Integrar aplicativos à ID do Microsoft Entra e estabelecer uma linha de base de acesso revisado

Depois de estabelecer as políticas sobre quem deve ter acesso a um aplicativo, conecte seu aplicativo à ID do Microsoft Entra e implante as políticas para controlar o acesso a ele.

O Microsoft Entra ID Governance pode ser integrado a muitos aplicativos, incluindo aplicativos conhecidos como SAP R/3, SAP S/4HANA e aqueles que usam padrões como OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP e REST. Com esses padrões, você pode usar a ID do Microsoft Entra com muitos aplicativos SaaS populares e aplicativos locais, incluindo aqueles desenvolvidos pela sua organização. Este plano de implantação aborda como conectar seu aplicativo à ID do Microsoft Entra e habilitar os recursos de governança de identidade a serem usados para ele.

Para que o Microsoft Entra ID Governance seja usado em um aplicativo, o aplicativo precisa primeiro ser integrado ao Microsoft Entra ID e representado no seu diretório. Um aplicativo integrado à ID do Microsoft Entra significa que um destes dois requisitos precisa ser atendido:

• O aplicativo depende do Microsoft Entra ID para o SSO federado, e o Microsoft Entra ID controla a emissão de tokens de autenticação. Se o Microsoft Entra ID for o único provedor de identidade do aplicativo, somente os usuários atribuídos a uma das funções do aplicativo no Microsoft Entra ID poderão entrar no aplicativo. Os usuários que perderam a atribuição de função de um aplicativo não podem mais obter um novo token para entrar nele.
• O aplicativo depende de listas de usuários ou de grupos que recebe da ID do Microsoft Entra. Esse cumprimento pode ser feito por meio de um protocolo de provisionamento, como o SCIM, pelo aplicativo consultando a ID do Microsoft Entra por meio do Microsoft Graph ou pelo aplicativo usando o Kerberos do AD para obter as associações a um grupo de um usuário.

Se nenhum desses critérios for atendido por um aplicativo, por exemplo, quando o aplicativo não depender da ID do Microsoft Entra, a governança de identidade ainda poderá ser usada. No entanto, pode haver algumas limitações ao se usar a governança de identidade sem atender aos critérios. Por exemplo, os usuários que não estão na sua ID do Microsoft Entra ou que não receberam funções de aplicativo na ID do Microsoft Entra só serão incluídos nas revisões de acesso do aplicativo depois que você atribuí-los a funções de aplicativo. Para mais informações, consulte Preparar-se para uma revisão de acesso de usuários a um aplicativo.

Integrar o aplicativo à ID do Microsoft Entra para garantir que somente os usuários autorizados possam acessar o aplicativo

Normalmente, esse processo de integração de um aplicativo começa quando você configura esse aplicativo para depender da ID do Microsoft Entra para a autenticação de usuário, com uma conexão de protocolo SSO (logon único) federado e, em seguida, adiciona o provisionamento. Os protocolos mais usados para SSO são SAML e OpenID Connect. Leia mais sobre as ferramentas e o processo de descoberta e migração da autenticação do aplicativo para a ID do Microsoft Entra.

Em seguida, se o aplicativo implementar um protocolo de provisionamento, você deverá configurar a ID do Microsoft Entra para provisionar usuários para o aplicativo, de modo que a ID do Microsoft Entra possa sinalizar para o aplicativo quando um usuário receber acesso ou tiver o acesso removido. Esses sinais de provisionamento permitem que o aplicativo faça correções automáticas, como reatribuir para o gerente o conteúdo criado por um funcionário que deixou a empresa.

1. Verifique se o seu aplicativo está na lista de aplicativos empresariais ou na lista de registros de aplicativo. Se o aplicativo já estiver presente em seu locatário, pule para a etapa 5 nesta seção.

2. Se o aplicativo for um aplicativo SaaS ainda não registrado no seu locatário, verifique se o aplicativo está disponível na galeria de aplicativos para aplicativos que podem ser integrados ao SSO federado. Se ele estiver na galeria, use os tutoriais para integrar o aplicativo à ID do Microsoft Entra.

