Toepassingen integreren met Microsoft Entra-id en een basislijn voor gecontroleerde toegang tot stand brengen

Zodra u het beleid hebt ingesteld voor wie toegang moet hebben tot een toepassing, kunt u uw toepassing verbinden met Microsoft Entra-id en vervolgens het beleid implementeren voor het beheren van toegang tot deze toepassingen.

Microsoft Entra ID-governance kunnen worden geïntegreerd met veel toepassingen, waaronder bekende toepassingen zoals SAP R/3, SAP S/4HANA en toepassingen die gebruikmaken van standaarden zoals OpenID Verbinding maken, SAML, SCIM, SQL, LDAP, SOAP en REST. Via deze standaarden kunt u Microsoft Entra ID gebruiken met veel populaire SaaS-toepassingen en on-premises toepassingen, inclusief toepassingen die uw organisatie heeft ontwikkeld. In dit implementatieplan wordt beschreven hoe u uw toepassing verbindt met Microsoft Entra ID en waarmee identiteitsbeheerfuncties voor die toepassing kunnen worden gebruikt.

Om ervoor te zorgen dat Microsoft Entra ID-governance worden gebruikt voor een toepassing, moet de toepassing eerst worden geïntegreerd met Microsoft Entra-id en worden weergegeven in uw directory. Een toepassing die wordt geïntegreerd met Microsoft Entra ID betekent dat aan een van de volgende twee vereisten moet worden voldaan:

• De toepassing is afhankelijk van Microsoft Entra ID voor federatieve eenmalige aanmelding en Microsoft Entra ID bepaalt de uitgifte van verificatietoken. Als Microsoft Entra ID de enige id-provider voor de toepassing is, kunnen alleen gebruikers die zijn toegewezen aan een van de rollen van de toepassing in Microsoft Entra ID zich aanmelden bij de toepassing. Gebruikers die hun roltoewijzing van de toepassing verliezen, kunnen geen nieuw token meer krijgen om zich aan te melden bij de toepassing.
• De toepassing is afhankelijk van gebruikers- of groepslijsten die door Microsoft Entra-id aan de toepassing worden verstrekt. Deze uitvoering kan worden uitgevoerd via een inrichtingsprotocol, zoals SCIM, door de toepassing die microsoft Entra-id opvraagt via Microsoft Graph of de toepassing die AD Kerberos gebruikt om groepslidmaatschappen van een gebruiker te verkrijgen.

Als aan geen van deze criteria wordt voldaan voor een toepassing, bijvoorbeeld wanneer de toepassing niet afhankelijk is van Microsoft Entra-id, kan identiteitsbeheer nog steeds worden gebruikt. Er kunnen echter enkele beperkingen zijn bij het gebruik van identiteitsbeheer zonder te voldoen aan de criteria. Gebruikers die zich niet in uw Microsoft Entra-id bevinden of die niet zijn toegewezen aan de toepassingsrollen in Microsoft Entra ID, worden bijvoorbeeld niet opgenomen in toegangsbeoordelingen van de toepassing totdat u ze toewijst aan de toepassingsrollen. Zie Voorbereiden voor een toegangsbeoordeling van gebruikerstoegang tot een toepassing voor meer informatie.

Integreer de toepassing met Microsoft Entra ID om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de toepassing

Dit proces van het integreren van een toepassing begint meestal wanneer u die toepassing configureert om te vertrouwen op Microsoft Entra-id voor gebruikersverificatie, met een federatieve SSO-protocolverbinding (SSO) en vervolgens inrichting toe te voegen. De meest gebruikte protocollen voor eenmalige aanmelding zijn SAML en OpenID Connect. Meer informatie over de hulpprogramma's en het proces voor het detecteren en migreren van toepassingsverificatie naar Microsoft Entra-id.

Als de toepassing vervolgens een inrichtingsprotocol implementeert, moet u de Microsoft Entra-id configureren om gebruikers in te richten voor de toepassing, zodat Microsoft Entra-id de toepassing kan signaleren wanneer een gebruiker toegang heeft gekregen of de toegang van een gebruiker is verwijderd. Met deze inrichtingssignalen kan de aanvraag automatische correcties aanbrengen, zoals het opnieuw toewijzen van inhoud die is gemaakt door een werknemer die aan zijn manager is overgelaten.

1. Controleer of uw toepassing voorkomt in de lijst met bedrijfstoepassingen of lijst met app-registraties. Als de toepassing al aanwezig is in uw tenant, gaat u verder met stap 5 in deze sectie.

2. Als uw toepassing een SaaS-toepassing is die nog niet is geregistreerd in uw tenant, controleert u of de toepassing beschikbaar is in de toepassingsgalerie voor toepassingen die kunnen worden geïntegreerd voor federatieve eenmalige aanmelding. Als deze zich in de galerie vindt, gebruikt u de zelfstudies om de toepassing te integreren met Microsoft Entra ID.

