Integrando aplicativos com o Microsoft Entra ID e estabelecendo uma linha de base de acesso revisado

Depois de estabelecer as políticas para quem deve ter acesso a um aplicativo, você pode conectar seu aplicativo ao Microsoft Entra ID e, em seguida , implantar as políticas para controlar o acesso a eles.

O Microsoft Entra ID Governance pode ser integrado com muitos aplicativos, incluindo aplicativos bem conhecidos, como SAP R/3, SAP S/4HANA, e aqueles que usam padrões como OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP e REST. Por meio desses padrões, você pode usar o Microsoft Entra ID com muitos aplicativos SaaS populares e aplicativos locais, incluindo aplicativos que sua organização desenvolveu. Este plano de implantação aborda como conectar seu aplicativo ao Microsoft Entra ID e habilitar recursos de governança de identidade a serem usados para esse aplicativo.

Para que o Microsoft Entra ID Governance seja usado para um aplicativo, o aplicativo deve primeiro ser integrado ao Microsoft Entra ID e representado em seu diretório. Um aplicativo que está sendo integrado com o Microsoft Entra ID significa que um dos dois requisitos deve ser atendido:

• O aplicativo depende do Microsoft Entra ID para SSO federado e o Microsoft Entra ID controla a emissão do token de autenticação. Se o Microsoft Entra ID for o único provedor de identidade para o aplicativo, somente os usuários atribuídos a uma das funções do aplicativo no Microsoft Entra ID poderão entrar no aplicativo. Os usuários que perdem a atribuição de função de aplicativo não podem mais obter um novo token para entrar no aplicativo.
• O aplicativo depende de listas de usuários ou grupos que são fornecidas ao aplicativo pelo Microsoft Entra ID. Esse preenchimento pode ser feito por meio de um protocolo de provisionamento, como o SCIM, pelo aplicativo que consulta o ID do Microsoft Entra via Microsoft Graph, ou pelo aplicativo que usa o AD Kerberos para obter as associações de grupo de um usuário.

Se nenhum desses critérios for atendido para um aplicativo, por exemplo, quando o aplicativo não depende do Microsoft Entra ID, a governança de identidade ainda poderá ser usada. No entanto, pode haver algumas limitações ao usar a governança de identidade sem atender aos critérios. Por exemplo, os usuários que não estão em sua ID do Microsoft Entra, ou não estão atribuídos às funções de aplicativo na ID do Microsoft Entra, não serão incluídos nas revisões de acesso do aplicativo, até que você os atribua às funções do aplicativo. Para obter mais informações, consulte Preparando para uma revisão de acesso do acesso dos usuários a um aplicativo.

Integre o aplicativo com o Microsoft Entra ID para garantir que apenas usuários autorizados possam acessar o aplicativo

Normalmente, esse processo de integração de um aplicativo começa quando você configura esse aplicativo para confiar na ID do Microsoft Entra para autenticação do usuário, com uma conexão de protocolo de logon único (SSO) federado e, em seguida, adiciona provisionamento. Os protocolos mais usados para SSO são SAML e OpenID Connect. Você pode ler mais sobre as ferramentas e o processo para descobrir e migrar a autenticação de aplicativos para o Microsoft Entra ID.

Em seguida, se o aplicativo implementar um protocolo de provisionamento, você deverá configurar o Microsoft Entra ID para provisionar usuários para o aplicativo, para que o Microsoft Entra ID possa sinalizar para o aplicativo quando um usuário tiver recebido acesso ou o acesso de um usuário tiver sido removido. Esses sinais de provisionamento permitem que o aplicativo faça correções automáticas, como reatribuir conteúdo criado por um funcionário que saiu para seu gerente.

1. Verifique se o seu aplicativo está na lista de aplicativos corporativos ou na lista de registros de aplicativos. Se o aplicativo já estiver presente em seu locatário, pule para a etapa 5 nesta seção.

2. Se o seu aplicativo for um aplicativo SaaS que ainda não está registrado em seu locatário, verifique se o aplicativo está disponível na galeria de aplicativos para aplicativos que podem ser integrados para SSO federado. Se estiver na galeria, use os tutoriais para integrar o aplicativo com o Microsoft Entra ID.