   1. Siga o tutorial para configurar o aplicativo para o SSO federado com a ID do Microsoft Entra.
   2. Se esse aplicativo tiver suporte para provisionamento, configure o aplicativo para provisionamento.
   3. Quando concluir, pule para a próxima seção neste artigo. Se o aplicativo SaaS não estiver na galeria, peça ao fornecedor SaaS para integrá-lo.

3. Se esse for um aplicativo particular ou personalizado, você também poderá selecionar uma integração de logon único mais apropriada com base no local e nas funcionalidades do aplicativo.

   • Se esse aplicativo estiver na nuvem pública e der suporte ao logon único, configure o logon único diretamente na ID do Microsoft Entra para o aplicativo.

     Suporte ao aplicativo	Próximas etapas
     OpenID Connect	Adicionar um aplicativo OAuth do OpenID Connect
     SAML 2.0	Registre o aplicativo e configure-o com os pontos de extremidade SAML e o certificado da ID do Microsoft Entra
     SAML 1.1	Adicionar um aplicativo baseado em SAML

   • Caso contrário, se esse for um aplicativo hospedado IaaS ou local que dê suporte ao logon único, configure o logon único na ID do Microsoft Entra para o aplicativo por meio do proxy de aplicativo.

     Suporte ao aplicativo	Próximas etapas
     SAML 2.0	Implantar o proxy de aplicativo e configurar um aplicativo para SSO do SAML
     Autenticação integrada do Windows (IWA)	Implante o proxy de aplicativo, configure um aplicativo para SSO de autenticação integrada do Windows e defina regras de firewall para impedir o acesso aos pontos de extremidade do aplicativo, exceto por meio do proxy.
     Autenticação baseada em cabeçalho	Implantar o proxy de aplicativo e configurar um aplicativo para SSO baseado em cabeçalho

4. Se o aplicativo tiver várias funções, cada usuário tiver apenas uma função de aplicativo e o aplicativo contar com o Microsoft Entra ID para enviar uma função específica do aplicativo único de um usuário como uma declaração de uma entrada de usuário no aplicativo, configure essas funções do aplicativo no Microsoft Entra ID em seu aplicativo e atribua cada usuário à função de aplicativo. Use a Interface do usuário das funções de aplicativo para adicionar essas funções ao manifesto do aplicativo. Se você estiver usando as Bibliotecas de Autenticação da Microsoft, há um exemplo de código sobre como usar funções de aplicativo dentro do seu aplicativo para controle de acesso. Se um usuário puder ter várias funções simultaneamente, talvez você queira implementar o aplicativo para verificar os grupos de segurança, seja nas declarações de token ou na disponibilidade via Microsoft Graph, em vez de usar funções de aplicativo do manifesto do aplicativo para controle de acesso.

5. Se o aplicativo der suporte ao provisionamento, configure o provisionamento de usuários e grupos atribuídos da ID do Microsoft Entra para esse aplicativo. Se esse for um aplicativo particular ou personalizado, você também poderá selecionar uma integração mais adequada com base no local e nas funcionalidades do aplicativo.

   • Se esse aplicativo depender do SAP Cloud Identity Services, configure o provisionamento de usuários via SCIM no SAP Cloud Identity Services.

     Suporte ao aplicativo	Próximas etapas
     SAP Cloud Identity Services	Configurar o Microsoft Entra ID para provisionar usuários no SAP Cloud Identity Services

   • Se esse aplicativo estiver na nuvem pública e der suporte ao SCIM, configure o provisionamento de usuários por meio do SCIM.

     Suporte ao aplicativo	Próximas etapas
     SCIM	Configurar um aplicativo com SCIM para provisionamento de usuário

   • Se esse aplicativo usar o AD, configure o write-back de grupo e atualize o aplicativo para usar os grupos criados pela ID do Microsoft Entra ou aninhe os grupos criados pela ID do Microsoft Entra nos grupos de segurança do AD existentes dos aplicativos.

     Suporte ao aplicativo	Próximas etapas
     Kerberos	Configurar o write-back de grupo para o AD da Sincronização na Nuvem do Microsoft Entra, criar grupos no Microsoft Entra ID e gravar os grupos no AD

   • Caso contrário, se esse for um aplicativo hospedado IaaS ou local, e não estiver integrado ao AD, configure o provisionamento para esse aplicativo, seja via SCIM ou para o banco de dados ou diretório subjacente do aplicativo.

