Gestire l'accesso a un'applicazione
La gestione dell'accesso, la valutazione dell'utilizzo e la creazione di report durante l'utilizzo continuano a rappresentare una sfida dopo l'integrazione di un'app nel sistema di identità dell'organizzazione. In molti casi, i Amministrazione istrator IT o help desk devono assumere un ruolo attivo continuo nella gestione dell'accesso alle app. In alcuni casi, l'assegnazione viene eseguita da un team IT generale o di reparto. Spesso, la decisione di assegnazione deve essere delegata al responsabile aziendale, di cui è richiesta l'approvazione prima che l'IT esegua l'assegnazione.
Altre organizzazioni investono nell'integrazione mediante sistemi automatizzati esistenti di gestione dell'accesso e dell'identità, quali il controllo degli accessi in base al ruolo (RBAC) o il controllo degli accessi in base all'attributo (ABAC). Lo sviluppo mediante integrazione e regole tende a essere specializzato e costoso. Il monitoraggio o la creazione di report in entrambi gli approcci di gestione è di per sé un investimento isolato, complesso e costoso.
Come aiuta Microsoft Entra ID?
Microsoft Entra ID supporta una gestione completa degli accessi per le applicazioni configurate, consentendo alle organizzazioni di ottenere facilmente i criteri di accesso appropriati, da scenari di assegnazione automatica basata su attributi (ABAC o controllo degli accessi in base al ruolo) attraverso la delega e inclusa la gestione degli amministratori. Con Microsoft Entra ID è possibile ottenere facilmente criteri complessi, combinando più modelli di gestione per una singola applicazione e anche riutilizzare le regole di gestione tra applicazioni con gli stessi destinatari.
Con Microsoft Entra ID, la creazione di report di utilizzo e assegnazione è completamente integrata, consentendo agli amministratori di segnalare facilmente lo stato di assegnazione, gli errori di assegnazione e persino l'utilizzo.
Assegnazione di utenti e gruppi a un'app
L'assegnazione dell'applicazione Microsoft Entra è incentrata su due modalità di assegnazione principali:
Singola assegnazione : un amministratore IT con autorizzazioni di amministratore globale di directory può selezionare singoli account utente e concedere loro l'accesso all'applicazione.
Assegnazione basata su gruppo (richiede Microsoft Entra ID P1 o P2) Un amministratore IT con autorizzazioni globali di directory Amministrazione istrator può assegnare un gruppo all'applicazione. L'accesso utente specifico è determinato dall'appartenenza al gruppo dell'utente nel momento in cui tenta di accedere all'applicazione. In altri termini, un amministratore può in pratica creare una regola di assegnazione che indica che tutti i membri del gruppo assegnato hanno accesso all'applicazione. Usando questa opzione di assegnazione, gli amministratori possono trarre vantaggio da qualsiasi opzione di gestione dei gruppi di Microsoft Entra, inclusi gruppi dinamici basati su attributi, gruppi di sistema esterni (ad esempio, Active Directory locale o Workday) o gruppi gestiti da Amministrazione istrator o gestiti in modalità self-service. Un singolo gruppo può essere facilmente assegnato a più app, garantendo che le applicazioni con affinità di assegnazione condividano le regole di assegnazione, riducendo la complessità generale della gestione.
Nota
Le appartenenze ai gruppi annidate non sono supportate per l'assegnazione basata su gruppo alle applicazioni in questo momento.
Mediante queste due modalità di assegnazione, gli amministratori possono ottenere qualsiasi approccio di gestione delle assegnazioni.
