Co to jest zarządzanie aplikacjami w usłudze Azure Active Directory?

Zarządzanie aplikacjami w usłudze Azure Active Directory (Azure AD) to proces tworzenia, konfigurowania i monitorowania aplikacji oraz zarządzania nimi w chmurze. Po zarejestrowaniu aplikacji w dzierżawie Azure AD użytkownicy, którym przypisano aplikację, mogą bezpiecznie uzyskiwać do niej dostęp. Wiele typów aplikacji można zarejestrować w Azure AD. Aby uzyskać więcej informacji, zobacz Typy aplikacji dla platformy tożsamości firmy Microsoft.

W tym artykule przedstawiono następujące ważne aspekty zarządzania cyklem życia aplikacji:

  • Opracowywanie, dodawanie lub łączenie — różne ścieżki są zależne od tego, czy tworzysz własną aplikację, korzystasz ze wstępnie zintegrowanej aplikacji, czy łączysz się z aplikacją lokalną.
  • Zarządzanie dostępem — dostęp można zarządzać przy użyciu logowania jednokrotnego (SSO), przypisywania zasobów, definiowania sposobu udzielania i wyrażania zgody na dostęp oraz korzystania z automatycznej aprowizacji.
  • Konfigurowanie właściwości — skonfiguruj wymagania dotyczące logowania się do aplikacji i sposobu, w jaki aplikacja jest reprezentowana w portalach użytkowników.
  • Zabezpieczanie aplikacji — zarządzanie konfiguracją uprawnień, uwierzytelnianiem wieloskładnikowym (MFA), dostępem warunkowym, tokenami i certyfikatami.
  • Zarządzanie i monitorowanie — zarządzanie interakcjami i przeglądanie działań przy użyciu zarządzania upoważnieniami oraz raportowania i monitorowania zasobów.
  • Czyszczenie — gdy aplikacja nie jest już potrzebna, wyczyść dzierżawę, usuwając dostęp do niej i usuwając ją.

Tworzenie, dodawanie lub łączenie

Istnieje kilka sposobów zarządzania aplikacjami w Azure AD. Najprostszym sposobem rozpoczęcia zarządzania aplikacją jest użycie wstępnie zintegrowanej aplikacji z galerii Azure AD. Tworzenie własnej aplikacji i rejestrowanie jej Azure AD jest opcją lub możesz nadal używać aplikacji lokalnej.

Na poniższej ilustracji przedstawiono sposób interakcji tych aplikacji z Azure AD.

Diagram przedstawiający sposób użycia własnych aplikacji, wstępnie zintegrowanych aplikacji i aplikacji lokalnych jako aplikacji dla przedsiębiorstw.

Wstępnie zintegrowane aplikacje

Wiele aplikacji jest już wstępnie zintegrowanych (pokazanych jako "Aplikacje w chmurze" na powyższej ilustracji) i można je skonfigurować przy minimalnym nakładzie pracy. Każda aplikacja w galerii Azure AD zawiera dostępny artykuł pokazujący kroki wymagane do skonfigurowania aplikacji. Aby zapoznać się z prostym przykładem dodawania aplikacji do dzierżawy Azure AD z galerii, zobacz Szybki start: dodawanie aplikacji dla przedsiębiorstw.

Własne aplikacje

Jeśli tworzysz własną aplikację biznesową, możesz zarejestrować ją w Azure AD, aby korzystać z funkcji zabezpieczeń oferowanych przez dzierżawę. Aplikację można zarejestrować w obszarze Rejestracje aplikacji lub zarejestrować ją przy użyciu linku Tworzenie własnej aplikacji podczas dodawania nowej aplikacji w aplikacjach dla przedsiębiorstw. Zastanów się, jak uwierzytelnianie jest implementowane w aplikacji na potrzeby integracji z Azure AD.

Jeśli chcesz udostępnić aplikację za pośrednictwem galerii, możesz przesłać żądanie dodania jej.

Aplikacje lokalne

Jeśli chcesz nadal korzystać z aplikacji lokalnej, ale skorzystaj z ofert Azure AD, połącz ją z Azure AD przy użyciu Azure AD serwer proxy aplikacji. serwer proxy aplikacji można zaimplementować, gdy chcesz publikować aplikacje lokalne zewnętrznie. Użytkownicy zdalni, którzy potrzebują dostępu do aplikacji wewnętrznych, mogą uzyskiwać do nich dostęp w bezpieczny sposób.

Zarządzanie dostępem

Aby zarządzać dostępem do aplikacji, należy odpowiedzieć na następujące pytania:

  • W jaki sposób udzielono dostępu i udzielono zgody aplikacji?
  • Czy aplikacja obsługuje logowanie jednokrotne?
  • Którzy użytkownicy, grupy i właściciele powinni być przypisani do aplikacji?
  • Czy istnieją inni dostawcy tożsamości, którzy obsługują aplikację?
  • Czy warto zautomatyzować aprowizowanie tożsamości i ról użytkowników?

