Toegang tot een toepassing beheren
Het integreren van een app in het identiteitssysteem van uw organisatie brengt uitdagingen met zich mee in toegangsbeheer, gebruiksevaluatie en rapportage. IT-beheerders of helpdeskmedewerkers moeten meestal toezicht houden op app-toegang. Toegangstoewijzing kan vallen bij een algemeen of afdelings-IT-team, maar in het ideale geval moeten zakelijke besluitvormers betrokken zijn en goedkeuring geven voordat IT het proces voltooit.
Andere organisaties investeren in integratie met een bestaand geautomatiseerd identiteits- en toegangsbeheersysteem, zoals op rollen gebaseerd toegangsbeheer (RBAC) of op kenmerken gebaseerd toegangsbeheer (ABAC). Zowel de integratie- als regelontwikkeling zijn meestal gespecialiseerd en duur. Bewaking of rapportage over beide beheerbenaderingen heeft een eigen afzonderlijke, kostbare en complexe investering.
Hoe helpt Microsoft Entra ID?
Microsoft Entra ID ondersteunt uitgebreid toegangsbeheer voor geconfigureerde toepassingen, waardoor organisaties eenvoudig het juiste toegangsbeleid kunnen bereiken, variërend van automatische toewijzing op basis van kenmerken (ABAC- of RBAC-scenario's) via delegatie en inclusief beheerdersbeheer. Met Microsoft Entra ID kunt u eenvoudig complexe beleidsregels bereiken, meerdere beheermodellen voor één toepassing combineren en zelfs beheerregels voor toepassingen met dezelfde doelgroepen hergebruiken.
Met Microsoft Entra ID is rapportage over gebruik en toewijzing volledig geïntegreerd, waardoor beheerders eenvoudig kunnen rapporteren over de toewijzingsstatus, toewijzingsfouten en zelfs gebruik.
Gebruikers en groepen toewijzen aan een app
Microsoft Entra-toepassingstoewijzing is gericht op twee primaire toewijzingsmodi:
Afzonderlijke toewijzing Een IT-beheerder met machtigingen voor directorycloudtoepassingsbeheerder kan afzonderlijke gebruikersaccounts selecteren en deze toegang verlenen tot de toepassing.
Toewijzing op basis van groepen (hiervoor is Microsoft Entra ID P1 of P2 vereist) Een IT-beheerder met machtigingen voor directorycloudtoepassingen kan een groep toewijzen aan de toepassing. De toegang van specifieke gebruikers wordt bepaald door of ze lid zijn van de groep op het moment dat ze toegang proberen te krijgen tot de toepassing. Met andere woorden, een beheerder kan effectief een toewijzingsregel maken met de mededeling dat een huidig lid van de toegewezen groep toegang heeft tot de toepassing. Met deze toewijzingsoptie kunnen beheerders profiteren van een van de microsoft Entra-groepsbeheeropties, waaronder op kenmerken gebaseerde dynamische lidmaatschapsgroepen, externe systeemgroepen (bijvoorbeeld on-premises Active Directory of Workday), of door de beheerder beheerde of selfservicebeheerde groepen. Eén groep kan eenvoudig worden toegewezen aan meerdere apps, zodat toepassingen met toewijzingsaffiniteit toewijzingsregels kunnen delen, waardoor de algehele beheercomplexiteit wordt verminderd.
Notitie
Geneste groepslidmaatschappen worden momenteel niet ondersteund voor toewijzing op basis van groepen aan toepassingen.
Met deze twee toewijzingsmodi kunnen beheerders elke gewenste aanpak voor toewijzingsbeheer bereiken.
Gebruikerstoewijzing vereisen voor een app
Met bepaalde typen toepassingen hebt u de mogelijkheid om gebruikers toe te wijzen aan de toepassing. Hierdoor voorkomt u dat iedereen zich aanmeldt, behalve de gebruikers die u expliciet aan de toepassing toewijst. De volgende typen toepassingen ondersteunen deze optie:
- Toepassingen die zijn geconfigureerd voor federatieve eenmalige aanmelding (SSO) met op SAML gebaseerde verificatie
- toepassingsproxy toepassingen die gebruikmaken van Microsoft Entra Pre-Authentication
- Toepassingen die zijn gebouwd op het Microsoft Entra-toepassingsplatform dat gebruikmaakt van OAuth 2.0/OpenID Connect-verificatie nadat een gebruiker of beheerder toestemming heeft gegeven voor die toepassing. Bepaalde bedrijfstoepassingen bieden meer controle over wie zich mag aanmelden.
Wanneer gebruikerstoewijzing is vereist, kunnen alleen de gebruikers die u aan de toepassing toewijst (via directe gebruikerstoewijzing of op basis van groepslidmaatschap) zich aanmelden. Ze hebben toegang tot de app in de Mijn apps-portal of via een directe koppeling.
