Gestire l'accesso a un'applicazione
La gestione dell'accesso, la valutazione dell'utilizzo e la creazione di report durante l'utilizzo continuano a rappresentare una sfida dopo l'integrazione di un'app nel sistema di identità dell'organizzazione. In molti casi, gli amministratori IT o l'help desk devono assumere un ruolo attivo continuo nella gestione dell'accesso alle app. In alcuni casi, l'assegnazione viene eseguita da un team IT generale o di reparto. Spesso, la decisione di assegnazione deve essere delegata al responsabile aziendale, di cui è richiesta l'approvazione prima che l'IT esegua l'assegnazione.
Altre organizzazioni investono nell'integrazione mediante sistemi automatizzati esistenti di gestione dell'accesso e dell'identità, quali il controllo degli accessi in base al ruolo (RBAC) o il controllo degli accessi in base all'attributo (ABAC). Lo sviluppo mediante integrazione e regole tende a essere specializzato e costoso. Il monitoraggio o la creazione di report in entrambi gli approcci di gestione è di per sé un investimento isolato, complesso e costoso.
Quale contributo può offrire Azure Active Directory?
Azure AD supporta la gestione estesa degli accessi per le applicazioni configurate, consentendo alle organizzazioni di ottenere facilmente gli opportuni criteri di accesso: dall'assegnazione automatica o in base agli attributi (scenari ABAC o RBAC), alla delega, inclusa la gestione degli amministratori. Con Azure AD si possono facilmente ottenere criteri complessi, combinando più modelli di gestione per una singola applicazione, e addirittura riusare regole di gestione nelle applicazioni con gli stessi destinatari.
Con Azure AD, le funzionalità di utilizzo e creazione di report di assegnazione sono completamente integrate e consentono agli amministratori di creare facilmente report su stato dell'assegnazione, errori di assegnazione e utilizzo.
Assegnazione di utenti e gruppi a un'app
L’assegnazione dell’applicazione di Azure AD riguarda due modalità di assegnazione primaria:
Singola assegnazione : un amministratore IT con autorizzazioni di amministratore globale di directory può selezionare singoli account utente e concedere loro l'accesso all'applicazione.
Assegnazione basata su gruppo (richiede Azure AD Premium P1 o P2) : un amministratore IT con autorizzazioni di amministratore globale nella directory può assegnare un gruppo all'applicazione. L'accesso utente specifico è determinato dall'appartenenza al gruppo dell'utente nel momento in cui tenta di accedere all'applicazione. In altri termini, un amministratore può in pratica creare una regola di assegnazione che indica che tutti i membri del gruppo assegnato hanno accesso all'applicazione. Con questa opzione di assegnazione, gli amministratori possono sfruttare le opzioni di gestione dei gruppi di Azure AD, tra cui gruppi dinamici basati sugli attributi, gruppi di sistema esterno (ad esempio, Active Directory locale o Workday), gruppi gestiti dall'amministratore o in modalità self-service. Un singolo gruppo può essere facilmente assegnato a più app, garantendo che le applicazioni con affinità di assegnazione condividano le regole di assegnazione, riducendo la complessità generale della gestione.
Nota
Le appartenenze ai gruppi annidate non sono supportate per l'assegnazione basata su gruppo alle applicazioni in questo momento.
Mediante queste due modalità di assegnazione, gli amministratori possono ottenere qualsiasi approccio di gestione delle assegnazioni.
Richiedere l'assegnazione di utenti per un'app
Con alcuni tipi di applicazioni, è possibile scegliere di richiedere che gli utenti vengano assegnati all'applicazione. In questo modo si impedisce a tutti gli utenti di accedere ad eccezione di quelli assegnati in modo esplicito all'applicazione. Questa opzione è supportata dai tipi di applicazioni seguenti:
- Applicazioni configurate per l'accesso Single Sign-On (SSO) federato con autenticazione basata su SAML
- Applicazioni proxy di applicazione che usano la preautenticazione di Azure Active Directory
- Applicazioni create nella piattaforma applicativa Azure AD che usano l'autenticazione OAuth 2.0/OpenID Connect dopo che un utente o un amministratore ha fornito il consenso per tale applicazione. Alcune applicazioni aziendali offrono un maggiore controllo sugli utenti autorizzati ad accedere.
Quando è richiesta l'assegnazione utente, solo gli utenti assegnati all'applicazione (tramite assegnazione utente diretta o in base all'appartenenza al gruppo) potranno eseguire l'accesso. Possono accedere all'app nel portale di App personali o usando un collegamento diretto.
Quando l'assegnazione utente non è necessaria, gli utenti non assegnati non visualizzano l'app nel proprio App personali, ma possono comunque accedere all'applicazione stessa (nota anche come accesso avviato da SP) o possono usare l'URL di accesso utente nella pagina Proprietà dell'applicazione (noto anche come accesso avviato da IDP). Per altre informazioni sulla richiesta di configurazioni di assegnazione utente, vedere Configurare un'applicazione
Questa impostazione non influisce sul fatto che un'applicazione venga visualizzata in App personali. Le applicazioni vengono visualizzate nei pannelli di accesso App personali degli utenti dopo aver assegnato un utente o un gruppo all'applicazione.
Nota
Quando un'applicazione richiede l'assegnazione, il consenso dell'utente per tale applicazione non è consentito. Questo vale anche se il consenso utente per tale app sarebbe stato altrimenti consentito. Assicurarsi di concedere il consenso amministratore a livello di tenant alle app che richiedono l'assegnazione.
Per alcune applicazioni, l'opzione per richiedere l'assegnazione di utenti non è disponibile nelle proprietà dell'applicazione. In questi casi, è possibile usare PowerShell per impostare la proprietà appRoleAssignmentRequired nell'entità servizio.