   1. Volg de zelfstudie voor het configureren van de toepassing voor federatieve eenmalige aanmelding met Microsoft Entra-id.
   2. als de toepassing ondersteuning biedt voor het inrichten, configureert u de toepassing voor inrichting.
   3. Als u klaar bent, gaat u verder met de volgende sectie in dit artikel. Als de SaaS-toepassing zich niet in de galerie bevindt, vraagt u de SaaS-leverancier om te onboarden.

3. Als dit een persoonlijke of aangepaste toepassing is, kunt u ook een integratie met eenmalige aanmelding selecteren die het meest geschikt is, op basis van de locatie en mogelijkheden van de toepassing.

   • Als deze toepassing zich in de openbare cloud bevindt en eenmalige aanmelding ondersteunt, configureert u eenmalige aanmelding rechtstreeks vanuit Microsoft Entra ID naar de toepassing.

     Toepassing ondersteunt	Volgende stappen
     OpenID Connect	Een OpenID Connect OAuth-toepassing toevoegen
     SAML 2.0	Registreer de toepassing en configureer de toepassing met de SAML-eindpunten en het certificaat van Microsoft Entra-id
     SAML 1.1	Een op SAML gebaseerde toepassing toevoegen

   • Als dit anders een on-premises of iaaS-gehoste toepassing is die ondersteuning biedt voor eenmalige aanmelding, configureert u eenmalige aanmelding van Microsoft Entra-id naar de toepassing via de toepassingsproxy.

     Toepassing ondersteunt	Volgende stappen
     SAML 2.0	De toepassingsproxy implementeren en een toepassing configureren voor SAML SSO
     Geïntegreerde Windows-verificatie (IWA)	Implementeer de toepassingsproxy, configureer een toepassing voor geïntegreerde Windows-verificatie-SSO en stel firewallregels in om toegang tot de eindpunten van de toepassing te voorkomen, behalve via de proxy.
     Verificatie op basis van headers	De toepassingsproxy implementeren en een toepassing configureren voor eenmalige aanmelding op basis van headers

4. Als uw toepassing meerdere rollen heeft, heeft elke gebruiker slechts één rol in de toepassing en is de toepassing afhankelijk van Microsoft Entra-id om de rol voor één toepassingsspecifieke gebruiker te verzenden als claim van een gebruiker die zich aanmeldt bij de toepassing, configureert u die app-rollen in Microsoft Entra ID op uw toepassing en wijst u vervolgens elke gebruiker toe aan de toepassingsrol. U kunt de gebruikersinterface van app-rollen gebruiken om deze rollen toe te voegen aan het toepassingsmanifest. Als u de Microsoft-verificatiebibliotheken gebruikt, is er een codevoorbeeld voor het gebruik van app-rollen in uw toepassing voor toegangsbeheer. Als een gebruiker meerdere rollen tegelijk kan hebben, kunt u de toepassing implementeren om beveiligingsgroepen te controleren, in de tokenclaims of beschikbaar via Microsoft Graph, in plaats van app-rollen te gebruiken vanuit het app-manifest voor toegangsbeheer.

5. Als de toepassing ondersteuning biedt voor het inrichten, configureert u het inrichten van toegewezen gebruikers en groepen van Microsoft Entra ID naar die toepassing. Als dit een persoonlijke of aangepaste toepassing is, kunt u ook de integratie selecteren die het meest geschikt is, op basis van de locatie en mogelijkheden van de toepassing.

   • Als deze toepassing afhankelijk is van SAP Cloud Identity Services, configureert u het inrichten van gebruikers via SCIM in SAP Cloud Identity Services.

     Toepassing ondersteunt	Volgende stappen
     SAP Cloud Identity Services	Microsoft Entra-id configureren om gebruikers in te richten in SAP Cloud Identity Services

   • Als deze toepassing zich in de openbare cloud bevindt en SCIM ondersteunt, configureert u het inrichten van gebruikers via SCIM.

     Toepassing ondersteunt	Volgende stappen
     SCIM	Een toepassing configureren met SCIM voor het inrichten van gebruikers

   • Als deze toepassing gebruikmaakt van AD, configureert u het terugschrijven van groepen en werkt u de toepassing bij om de door Microsoft Entra ID gemaakte groepen te gebruiken of nestt u de door Microsoft Entra ID gemaakte groepen in de bestaande AD-beveiligingsgroepen van de toepassingen.

     Toepassing ondersteunt	Volgende stappen
     Kerberos	Microsoft Entra Cloud Sync-groeps terugschrijven naar AD configureren, groepen maken in Microsoft Entra-id en deze groepen schrijven naar AD

   • Als dit geen on-premises of IaaS-gehoste toepassing is en niet is geïntegreerd met AD, configureert u de inrichting voor die toepassing, hetzij via SCIM of naar de onderliggende database of map van de toepassing.