   1. Siga o tutorial para configurar o aplicativo para SSO federado com o Microsoft Entra ID.
   2. Se o aplicativo oferecer suporte ao provisionamento, configure o aplicativo para provisionamento.
   3. Quando terminar, vá para a próxima seção deste artigo. Se o aplicativo SaaS não estiver na galeria, peça ao fornecedor de SaaS para integrar.

3. Se este for um aplicativo privado ou personalizado, você também poderá selecionar uma integração de logon único mais apropriada, com base no local e nos recursos do aplicativo.

   • Se este aplicativo estiver na nuvem pública e oferecer suporte ao logon único, configure o logon único diretamente do ID do Microsoft Entra para o aplicativo.

     Suporte a aplicativos	Próximos passos
     OpenID Connect	Adicionar um aplicativo OpenID Connect OAuth
     SAML 2.0	Registre o aplicativo e configure o aplicativo com os pontos de extremidade SAML e certificado do Microsoft Entra ID
     SAML 1,1	Adicionar um aplicativo baseado em SAML

   • Caso contrário, se este for um aplicativo local ou hospedado em IaaS que ofereça suporte ao logon único, configure o logon único da ID do Microsoft Entra para o aplicativo por meio do proxy do aplicativo.

     Suporte a aplicativos	Próximos passos
     SAML 2.0	Implantar o proxy de aplicativo e configurar um aplicativo para SAML SSO
     Autenticação integrada do Windows (IWA)	Implante o proxy de aplicativo, configure um aplicativo para SSO de autenticação integrada do Windows e defina regras de firewall para impedir o acesso aos pontos de extremidade do aplicativo, exceto por meio do proxy.
     Autenticação baseada em cabeçalho	Implantar o proxy de aplicativo e configurar um aplicativo para SSO baseado em cabeçalho

4. Se seu aplicativo tiver várias funções, cada usuário terá apenas uma função no aplicativo, e o aplicativo depende da ID do Microsoft Entra para enviar a única função específica do aplicativo de um usuário como uma declaração de um usuário entrando no aplicativo, configure essas funções de aplicativo no ID do Microsoft Entra em seu aplicativo e atribua cada usuário à função do aplicativo. Você pode usar a interface do usuário de funções do aplicativo para adicionar essas funções ao manifesto do aplicativo. Se você estiver usando as Bibliotecas de Autenticação da Microsoft, há um exemplo de código sobre como usar funções de aplicativo dentro do seu aplicativo para controle de acesso. Se um usuário puder ter várias funções simultaneamente, talvez você queira implementar o aplicativo para verificar grupos de segurança, seja nas declarações de token ou disponíveis via Microsoft Graph, em vez de usar funções de aplicativo do manifesto do aplicativo para controle de acesso.

5. Se o aplicativo oferecer suporte ao provisionamento, configure o provisionamento de usuários e grupos atribuídos do Microsoft Entra ID para esse aplicativo. Se este for um aplicativo privado ou personalizado, você também poderá selecionar a integração mais apropriada, com base no local e nos recursos do aplicativo.

   • Se esse aplicativo depender do SAP Cloud Identity Services, configure o provisionamento de usuários via SCIM no SAP Cloud Identity Services.

     Suporte a aplicativos	Próximos passos
     Serviços SAP Cloud Identity	Configurar o ID do Microsoft Entra para provisionar usuários no SAP Cloud Identity Services

   • Se este aplicativo estiver na nuvem pública e suportar SCIM, configure o provisionamento de usuários via SCIM.

     Suporte a aplicativos	Próximos passos
     SCIM	Configurar um aplicativo com SCIM para provisionamento de usuários

   • Se este aplicativo usar o AD, configure o write-back do grupo e atualize o aplicativo para usar os grupos criados pelo Microsoft Entra ID ou aninhar os grupos criados pelo Microsoft Entra ID nos grupos de segurança do AD existentes dos aplicativos.

     Suporte a aplicativos	Próximos passos
     Kerberos	Configure o write-back do grupo do Microsoft Entra Cloud Sync para AD, crie grupos no Microsoft Entra ID e grave esses grupos no AD

   • Caso contrário, se este for um aplicativo local ou hospedado em IaaS e não estiver integrado ao AD, configure o provisionamento para esse aplicativo, seja via SCIM ou para o banco de dados ou diretório subjacente do aplicativo.