     Suporte ao aplicativo	Próximas etapas
     SCIM	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em SCIM
     contas de usuário locais armazenadas em um banco de dados SQL	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em SQL
     contas de usuário locais, armazenadas em um diretório LDAP	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em LDAP
     contas de usuário locais, gerenciadas por meio de uma API SOAP ou REST	configurar um aplicativo com o agente de provisionamento com o conector de serviços Web
     contas de usuário locais, gerenciadas por meio de um conector MIM	configurar um aplicativo com o agente de provisionamento com um conector personalizado
     SAP ECC com NetWeaver AS ABAP 7.0 ou posterior	configurar um aplicativo com o agente de provisionamento com um conector de serviços Web

6. Se o aplicativo usar o Microsoft Graph para consultar grupos na ID do Microsoft Entra, forneça o consentimento para que os aplicativos tenham as permissões apropriadas de leitura no locatário.

7. Definir esse acesso ao aplicativo só é permitido para usuários atribuídos ao aplicativo. Essa configuração impede que os usuários vejam inadvertidamente o aplicativo no MyApps e tentem entrar no aplicativo antes que as políticas de Acesso Condicional sejam habilitadas.

Executar uma revisão de acesso inicial

Se se tratar de um novo aplicativo que sua organização não usou antes e, portanto, ninguém tiver acesso pré-existente, ou se você já estiver executando revisões de acesso para este aplicativo, pule para a próxima seção.

No entanto, se o aplicativo já existir em seu ambiente, é possível que os usuários tenham obtido acesso no passado por meio de processos manuais ou fora de banda; é necessário agora revisar esses usuários para ter a confirmação de que o acesso deles ainda é necessário e adequado daqui para a frente. É recomendável executar uma revisão de acesso dos usuários que já têm acesso ao aplicativo antes de habilitar políticas para que mais usuários possam solicitar acesso. Essa revisão define uma linha de base de todos os usuários revisados pelo menos uma vez para garantir que esses usuários tenham autorização de acesso contínuo.

1. Siga as etapas em Preparar-se para a revisão de acesso de usuários a um aplicativo.
2. Se o aplicativo não estava usando a ID do Microsoft Entra ou o AD, mas dá suporte a um protocolo de provisionamento ou tinha um banco de dados SQL ou LDAP subjacente, traga todos os usuários existentes e crie atribuições de função de aplicativo para eles.
3. Se o aplicativo não estava usando a ID do Microsoft Entra ou o AD e não dá suporte a um protocolo de provisionamento, obtenha uma lista dos usuários do aplicativo e crie atribuições de função de aplicativo para cada um deles.
4. Se o aplicativo estiver usando grupos de segurança do AD, você precisa revisar a associação desses grupos de segurança.
5. Se o aplicativo tiver o próprio diretório ou banco de dados e não tiver sido integrado para provisionamento, depois que a revisão for concluída, pode ser necessário atualizar manualmente o banco de dados interno ou o diretório do aplicativo para remover os usuários que tiveram acesso negado.
6. Se o aplicativo estiver usando grupos de segurança do AD e esses grupos forem criados no AD, depois que a revisão for concluída, você precisará atualizar manualmente os grupos do AD para remover associações dos usuários que foram negados. Posteriormente, para ter os direitos de acesso negados removidos automaticamente, atualize o aplicativo para usar um grupo do AD que foi criado na ID do Microsoft Entra e que teve o write-back na ID do Microsoft Entra ou mova a associação do grupo do AD para o grupo do Microsoft Entra e aninhe o grupo com write-back como o único membro do grupo do AD.
7. Depois que a revisão for concluída e o acesso ao aplicativo atualizado, ou se nenhum usuário tiver acesso, prossiga para as próximas etapas para implantar o Acesso Condicional e as políticas de gerenciamento de direitos do aplicativo.

Agora que você tem uma linha de base garantindo que o acesso existente foi revisado, você pode implantar as políticas da organização para acesso contínuo e novas solicitações de acesso.

Próximas etapas

• Implantar políticas de governança