Wanneer gebruikerstoewijzing niet vereist is, zien niet-toegewezen gebruikers de app niet op hun Mijn apps, maar kunnen ze zich nog steeds aanmelden bij de toepassing zelf (ook wel door SP geïnitieerde aanmelding genoemd) of kunnen ze de URL voor gebruikerstoegang gebruiken op de pagina Eigenschappen van de toepassing (ook wel door IDP geïnitieerde aanmelding genoemd). Zie Een toepassing configureren voor meer informatie over het vereisen van configuraties voor gebruikerstoewijzingen
Deze instelling heeft geen invloed op het al dan niet weergeven van een toepassing op Mijn apps. Toepassingen worden weergegeven in de Mijn apps portal van gebruikers zodra u een gebruiker of groep aan de toepassing toewijst.
Notitie
Wanneer een toepassing toewijzing vereist, is gebruikerstoestemming voor die toepassing niet toegestaan. Dit geldt zelfs als gebruikers toestemming hebben gegeven voor die app anders zouden zijn toegestaan. Zorg ervoor dat u beheerderstoestemming voor de hele tenant verleent aan apps waarvoor toewijzing is vereist.
Voor sommige toepassingen is de optie om gebruikerstoewijzing te vereisen niet beschikbaar in de eigenschappen van de toepassing. In deze gevallen kunt u PowerShell gebruiken om de eigenschap appRoleAssignmentRequired in te stellen op de service-principal.
De gebruikerservaring bepalen voor toegang tot apps
Microsoft Entra ID biedt verschillende aanpasbare manieren om toepassingen te implementeren voor eindgebruikers in uw organisatie:
- Microsoft Entra Mijn apps
- Startprogramma voor Microsoft 365-toepassingen
- Directe aanmelding bij federatieve apps (service-pr)
- Uitgebreide koppelingen naar federatieve, wachtwoordgebaseerde of bestaande apps
U kunt bepalen of gebruikers die zijn toegewezen aan een bedrijfs-app deze kunnen zien in Mijn apps en het startprogramma voor Microsoft 365-toepassingen.
Voorbeeld: Complexe toepassingstoewijzing met Microsoft Entra-id
Overweeg een toepassing zoals Salesforce. In veel organisaties wordt Salesforce voornamelijk gebruikt door de marketing- en verkoopteams. Leden van het marketingteam hebben vaak zeer bevoorrechte toegang tot Salesforce, terwijl leden van het verkoopteam beperkte toegang krijgen. In veel gevallen krijgt een brede populatie informatiewerkers beperkte toegang tot de toepassing. Uitzonderingen op deze regels bemoeilijken zaken. Het is vaak het voorrecht van de marketing- of verkoopleiders om een gebruiker toegang te verlenen of hun rollen onafhankelijk van deze algemene regels te wijzigen.
Met Microsoft Entra ID kunnen toepassingen zoals Salesforce vooraf worden geconfigureerd voor eenmalige aanmelding (SSO) en geautomatiseerde inrichting. Zodra de toepassing is geconfigureerd, kan een beheerder de eenmalige actie ondernemen om de juiste groepen te maken en toe te wijzen. In dit voorbeeld kan een beheerder de volgende toewijzingen uitvoeren:
Dynamische groepen kunnen worden gedefinieerd om automatisch alle leden van de marketing- en verkoopteams te vertegenwoordigen met behulp van kenmerken zoals afdeling of rol:
- Alle leden van marketinggroepen worden toegewezen aan de rol 'marketing' in Salesforce
- Alle leden van verkoopteamgroepen worden toegewezen aan de rol 'verkoop' in Salesforce. Een verdere verfijning kan meerdere groepen gebruiken die regionale verkoopteams vertegenwoordigen die zijn toegewezen aan verschillende Salesforce-rollen.
Als u het uitzonderingsmechanisme wilt inschakelen, kan er een selfservicegroep worden gemaakt voor elke rol. De groep 'Salesforce-marketingonderzondering' kan bijvoorbeeld worden gemaakt als selfservicegroep. De groep kan worden toegewezen aan de salesforce-marketingrol en het marketingleiderschapsteam kan eigenaar worden gemaakt. Leden van het marketingleidersteam kunnen gebruikers toevoegen of verwijderen, een deelnamebeleid instellen of zelfs verzoeken van individuele gebruikers goedkeuren of weigeren om lid te worden. Dit mechanisme wordt ondersteund via een geschikte ervaring voor informatiewerkers waarvoor geen gespecialiseerde training voor eigenaren of leden is vereist.
In dit geval worden alle toegewezen gebruikers automatisch ingericht voor Salesforce. Wanneer ze worden toegevoegd aan verschillende groepen, wordt hun roltoewijzing bijgewerkt in Salesforce. Gebruikers kunnen Salesforce detecteren en openen via Mijn apps, Office-webclients of door naar hun aanmeldingspagina van Salesforce te gaan. Beheerders kunnen eenvoudig de gebruiks- en toewijzingsstatus bekijken met behulp van Microsoft Entra ID-rapportage.
Beheerders kunnen gebruikmaken van voorwaardelijke toegang van Microsoft Entra om toegangsbeleid voor specifieke rollen in te stellen. Deze beleidsregels kunnen omvatten of toegang is toegestaan buiten de bedrijfsomgeving en zelfs meervoudige verificatie of apparaatvereisten om toegang te krijgen in verschillende gevallen.