     Suporte a aplicativos	Próximos passos
     SCIM	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em SCIM
     contas de usuário locais, armazenadas em um banco de dados SQL	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em SQL
     contas de usuário locais, armazenadas em um diretório LDAP	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em LDAP
     contas de usuário locais, gerenciadas por meio de uma API SOAP ou REST	Configurar um aplicativo com o agente de provisionamento com o Web Services Connector
     contas de usuário locais, gerenciadas por meio de um conector MIM	Configurar um aplicativo com o agente de provisionamento com um conector personalizado
     SAP ECC com NetWeaver AS ABAP 7.0 ou posterior	configurar um aplicativo com o agente de provisionamento com um conector de serviços Web configurado para SAP ECC

6. Se o seu aplicativo usa o Microsoft Graph para consultar grupos do Microsoft Entra ID, consinta que os aplicativos tenham as permissões apropriadas para ler do seu locatário.

7. Defina que o acesso ao aplicativo só é permitido para usuários atribuídos ao aplicativo. Essa configuração impede que os usuários vejam inadvertidamente o aplicativo em MyApps e tentem entrar no aplicativo, antes que as políticas de Acesso Condicional sejam habilitadas.

Realizar uma revisão de acesso inicial

Se este for um novo aplicativo que sua organização não usou antes e, portanto, ninguém tiver acesso pré-existente, ou se você já estiver realizando revisões de acesso para esse aplicativo, pule para a próxima seção.

No entanto, se o aplicativo já existia em seu ambiente, é possível que os usuários tenham obtido acesso no passado por meio de processos manuais ou fora de banda, e esses usuários agora devem ser revisados para ter a confirmação de que seu acesso ainda é necessário e apropriado no futuro. Recomendamos realizar uma revisão de acesso dos usuários que já têm acesso ao aplicativo, antes de habilitar políticas para que mais usuários possam solicitar acesso. Esta revisão define uma linha de base de todos os usuários que foram revisados pelo menos uma vez, para garantir que esses usuários estejam autorizados para acesso contínuo.

1. Siga as etapas em Preparando para uma revisão de acesso do acesso dos usuários a um aplicativo.
2. Se o aplicativo não estava usando o Microsoft Entra ID ou AD, mas suporta um protocolo de provisionamento ou tinha um banco de dados SQL ou LDAP subjacente, traga todos os usuários existentes e crie atribuições de função de aplicativo para eles.
3. Se o aplicativo não estava usando o Microsoft Entra ID ou AD e não oferece suporte a um protocolo de provisionamento, obtenha uma lista de usuários do aplicativo e crie atribuições de função de aplicativo para cada um deles.
4. Se o aplicativo estava usando grupos de segurança do AD, você precisará revisar a associação desses grupos de segurança.
5. Se o aplicativo tinha seu próprio diretório ou banco de dados e não estava integrado para provisionamento, assim que a revisão for concluída, talvez seja necessário atualizar manualmente o banco de dados ou diretório interno do aplicativo para remover os usuários que foram negados.
6. Se o aplicativo estava usando grupos de segurança do AD e esses grupos foram criados no AD, assim que a revisão for concluída, você precisará atualizar manualmente os grupos do AD para remover as associações desses usuários que foram negados. Posteriormente, para que os direitos de acesso negados sejam removidos automaticamente, você pode atualizar o aplicativo para usar um grupo do AD que foi criado na ID do Microsoft Entra e gravado de volta na ID do Microsoft Entra ou mover a associação do grupo AD para o grupo do Microsoft Entra e aninhar o grupo de volta escrito como o único membro do grupo AD.
7. Depois que a revisão for concluída e o acesso ao aplicativo atualizado, ou se nenhum usuário tiver acesso, continue para as próximas etapas para implantar o Acesso Condicional e as políticas de gerenciamento de direitos para o aplicativo.

Agora que você tem uma linha de base que garante que o acesso existente foi revisado, então você pode implantar as políticas da organização para acesso contínuo e quaisquer novas solicitações de acesso.

Próximos passos

• Implantar políticas de governança