Condividi tramite

Esercitazione per configurare Saviynt con Azure Active Directory B2C

  • Articolo

Informazioni su come integrare Azure Active Directory B2C (Azure AD B2C) con la piattaforma Saviynt Security Manager, con visibilità, sicurezza e governance. Saviynt incorpora il rischio e la governance delle applicazioni, la gestione dell'infrastruttura, la gestione degli account con privilegi e l'analisi dei rischi dei clienti.

Altre informazioni: Saviynt per Azure AD B2C

Usare le istruzioni seguenti per configurare l'amministrazione delegata del controllo di accesso per gli utenti di Azure AD B2C. Saviynt determina se un utente è autorizzato a gestire gli utenti di Azure AD B2C con:

  • Sicurezza a livello di funzionalità per determinare se gli utenti possono eseguire un'operazione
    • Ad esempio, creare un utente, aggiornare l'utente, reimpostare la password utente e così via
  • Sicurezza a livello di campo per determinare se gli utenti possono leggere/scrivere attributi utente durante le operazioni di gestione degli utenti
    • Ad esempio, un agente help desk può aggiornare un numero di telefono; altri attributi sono di sola lettura
  • Sicurezza a livello di dati per determinare se gli utenti possono eseguire un'operazione su un altro utente
    • Ad esempio, un amministratore dell'help desk per l'area del Regno Unito gestisce gli utenti del Regno Unito

Prerequisiti

Per iniziare, è necessario:

  • Una sottoscrizione di Azure

  • Un tenant di Azure AD B2C collegato alla sottoscrizione di Azure

  • Vai a saviynt.com Contattaci per richiedere una demo

Descrizione dello scenario

L'integrazione di Saviynt include i componenti seguenti:

  • Azure AD B2C : identità come servizio per il controllo personalizzato della gestione dell'iscrizione, dell'accesso e del profilo dei clienti
  • Saviynt per Azure AD B2C : governance delle identità per l'amministrazione delegata della gestione e della governance degli accessi dei cicli di vita degli utenti
  • API Microsoft Graph: interfaccia per Saviynt per gestire gli utenti di Azure AD B2C e il relativo accesso

Il diagramma dell'architettura seguente illustra l'implementazione.

Diagram of the Saviynt architecture.

  1. Un amministratore delegato avvia l'operazione utente di Azure AD B2C con Saviynt.
  2. Saviynt verifica che l'amministratore delegato possa eseguire l'operazione.
  3. Saviynt invia una risposta di autorizzazione riuscita o di errore.
  4. Saviynt consente all'amministratore delegato di eseguire l'operazione.
  5. Saviynt richiama l'API Microsoft Graph, con attributi utente, per gestire l'utente in Azure AD B2C.
  6. L'API Microsoft Graph crea, aggiorna o elimina l'utente in Azure AD B2C.
  7. Azure AD B2C invia una risposta di esito positivo o negativo.
  8. L'API Microsoft Graph restituisce la risposta a Saviynt.

Creare un account Saviynt e creare criteri delegati

  1. Creare un account Saviynt. Per iniziare, passare a saviynt.com Contattaci.
  2. Creare criteri di amministrazione delegati.
  3. Assegnare agli utenti il ruolo di amministratore delegato.

Configurare Azure AD B2C con Saviynt

Usare le istruzioni seguenti per creare un'applicazione, eliminare gli utenti e altro ancora.

Creare un'applicazione Microsoft Entra per Saviynt

Per le istruzioni seguenti, usare la directory con il tenant di Azure AD B2C.

  1. Accedi al portale di Azure.

  2. Nella barra degli strumenti del portale selezionare Directory e sottoscrizioni.

  3. Nella pagina Directory e sottoscrizioni del portale individuare la directory di Azure AD B2C nell'elenco Nome directory.

  4. Seleziona Passa a.

  5. Nella portale di Azure cercare e selezionare Azure AD B2C.

  6. Selezionare Registrazioni app>Nuova registrazione.

  7. Immettere un nome dell'applicazione. Ad esempio, Saviynt.

  8. Seleziona Crea.

  9. Vai ad Autorizzazioni API.

  10. Seleziona + Aggiungi un'autorizzazione.

  11. Verrà visualizzata la pagina Richiedi le autorizzazioni dell'API.

  12. Selezionare la scheda API Microsoft.

  13. Selezionare Microsoft Graph come API Microsoft comunemente usate.

  14. Passa alla pagina successiva.

  15. Seleziona Autorizzazioni applicazione.

  16. Selezionare Directory.

  17. Selezionare le caselle di controllo Directory.Read.All e Directory.ReadWrite.All .

  18. Selezionare Aggiungi autorizzazioni.

  19. Esaminare le autorizzazioni.

  20. Selezionare Concedi consenso amministratore per La directory predefinita.

  21. Seleziona Salva.

  22. Passare a Certificati e segreti.

  23. Selezionare + Aggiungi segreto client.

  24. Immettere la descrizione del segreto client.

  25. Selezionare l'opzione scadenza.

  26. Seleziona Aggiungi.

  27. La chiave privata viene visualizzata nella sezione Segreto client. Salvare il segreto client da usare in un secondo momento.

  28. Passare a Panoramica.

  29. Copiare l'ID client e l'ID tenant.

Salvare l'ID tenant, l'ID client e il segreto client per completare la configurazione.

Abilitare Saviynt per eliminare gli utenti

Abilitare Saviynt per eseguire operazioni di eliminazione degli utenti in Azure AD B2C.

Altre informazioni: Oggetti applicazione e entità servizio in Microsoft Entra ID

  1. Installare la versione più recente del modulo Di Microsoft Graph PowerShell in una workstation o in un server Windows.

Per altre informazioni, vedere la documentazione di Microsoft Graph PowerShell.

  1. Connessione al modulo PowerShell ed eseguire i comandi seguenti:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Test della soluzione

Passare al tenant dell'applicazione Saviynt e testare i casi d'uso per la gestione del ciclo di vita dell'utente e la governance degli accessi.

Passaggi successivi