Toegang tot Microsoft-toepassingen
Microsoft-toepassingen (zoals Exchange, SharePoint, Yammer enzovoort) worden een beetje anders toegewezen en beheerd dan niet-Microsoft SaaS-toepassingen of andere toepassingen, die u integreert met Microsoft Entra ID voor eenmalige aanmelding.
Er zijn drie belangrijke manieren waarop een gebruiker toegang kan krijgen tot een door Microsoft gepubliceerde toepassing.
Voor toepassingen in de Microsoft 365- of andere betaalde suites krijgen gebruikers rechtstreeks toegang via licentietoewijzing aan hun gebruikersaccount of via een groep met behulp van onze mogelijkheid voor groepslicentietoewijzing.
Voor toepassingen die Door Microsoft of een niet-Microsoft-organisatie vrijelijk worden gepubliceerd voor iedereen die ze mogen gebruiken, kunnen gebruikers toegang krijgen via gebruikerstoestemming. De gebruikers melden zich aan bij de toepassing met hun Microsoft Entra-werk- of schoolaccount en staan toe dat deze toegang heeft tot een beperkt aantal gegevens in hun account.
Voor toepassingen die Door Microsoft of een niet-Microsoft-organisatie vrijelijk worden gepubliceerd voor iedereen die ze mogen gebruiken, kunnen gebruikers ook toegang krijgen via beheerderstoestemming. Dit betekent dat een beheerder heeft vastgesteld dat de toepassing door iedereen in de organisatie kan worden gebruikt, zodat ze zich aanmelden bij de toepassing met de rol Beheerder met bevoorrechte rollen en toegang verlenen aan iedereen in de organisatie.
Sommige toepassingen combineren deze methoden. Bepaalde Microsoft-toepassingen maken bijvoorbeeld deel uit van een Microsoft 365-abonnement, maar vereisen nog steeds toestemming.
Gebruikers hebben toegang tot Microsoft 365-toepassingen via hun Office 365-portals. U kunt Microsoft 365-toepassingen ook weergeven of verbergen in de Mijn apps met de zichtbaarheidsknop office 365 in de gebruikersinstellingen van uw adreslijst.
Net als bij zakelijke apps kunt u gebruikers toewijzen aan bepaalde Microsoft-toepassingen via het Microsoft Entra-beheercentrum of met behulp van PowerShell.
Toegang tot toepassingen voorkomen via lokale accounts
Met Microsoft Entra ID kan uw organisatie eenmalige aanmelding instellen om te beveiligen hoe gebruikers zich verifiëren bij toepassingen met voorwaardelijke toegang, meervoudige verificatie, enzovoort. Sommige toepassingen hebben in het verleden hun eigen lokale gebruikersarchief en stellen gebruikers in staat om zich aan te melden bij de toepassing met behulp van lokale referenties of een toepassingsspecifieke back-upverificatiemethode, in plaats van eenmalige aanmelding te gebruiken. Deze toepassingsmogelijkheden kunnen worden misbruikt en toestaan dat gebruikers toegang tot toepassingen behouden, zelfs nadat ze niet meer zijn toegewezen aan de toepassing in Microsoft Entra-id of zich niet meer kunnen aanmelden bij Microsoft Entra ID, en kunnen aanvallers proberen de toepassing te misbruiken zonder te worden weergegeven in de Microsoft Entra ID-logboeken. Om ervoor te zorgen dat aanmeldingen bij deze toepassingen worden beveiligd door Microsoft Entra-id:
- Bepaal welke toepassingen zijn verbonden met uw directory voor eenmalige aanmelding, zodat eindgebruikers eenmalige aanmelding kunnen omzeilen met een lokale toepassingsreferentie of een back-upverificatiemethode. U moet de documentatie van de toepassingsprovider raadplegen om te begrijpen of dit mogelijk is en welke instellingen beschikbaar zijn. Schakel vervolgens in deze toepassingen de instellingen uit waarmee eindgebruikers eenmalige aanmelding kunnen omzeilen. Test de eindgebruikerservaring is beveiligd door een browser te openen in InPrivate, verbinding te maken met de aanmeldingspagina van de toepassingen, de identiteit van een gebruiker in uw tenant op te geven en te controleren of er geen andere optie is dan via Microsoft Entra.
- Als uw toepassing een API biedt voor het beheren van gebruikerswachtwoorden, verwijdert u de lokale wachtwoorden of stelt u een uniek wachtwoord in voor elke gebruiker met behulp van de API's. Hiermee voorkomt u dat eindgebruikers zich met lokale referenties aanmelden bij de toepassing.
- Als uw toepassing een API biedt voor het beheren van gebruikers, configureert u Microsoft Entra-gebruikersinrichting voor die toepassing om gebruikersaccounts uit te schakelen of te verwijderen wanneer gebruikers niet langer binnen het bereik van de toepassing of de tenant vallen.