Richiedere l'assegnazione di utenti per un'app
Con alcuni tipi di applicazioni, è possibile scegliere di richiedere che gli utenti vengano assegnati all'applicazione. In questo modo si impedisce a tutti gli utenti di accedere ad eccezione di quelli assegnati in modo esplicito all'applicazione. Questa opzione è supportata dai tipi di applicazioni seguenti:
- Applicazioni configurate per l'accesso Single Sign-On (SSO) federato con autenticazione basata su SAML
- Applicazioni proxy di applicazione che usano l'autenticazione preliminare di Microsoft Entra
- Applicazioni create nella piattaforma applicativa Microsoft Entra, che usano l'autenticazione OAuth 2.0/OpenID Connect dopo che un utente o un amministratore ha fornito il consenso per tale applicazione. Alcune applicazioni aziendali offrono un maggiore controllo sugli utenti autorizzati ad accedere.
Quando è richiesta l'assegnazione utente, solo gli utenti assegnati all'applicazione (tramite assegnazione utente diretta o in base all'appartenenza al gruppo) potranno eseguire l'accesso. Possono accedere all'app nel portale di App personali o usando un collegamento diretto.
Quando l'assegnazione dell'utente non è obbligatoria, gli utenti non assegnati non visualizzano l'app nel proprio App personali, ma possono comunque accedere all'applicazione stessa (nota anche come accesso avviato da SP) o possono usare l'URL di accesso utente nella pagina Proprietà dell'applicazione (noto anche come accesso avviato da IDP). Per altre informazioni sulla richiesta di configurazioni di assegnazione utente, vedere Configurare un'applicazione
Questa impostazione non influisce sul fatto che un'applicazione venga visualizzata in App personali. Le applicazioni vengono visualizzate nei pannelli di accesso App personali degli utenti dopo aver assegnato un utente o un gruppo all'applicazione.
Nota
Quando un'applicazione richiede l'assegnazione, il consenso dell'utente per tale applicazione non è consentito. Questo vale anche se il consenso utente per tale app sarebbe stato altrimenti consentito. Assicurarsi di concedere il consenso amministratore a livello di tenant alle app che richiedono l'assegnazione.
Per alcune applicazioni, l'opzione per richiedere l'assegnazione di utenti non è disponibile nelle proprietà dell'applicazione. In questi casi, è possibile usare PowerShell per impostare la proprietà appRoleAssignmentRequired nell'entità servizio.
Determinazione dell'esperienza utente per l'accesso alle app
Microsoft Entra ID offre diversi modi personalizzabili per distribuire applicazioni agli utenti finali dell'organizzazione:
- Microsoft Entra App personali
- Utilità di avvio delle applicazioni di Microsoft 365
- Accesso diretto alle app federate (service-pr)
- Collegamenti diretti per applicazioni federate, basate su password o esistenti
È possibile determinare se gli utenti assegnati a un'app aziendale possono visualizzarlo in App personali e nell'icona di avvio delle applicazioni di Microsoft 365.
Esempio: Assegnazione di applicazioni complesse con ID Microsoft Entra
Si tenga in considerazione un'applicazione come Salesforce. In molte organizzazioni, Salesforce viene principalmente usata dai team di vendita e marketing. Spesso, i membri del team di marketing dispongono di privilegi elevati per l'accesso a Salesforce, mentre i membri del team di vendita ha accesso limitato. In molti casi numerosi information worker hanno accesso limitato all'applicazione ed eventuali eccezioni a tale regola rendono la questione più complessa. Spesso è prerogativa dei team responsabili del marketing o delle vendite concedere a un utente l'accesso o modificare i ruoli indipendentemente da queste regole generiche.
Con Microsoft Entra ID, le applicazioni come Salesforce possono essere preconfigurate per l'accesso Single Sign-On (SSO) e il provisioning automatizzato. Dopo aver configurato l'applicazione, un amministratore può intraprendere l'azione singola di creazione e assegnazione ai gruppi appropriati. In questo esempio un amministratore può eseguire le assegnazioni seguenti:
gruppi dinamici possono essere definiti in modo da rappresentare automaticamente tutti i membri dei team di marketing e vendita mediante attributi quali reparto o ruolo:
- In Salesforce, tutti i membri dei gruppi di marketing verrebbero assegnati al ruolo "marketing".