Determinazione dell'esperienza utente per l'accesso alle app
Azure AD fornisce diverse soluzioni personalizzabili per distribuire le applicazioni agli utenti finali all'interno dell'organizzazione:
- Azure AD App personali
- Utilità di avvio delle applicazioni di Microsoft 365
- Accesso diretto alle app federate (service-pr)
- Collegamenti diretti per applicazioni federate, basate su password o esistenti
È possibile determinare se gli utenti assegnati a un'app aziendale possono visualizzarlo in App personali e nell'icona di avvio delle applicazioni di Microsoft 365.
Esempio: Assegnazione di applicazioni complesse con Azure AD
Si tenga in considerazione un'applicazione come Salesforce. In molte organizzazioni, Salesforce viene principalmente usata dai team di vendita e marketing. Spesso, i membri del team di marketing dispongono di privilegi elevati per l'accesso a Salesforce, mentre i membri del team di vendita ha accesso limitato. In molti casi numerosi information worker hanno accesso limitato all'applicazione ed eventuali eccezioni a tale regola rendono la questione più complessa. Spesso è prerogativa dei team responsabili del marketing o delle vendite concedere a un utente l'accesso o modificare i ruoli indipendentemente da queste regole generiche.
Con Azure AD, applicazioni come Salesforce possono essere preconfigurate per l'accesso Single Sign-On e il provisioning automatizzato. Dopo aver configurato l'applicazione, un amministratore può intraprendere l'azione singola di creazione e assegnazione ai gruppi appropriati. In questo esempio un amministratore può eseguire le assegnazioni seguenti:
gruppi dinamici possono essere definiti in modo da rappresentare automaticamente tutti i membri dei team di marketing e vendita mediante attributi quali reparto o ruolo:
- In Salesforce, tutti i membri dei gruppi di marketing verrebbero assegnati al ruolo "marketing".
- In Salesforce, tutti i membri dei gruppi di vendita verrebbero assegnati al ruolo "sales". Un'ulteriore perfezionamento potrebbe prevedere l'utilizzo di più gruppi che rappresentino i team di vendita suddivisi per area assegnati a diversi ruoli in Salesforce.
Per abilitare il meccanismo delle eccezioni, è possibile creare un gruppo self-service per ogni ruolo. Ad esempio, è possibile creare come gruppo self-service il gruppo "Eccezione marketing Salesforce". Il gruppo può essere assegnato al ruolo marketing in Salesforce e il team responsabile del marketing può essere definito come proprietario. I membri del team responsabile del marketing potrebbero aggiungere o rimuovere utenti, impostare criteri di join o addirittura approvare o negare le richieste di join dei singoli utenti. Questo meccanismo è supportato attraverso un'appropriata esperienza di un information worker che non richiede una formazione specifica per proprietari o membri.
In questo caso, viene eseguito automaticamente il provisioning di tutti gli utenti assegnati in Salesforce. Quando vengono aggiunti a gruppi diversi, l'assegnazione di ruolo verrà aggiornata in Salesforce. Gli utenti possono individuare e accedere a Salesforce tramite App personali, client Web di Office o passando alla pagina di accesso aziendale di Salesforce. Gli amministratori possono visualizzare facilmente lo stato di utilizzo e assegnazione usando la creazione di report di Azure AD.
Gli amministratori possono usare l'accesso condizionale di Azure AD per impostare criteri di accesso per ruoli specifici. Questi criteri possono includere se l'accesso è consentito all'esterno dell'ambiente aziendale e anche l'autenticazione a più fattori o i requisiti del dispositivo per ottenere l'accesso in vari casi.
Accesso alle applicazioni Microsoft
Le applicazioni Microsoft ,ad esempio Exchange, SharePoint, Yammer e così via, vengono assegnate e gestite in modo leggermente diverso rispetto alle applicazioni SaaS di terze parti o ad altre applicazioni integrate con Azure AD per l'accesso Single Sign-On.
Vi sono tre principali modi con cui un utente può accedere a un'applicazione pubblicata da Microsoft.
Per le applicazioni in Microsoft 365 o altre suite a pagamento, agli utenti viene concesso l'accesso tramite l'assegnazione di licenze direttamente al proprio account utente o tramite un gruppo che usa la funzionalità di assegnazione delle licenze basata su gruppo.
Per le applicazioni pubblicate liberamente da Microsoft o da terze parti, gli utenti possono concedere l'accesso tramite il consenso dell'utente. Gli utenti accedono all'applicazione con l'account Aziendale o dell'istituto di istruzione di Azure AD e consentono l'accesso a un set limitato di dati nel proprio account.
Per le applicazioni pubblicate liberamente da Microsoft o da terze parti, gli utenti possono anche concedere l'accesso tramite il consenso dell'amministratore. Ciò significa che un amministratore ha determinato che l'applicazione può essere usata da qualsiasi utente dell'organizzazione e, tale scopo, ha effettuato l'accesso all'applicazione con un account di amministratore globale e ha consentito l'accesso a tutti gli utenti dell'organizzazione.
Alcune applicazioni combinano questi metodi. Ad esempio, alcune applicazioni Microsoft fanno parte di un abbonamento a Microsoft 365, ma richiedono comunque il consenso.
Gli utenti possono accedere alle applicazioni di Microsoft 365 tramite i portali di Office 365. È anche possibile visualizzare o nascondere le applicazioni di Microsoft 365 nel App personali con l'interruttore di visibilità Office 365 nelle impostazioni utente della directory.
Come per le app aziendali, è possibile assegnare utenti a determinate applicazioni Microsoft tramite il portale di Azure o, se l'opzione del portale non è disponibile, usando PowerShell.