpulan pengguna, konfigurasikan aplikasi untuk memerlukan penetapan pengguna dan tetapkan pengguna yang dipilih ke aplikasi. Untuk contoh sederhana tentang cara membuat dan menetapkan akun pengguna ke aplikasi, lihat mulai cepat : Membuat dan menetapkan akun pengguna.

Jika disertakan dalam langganan Anda, menetapkan grup ke aplikasi sehingga Anda dapat mendelegasikan manajemen akses yang sedang berlangsung kepada pemilik grup.

Menetapkan pemilik adalah cara sederhana untuk memberikan kemampuan untuk mengelola semua aspek konfigurasi Microsoft Entra untuk aplikasi. Sebagai pemilik, pengguna dapat mengelola konfigurasi aplikasi khusus organisasi. Sebagai praktik terbaik, Anda harus secara proaktif memantau aplikasi di penyewa Anda untuk memastikan mereka memiliki setidaknya dua pemilik, untuk menghindari situasi aplikasi tanpa pemilik.

Mengotomatiskan penyediaan

Provisi aplikasi mengacu pada pembuatan identitas dan peran pengguna secara otomatis dalam aplikasi yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah.

Penyedia identitas

Apakah Anda memiliki penyedia identitas yang ingin Anda gunakan untuk berinteraksi dengan Microsoft Entra ID? Home Realm Discovery menyediakan konfigurasi yang memungkinkan MICROSOFT Entra ID menentukan penyedia identitas mana yang perlu diautentikasi pengguna saat mereka masuk.

Portal pengguna

MICROSOFT Entra ID menyediakan cara yang dapat disesuaikan untuk menyebarkan aplikasi kepada pengguna di organisasi Anda. Misalnya, portal Aplikasi Saya atau peluncur aplikasi Microsoft 365. Aplikasi Saya memberi pengguna satu tempat untuk memulai pekerjaan mereka dan menemukan semua aplikasi yang dapat mereka akses. Sebagai administrator aplikasi, Anda harus merencanakan bagaimana pengguna di organisasi Anda menggunakan Aplikasi Saya.

Konfigurasi properti

Saat menambahkan aplikasi ke penyewa Microsoft Entra, Anda memiliki kesempatan untuk mengonfigurasi properti yang memengaruhi cara pengguna dapat berinteraksi dengan aplikasi. Anda dapat mengaktifkan atau menonaktifkan kemampuan untuk masuk dan mengatur aplikasi untuk memerlukan penugasan pengguna. Anda juga dapat menentukan visibilitas aplikasi, logo apa yang mewakili aplikasi, dan catatan apa pun tentang aplikasi. Untuk informasi selengkapnya tentang properti yang dapat dikonfigurasi, lihat Properti dari sebuah aplikasi perusahaan.

Mengamankan aplikasi

Ada beberapa metode yang tersedia untuk membantu Anda menjaga keamanan aplikasi perusahaan Anda. Misalnya, Anda dapat membatasi akses penyewa, mengelola visibilitas, data, dan analitik, dan mungkin menyediakan akses hibrid . Menjaga aplikasi perusahaan Anda tetap aman juga melibatkan pengelolaan konfigurasi izin, MFA, Akses Bersyarah, token, dan sertifikat.

Izin

Penting untuk secara berkala meninjau dan, jika perlu, mengelola izin yang diberikan ke aplikasi atau layanan. Pastikan Anda hanya mengizinkan akses yang sesuai ke aplikasi Anda dengan mengevaluasi secara teratur apakah ada aktivitas mencurigakan.

Klasifikasi izin memungkinkan Anda mengidentifikasi efek izin yang berbeda sesuai dengan kebijakan dan evaluasi risiko organisasi Anda. Misalnya, Anda dapat menggunakan klasifikasi izin dalam kebijakan persetujuan untuk mengidentifikasi serangkaian izin yang diizinkan untuk disetujui pengguna.

Autentikasi multifaktor dan Akses Bersyarat

Autentikasi multifaktor Microsoft Entra membantu melindungi akses ke data dan aplikasi, menyediakan lapisan keamanan lain dengan menggunakan bentuk autentikasi kedua. Ada banyak metode yang dapat digunakan untuk autentikasi faktor kedua. Sebelum memulai, merencanakan penyebaran MFA untuk aplikasi Anda di organisasi Anda.

Organisasi dapat mengaktifkan MFA dengan Akses Bersyarat untuk membuat solusi yang sesuai dengan kebutuhan spesifik mereka. Kebijakan Akses Bersyarah memungkinkan administrator menetapkan kontrol ke aplikasi, tindakan, atau konteks autentikasi tertentu.

Token dan sertifikat

Berbagai jenis token keamanan digunakan dalam alur autentikasi di ID Microsoft Entra tergantung pada protokol yang digunakan. Misalnya, token SAML digunakan untuk protokol SAML, dan token ID dan token akses digunakan untuk protokol OpenID Connect. Token ditandatangani dengan sertifikat unik yang dihasilkan MICROSOFT Entra ID dan oleh algoritma standar tertentu.

Anda dapat memberikan lebih banyak keamanan dengan mengenkripsi token. Anda juga dapat mengelola informasi pada token termasuk peran yang diizinkan untuk aplikasi.

Microsoft Entra ID menggunakan algoritma SHA-256 secara default dalam menandatangani respons SAML. Gunakan SHA-256 kecuali aplikasi memerlukan SHA-1. Buat proses untuk mengelola masa pakai sertifikat. Masa pakai maksimum sertifikat penandatanganan adalah tiga tahun. Untuk mencegah atau meminimalkan pemadaman karena sertifikat kedaluwarsa, gunakan peran dan daftar distribusi email untuk memastikan bahwa pemberitahuan perubahan terkait sertifikat dipantau dengan cermat.

Mengatur dan memantau

pengelolaan pemberian hak di MICROSOFT Entra ID memungkinkan Anda mengelola interaksi antara aplikasi dan administrator, pemilik katalog, manajer paket akses, pemberi persetujuan, dan pemohon.

Solusi pelaporan dan pemantauan Microsoft Entra Anda bergantung pada persyaratan hukum, keamanan, dan operasional Anda serta lingkungan dan proses yang ada. Ada beberapa log yang dikelola di ID Microsoft Entra. Oleh karena itu, Anda harus merencanakan pelaporan dan pemantauan penyebaran untuk mempertahankan pengalaman terbaik untuk aplikasi Anda.

Bersihkan

Anda dapat membersihkan akses ke aplikasi. Misalnya, menghapus akses pengguna. Anda juga dapat menonaktifkan cara pengguna masuk. Dan akhirnya, Anda dapat menghapus aplikasi jika tidak lagi diperlukan untuk organisasi. Untuk informasi selengkapnya tentang cara menghapus aplikasi perusahaan dari penyewa Microsoft Entra Anda, lihat Panduan Cepat : Menghapus aplikasi perusahaan.

Panduan Langkah demi Langkah

Untuk panduan tentang banyak rekomendasi dalam artikel ini, lihat panduan Microsoft 365 Mengamankan aplikasi cloud Anda dengan panduan akses menyeluruh (SSO).

Langkah berikutnya