- In Salesforce, tutti i membri dei gruppi di vendita verrebbero assegnati al ruolo "sales". Un'ulteriore perfezionamento potrebbe prevedere l'utilizzo di più gruppi che rappresentino i team di vendita suddivisi per area assegnati a diversi ruoli in Salesforce.
Per abilitare il meccanismo delle eccezioni, è possibile creare un gruppo self-service per ogni ruolo. Ad esempio, è possibile creare come gruppo self-service il gruppo "Eccezione marketing Salesforce". Il gruppo può essere assegnato al ruolo marketing in Salesforce e il team responsabile del marketing può essere definito come proprietario. I membri del team responsabile del marketing potrebbero aggiungere o rimuovere utenti, impostare criteri di join o addirittura approvare o negare le richieste di join dei singoli utenti. Questo meccanismo è supportato attraverso un'appropriata esperienza di un information worker che non richiede una formazione specifica per proprietari o membri.
In questo caso, viene eseguito automaticamente il provisioning di tutti gli utenti assegnati a Salesforce. Man mano che vengono aggiunti a gruppi diversi, l'assegnazione di ruolo verrà aggiornata in Salesforce. Gli utenti possono individuare e accedere a Salesforce tramite App personali, client Web di Office o passando alla pagina di accesso di Salesforce aziendale. Amministrazione istrator può visualizzare facilmente lo stato di utilizzo e assegnazione tramite la creazione di report di Microsoft Entra ID.
Amministrazione istrator può impiegare Accesso condizionale Di Microsoft Entra per impostare i criteri di accesso per ruoli specifici. Questi criteri possono includere se l'accesso è consentito all'esterno dell'ambiente aziendale e anche l'autenticazione a più fattori o i requisiti dei dispositivi per ottenere l'accesso in vari casi.
Accesso alle applicazioni Microsoft
Le applicazioni Microsoft (ad esempio Exchange, SharePoint, Yammer e così via) vengono assegnate e gestite in modo leggermente diverso rispetto alle applicazioni SaaS di terze parti o ad altre applicazioni integrate con Microsoft Entra ID per l'accesso Single Sign-On.
Vi sono tre principali modi con cui un utente può accedere a un'applicazione pubblicata da Microsoft.
Per le applicazioni in Microsoft 365 o altre suite a pagamento, agli utenti viene concesso l'accesso tramite l'assegnazione di licenze direttamente al proprio account utente o tramite un gruppo che usa la funzionalità di assegnazione delle licenze basata su gruppo.
Per le applicazioni pubblicate liberamente da Microsoft o da terze parti per chiunque possa usare, gli utenti possono concedere l'accesso tramite il consenso dell'utente. Gli utenti accedono all'applicazione con il proprio account microsoft Entra aziendale o dell'istituto di istruzione e consentono di avere accesso a un set limitato di dati nel proprio account.
Per le applicazioni pubblicate liberamente da Microsoft o da terze parti, gli utenti possono anche concedere l'accesso tramite il consenso dell'amministratore. Ciò significa che un amministratore ha determinato che l'applicazione può essere usata da qualsiasi utente dell'organizzazione e, tale scopo, ha effettuato l'accesso all'applicazione con un account di amministratore globale e ha consentito l'accesso a tutti gli utenti dell'organizzazione.
Alcune applicazioni combinano questi metodi. Ad esempio, alcune applicazioni Microsoft fanno parte di un abbonamento a Microsoft 365, ma richiedono comunque il consenso.
Gli utenti possono accedere alle applicazioni di Microsoft 365 tramite i portali di Office 365. È anche possibile visualizzare o nascondere le applicazioni di Microsoft 365 nella App personali con l'interruttore di visibilità di Office 365 nelle impostazioni utente della directory.
Come per le app aziendali, è possibile assegnare utenti a determinate applicazioni Microsoft tramite l'interfaccia di amministrazione di Microsoft Entra o tramite PowerShell.