Samouczek dotyczący konfigurowania rozwiązania Saviynt za pomocą usługi Azure Active Directory B2C

  • Artykuł

Dowiedz się, jak zintegrować usługę Azure Active Directory B2C (Azure AD B2C) z platformą Saviynt Security Manager, która ma wgląd, zabezpieczenia i ład. Saviynt obejmuje ryzyko i ład aplikacji, zarządzanie infrastrukturą, uprzywilejowane zarządzanie kontami i analizę ryzyka klienta.

Dowiedz się więcej: Saviynt dla usługi Azure AD B2C

Skorzystaj z poniższych instrukcji, aby skonfigurować delegowanie kontroli dostępu dla użytkowników usługi Azure AD B2C. Saviynt określa, czy użytkownik ma uprawnienia do zarządzania użytkownikami usługi Azure AD B2C za pomocą następujących funkcji:

  • Zabezpieczenia na poziomie funkcji umożliwiające określenie, czy użytkownicy mogą wykonać operację
    • Na przykład utwórz użytkownika, zaktualizuj użytkownika, zresetuj hasło użytkownika itd.
  • Zabezpieczenia na poziomie pola umożliwiające określenie, czy użytkownicy mogą odczytywać/zapisywać atrybuty użytkownika podczas operacji zarządzania użytkownikami
    • Na przykład agent pomocy technicznej może zaktualizować numer telefonu; inne atrybuty są tylko do odczytu
  • Zabezpieczenia na poziomie danych umożliwiające określenie, czy użytkownicy mogą wykonać operację na innym użytkowniku
    • Na przykład administrator pomocy technicznej w regionie Zjednoczonego Królestwa zarządza użytkownikami w Wielkiej Brytanii

Wymagania wstępne

Aby rozpocząć pracę, potrzebne będą następujące elementy:

Opis scenariusza

Integracja programu Saviynt obejmuje następujące składniki:

  • Azure AD B2C — tożsamość jako usługa służąca do niestandardowej kontroli rejestracji, logowania i zarządzania profilami klientów
  • Saviynt for Azure AD B2C — zarządzanie tożsamościami na potrzeby delegowanego administrowania zarządzaniem cyklem życia użytkowników i zarządzaniem dostępem
  • Interfejs API programu Microsoft Graph — interfejs dla programu Saviynt do zarządzania użytkownikami usługi Azure AD B2C i ich dostępem

Poniższy diagram architektury ilustruje implementację.

Diagram of the Saviynt architecture.

  1. Administrator delegowany uruchamia operację użytkownika usługi Azure AD B2C z aplikacją Saviynt.
  2. Saviynt sprawdza, czy delegowany administrator może wykonać operację.
  3. Saviynt wysyła odpowiedź na powodzenie autoryzacji lub niepowodzenie.
  4. Saviynt umożliwia administratorowi delegowanemu wykonywanie operacji.
  5. Saviynt wywołuje interfejs API programu Microsoft Graph z atrybutami użytkownika w celu zarządzania użytkownikiem w usłudze Azure AD B2C.
  6. Interfejs API programu Microsoft Graph tworzy, aktualizuje lub usuwa użytkownika w usłudze Azure AD B2C.
  7. Usługa Azure AD B2C wysyła odpowiedź z informacją o powodzeniu lub niepowodzeniu.
  8. Interfejs API programu Microsoft Graph zwraca odpowiedź saviynt.

Tworzenie konta Saviynt i tworzenie zasad delegowanych

  1. Utwórz konto Saviynt. Aby rozpocząć, przejdź do saviynt.com Skontaktuj się z nami.
  2. Utwórz delegowane zasady administracyjne.
  3. Przypisz użytkownikom rolę administratora delegowanego.

Konfigurowanie usługi Azure AD B2C za pomocą rozwiązania Saviynt

Skorzystaj z poniższych instrukcji, aby utworzyć aplikację, usunąć użytkowników i nie tylko.

Tworzenie aplikacji Firmy Microsoft Entra dla saviynt

Aby uzyskać poniższe instrukcje, użyj katalogu z dzierżawą usługi Azure AD B2C.

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku narzędzi portalu wybierz pozycję Katalogi i subskrypcje.

  3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C.

  4. Wybierz opcję Przełącz.

  5. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

  6. Wybierz pozycję Rejestracje aplikacji> Nowa rejestracja.

  7. Wprowadź nazwę aplikacji. Na przykład Saviynt.

  8. Wybierz pozycję Utwórz.

  9. Przejdź do obszaru Uprawnienia interfejsu API.

  10. Wybierz + Dodaj uprawnienie.

  11. Zostanie wyświetlona strona Uprawnienia interfejsu API żądania.

  12. Wybierz kartę Interfejsy API firmy Microsoft.

  13. Wybierz pozycję Microsoft Graph jako najczęściej używane interfejsy API firmy Microsoft.

  14. Przejdź do następnej strony.

  15. Wybierz Uprawnienia aplikacji.

  16. Wybierz pozycję Katalog.

  17. Zaznacz pola wyboru Directory.Read.All i Directory.ReadWrite.All.

  18. Wybierz pozycję Dodaj uprawnienia.

  19. Przejrzyj uprawnienia.

  20. Wybierz pozycję Udziel zgody administratora dla katalogu domyślnego.

  21. Wybierz pozycję Zapisz.

  22. Przejdź do pozycji Certyfikaty i wpisy tajne.

  23. Wybierz pozycję + Dodaj klucz tajny klienta.

  24. Wprowadź opis wpisu tajnego klienta.

  25. Wybierz opcję wygaśnięcia.

  26. Wybierz pozycję Dodaj.

  27. Klucz tajny jest wyświetlany w sekcji Klucz tajny klienta. Zapisz klucz tajny klienta, aby użyć go później.

  28. Przejdź do obszaru Przegląd.

  29. Skopiuj identyfikator klienta i identyfikator dzierżawy.

Zapisz identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta, aby ukończyć konfigurację.

Włączanie programu Saviynt w celu usunięcia użytkowników

Włącz program Saviynt, aby wykonywać operacje usuwania użytkownika w usłudze Azure AD B2C.

Dowiedz się więcej: Obiekty aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft

  1. Zainstaluj najnowszą wersję modułu Programu PowerShell programu Microsoft Graph na stacji roboczej lub serwerze z systemem Windows.

Aby uzyskać więcej informacji, zobacz dokumentację programu Microsoft Graph PowerShell.

  1. Połączenie do modułu programu PowerShell i wykonaj następujące polecenia:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Testowanie rozwiązania

Przejdź do dzierżawy aplikacji Saviynt i przetestuj przypadki użycia zarządzania cyklem życia użytkownika i dostępu do ładu.

Następne kroki