     Toepassing ondersteunt	Volgende stappen
     SCIM	een toepassing configureren met de inrichtingsagent voor on-premises SCIM-apps
     lokale gebruikersaccounts, opgeslagen in een SQL-database	een toepassing configureren met de inrichtingsagent voor on-premises SQL-toepassingen
     lokale gebruikersaccounts, opgeslagen in een LDAP-directory	een toepassing configureren met de inrichtingsagent voor on-premises LDAP-toepassingen
     lokale gebruikersaccounts, beheerd via een SOAP- of REST API	een toepassing configureren met de inrichtingsagent met de webserviceconnector
     lokale gebruikersaccounts, beheerd via een MIM-connector	een toepassing configureren met de inrichtingsagent met een aangepaste connector
     SAP ECC met NetWeaver AS ABAP 7.0 of hoger	een toepassing configureren met de inrichtingsagent met een DOOR SAP ECC geconfigureerde webservicesconnector

6. Als uw toepassing Gebruikmaakt van Microsoft Graph om query's uit te voeren op groepen van Microsoft Entra ID, moet u toestemming geven aan de toepassingen om de juiste machtigingen te hebben voor het lezen van uw tenant.

7. Instellen dat toegang tot de toepassing alleen is toegestaan voor gebruikers die zijn toegewezen aan de toepassing. Met deze instelling voorkomt u dat gebruikers per ongeluk de toepassing in MyApps zien en proberen zich aan te melden bij de toepassing, voordat beleid voor voorwaardelijke toegang wordt ingeschakeld.

Voer een eerste toegangsbeoordeling uit

Als dit een nieuwe toepassing is die uw organisatie nog niet eerder heeft gebruikt en daarom niemand bestaande toegang heeft, of als u al toegangsbeoordelingen voor deze toepassing hebt uitgevoerd, gaat u verder met de volgende sectie.

Als de toepassing echter al in uw omgeving bestond, is het mogelijk dat gebruikers in het verleden toegang hebben gekregen via handmatige of out-of-band-processen. Deze gebruikers moeten nu worden gecontroleerd om te bevestigen dat hun toegang nog steeds nodig is en de juiste toekomst. We raden u aan een toegangsbeoordeling uit te voeren van de gebruikers die al toegang hebben tot de toepassing, voordat u beleid inschakelt voor meer gebruikers om toegang te kunnen aanvragen. Met deze beoordeling wordt een basislijn ingesteld voor alle gebruikers die minstens één keer zijn gecontroleerd, om ervoor te zorgen dat deze gebruikers zijn gemachtigd voor continue toegang.

1. Volg de stappen in Voorbereiden voor een toegangsbeoordeling van de toegang van gebruikers tot een toepassing.
2. Als de toepassing geen Microsoft Entra-id of AD gebruikte, maar wel een inrichtingsprotocol ondersteunt of een onderliggende SQL- of LDAP-database had, brengt u bestaande gebruikers binnen en maakt u toepassingsroltoewijzingen voor hen.
3. Als de toepassing geen Microsoft Entra-id of AD gebruikte en geen ondersteuning biedt voor een inrichtingsprotocol, haalt u een lijst met gebruikers op uit de toepassing en maakt u toepassingsroltoewijzingen voor elk van deze gebruikers.
4. Als de toepassing AD-beveiligingsgroepen gebruikte, moet u het lidmaatschap van deze beveiligingsgroepen controleren.
5. Als de toepassing een eigen map of database heeft en niet is geïntegreerd voor het inrichten, moet u mogelijk de interne database of map van de toepassing handmatig bijwerken om de gebruikers te verwijderen die zijn geweigerd zodra de beoordeling is voltooid.
6. Als de toepassing GEBRUIKMAAKT van AD-beveiligingsgroepen en deze groepen zijn gemaakt in AD, moet u, zodra de beoordeling is voltooid, de AD-groepen handmatig bijwerken om lidmaatschappen te verwijderen van gebruikers die zijn geweigerd. Als u de toegangsrechten vervolgens automatisch wilt verwijderen, kunt u de toepassing bijwerken om een AD-groep te gebruiken die is gemaakt in Microsoft Entra-id en teruggeschreven naar Microsoft Entra-id, of het lidmaatschap van de AD-groep naar de Microsoft Entra-groep verplaatsen en de teruggeschreven groep nesten als het enige lid van de AD-groep.
7. Zodra de beoordeling is voltooid en de toegang tot de toepassing is bijgewerkt of als er geen gebruikers toegang hebben, gaat u verder met de volgende stappen om beleid voor voorwaardelijke toegang en rechtenbeheer voor de toepassing te implementeren.

Nu u een basislijn hebt die ervoor zorgt dat bestaande toegang is gecontroleerd, kunt u het beleid van de organisatie implementeren voor doorlopende toegang en eventuele nieuwe toegangsaanvragen.

Volgende stappen

• Governancebeleid implementeren