Możesz zarządzać ustawieniami zgody użytkownika , aby wybrać, czy użytkownicy mogą zezwolić aplikacji lub usłudze na dostęp do profilów użytkowników i danych organizacji. Gdy aplikacje uzyskują dostęp, użytkownicy mogą logować się do aplikacji zintegrowanych z Azure AD, a aplikacja może uzyskiwać dostęp do danych organizacji w celu dostarczania rozbudowanych środowisk opartych na danych.

Użytkownicy często nie mogą wyrazić zgody na uprawnienia, których żąda aplikacja. Skonfiguruj przepływ pracy zgody administratora, aby umożliwić użytkownikom przedstawienie uzasadnienia i zażądanie przeglądu i zatwierdzenia aplikacji przez administratora. Aby dowiedzieć się, jak skonfigurować przepływ pracy zgody administratora w dzierżawie Azure AD, zobacz Konfigurowanie przepływu pracy zgody administratora.

Jako administrator możesz udzielić aplikacji zgody administratora dla całej dzierżawy . Zgoda administratora dla całej dzierżawy jest niezbędna, gdy aplikacja wymaga uprawnień, które regularne użytkownicy nie mogą udzielać, i umożliwia organizacjom implementowanie własnych procesów przeglądu. Przed udzieleniem zgody należy zawsze dokładnie przejrzeć uprawnienia, których aplikacja żąda. Po udzieleniu zgody administratora dla całej dzierżawy wszyscy użytkownicy będą mogli zalogować się do aplikacji, chyba że została skonfigurowana do wymagania przypisania użytkownika.

Logowanie jednokrotne

Rozważ zaimplementowanie logowania jednokrotnego w aplikacji. Większość aplikacji na potrzeby logowania jednokrotnego można skonfigurować ręcznie. Najpopularniejszymi opcjami w Azure AD są logowanie jednokrotne oparte na protokole SAML i logowanie jednokrotne oparte na protokole OpenID Connect. Przed rozpoczęciem upewnij się, że rozumiesz wymagania dotyczące logowania jednokrotnego i sposób planowania wdrożenia. Aby dowiedzieć się, jak skonfigurować logowanie jednokrotne oparte na protokole SAML dla aplikacji dla przedsiębiorstw w dzierżawie Azure AD, zobacz Włączanie logowania jednokrotnego dla aplikacji przy użyciu usługi Azure Active Directory.

Przypisanie użytkownika, grupy i właściciela

Domyślnie wszyscy użytkownicy mogą uzyskiwać dostęp do aplikacji dla przedsiębiorstw bez przypisywanych do nich. Jeśli jednak chcesz przypisać aplikację do zestawu użytkowników, aplikacja wymaga przypisania użytkownika. Aby zapoznać się z prostym przykładem tworzenia i przypisywania konta użytkownika do aplikacji, zobacz Szybki start: tworzenie i przypisywanie konta użytkownika.

Jeśli została uwzględniona w subskrypcji, przypisz grupy do aplikacji , aby można było delegować bieżące zarządzanie dostępem do właściciela grupy.

Przypisywanie właścicieli to prosty sposób udzielania możliwości zarządzania wszystkimi aspektami konfiguracji Azure AD dla aplikacji. Jako właściciel użytkownik może zarządzać konfiguracją aplikacji specyficzną dla organizacji.

Automatyzowanie aprowizacji

Aprowizowanie aplikacji odnosi się do automatycznego tworzenia tożsamości i ról użytkowników w aplikacjach, do których użytkownicy muszą uzyskiwać dostęp. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról.

Dostawcy tożsamości

Czy masz dostawcę tożsamości, z którym chcesz Azure AD korzystać? Odnajdywanie obszaru głównego udostępnia konfigurację, która umożliwia Azure AD określenie dostawcy tożsamości, za pomocą którego użytkownik musi się uwierzytelnić podczas logowania.

Portale użytkowników

Azure AD zapewnia dostosowywalne sposoby wdrażania aplikacji dla użytkowników w organizacji. Na przykład portal Moje aplikacje lub uruchamianie aplikacji platformy Microsoft 365. Moje aplikacje daje użytkownikom jedno miejsce na rozpoczęcie pracy i znalezienie wszystkich aplikacji, do których mają dostęp. Jako administrator aplikacji należy zaplanować, w jaki sposób użytkownicy w organizacji będą używać Moje aplikacje.

Konfigurowanie właściwości

Po dodaniu aplikacji do dzierżawy Azure AD możesz skonfigurować właściwości wpływające na sposób interakcji użytkowników z aplikacją. Można włączyć lub wyłączyć możliwość logowania i przypisywania użytkownika może być wymagana. Można również określić widoczność aplikacji, jakie logo reprezentuje aplikację, oraz wszelkie uwagi dotyczące aplikacji. Aby uzyskać więcej informacji na temat właściwości, które można skonfigurować, zobacz Właściwości aplikacji dla przedsiębiorstw.

Zabezpieczanie aplikacji

Dostępnych jest kilka metod ułatwiania zabezpieczania aplikacji dla przedsiębiorstw. Można na przykład ograniczyć dostęp do dzierżawy, zarządzać widocznością, danymi i analizami oraz ewentualnie zapewnić dostęp hybrydowy. Zabezpieczanie aplikacji dla przedsiębiorstw obejmuje również zarządzanie konfiguracją uprawnień, uwierzytelniania wieloskładnikowego, dostępu warunkowego, tokenów i certyfikatów.

Uprawnienia

Ważne jest, aby okresowo przeglądać i w razie potrzeby zarządzać uprawnieniami przyznanymi aplikacji lub usłudze. Upewnij się, że zezwalasz tylko na odpowiedni dostęp do aplikacji, regularnie oceniając, czy istnieje podejrzane działanie.

Klasyfikacje uprawnień umożliwiają identyfikowanie wpływu różnych uprawnień zgodnie z zasadami organizacji i ocenami ryzyka. Na przykład można użyć klasyfikacji uprawnień w zasadach zgody, aby zidentyfikować zestaw uprawnień, na które użytkownicy mogą wyrazić zgodę.

Uwierzytelnianie wieloskładnikowe i dostęp warunkowy

Azure AD uwierzytelnianie wieloskładnikowe pomaga chronić dostęp do danych i aplikacji, zapewniając kolejną warstwę zabezpieczeń przy użyciu drugiej formy uwierzytelniania. Istnieje wiele metod, których można użyć do uwierzytelniania dwuskładnikowego. Przed rozpoczęciem zaplanuj wdrożenie usługi MFA dla aplikacji w organizacji.

Organizacje mogą włączyć uwierzytelnianie wieloskładnikowe z dostępem warunkowym , aby rozwiązanie pasowało do konkretnych potrzeb. Zasady dostępu warunkowego umożliwiają administratorom przypisywanie kontrolek do określonych aplikacji, akcji lub kontekstu uwierzytelniania.

Tokeny i certyfikaty

Różne typy tokenów zabezpieczających są używane w przepływie uwierzytelniania w Azure AD w zależności od używanego protokołu. Na przykład tokeny SAML są używane dla protokołu SAML, a tokeny identyfikatorów i tokeny dostępu są używane dla protokołu OpenID Connect. Tokeny są podpisane przy użyciu unikatowego certyfikatu wygenerowanego w Azure AD i przez określone algorytmy standardowe.

Możesz zapewnić większe bezpieczeństwo, szyfrując token. Możesz również zarządzać informacjami w tokenie, w tym rolami dozwolonymi dla aplikacji.

Azure AD domyślnie używa algorytmu SHA-256 do podpisania odpowiedzi SAML. Użyj algorytmu SHA-256, chyba że aplikacja wymaga algorytmu SHA-1. Ustanów proces zarządzania okresem istnienia certyfikatu. Maksymalny okres istnienia certyfikatu podpisywania wynosi trzy lata. Aby zapobiec wygaśnięciu certyfikatu lub zminimalizować jego awarię, użyj ról i list dystrybucyjnych poczty e-mail, aby upewnić się, że powiadomienia o zmianach związane z certyfikatami są ściśle monitorowane.

Zarządzanie i monitorowanie

Zarządzanie upoważnieniami w Azure AD umożliwia zarządzanie interakcjami między aplikacjami i administratorami, właścicielami katalogu, menedżerami pakietów dostępu, osobami zatwierdzających i osobami żądających.

Rozwiązanie do raportowania i monitorowania Azure AD zależy od wymagań prawnych, zabezpieczeń i operacyjnych oraz istniejącego środowiska i procesów. Istnieje kilka dzienników, które są przechowywane w Azure AD i należy zaplanować wdrażanie raportowania i monitorowania, aby zachować najlepsze środowisko aplikacji.

Czyszczenie

Możesz wyczyścić dostęp do aplikacji. Na przykład usunięcie dostępu użytkownika. Możesz również wyłączyć sposób logowania użytkownika. Na koniec możesz usunąć aplikację, jeśli nie jest już potrzebna w organizacji. Aby zapoznać się z prostym przykładem usuwania aplikacji dla przedsiębiorstw z dzierżawy Azure AD, zobacz Szybki start: usuwanie aplikacji dla przedsiębiorstw.

Następne kroki