Tutorial para configurar o Saviynt com o Azure Ative Directory B2C

Aprenda a integrar o Azure Ative Directory B2C (Azure AD B2C) com a plataforma Saviynt Security Manager, que tem visibilidade, segurança e governança. A Saviynt incorpora risco e governança de aplicativos, gerenciamento de infraestrutura, gerenciamento privilegiado de contas e análise de risco do cliente.

Saiba mais: Saviynt para Azure AD B2C

Use as instruções a seguir para configurar a administração delegada de controle de acesso para usuários do Azure AD B2C. O Saviynt determina se um usuário está autorizado a gerenciar usuários do Azure AD B2C com:

• Segurança em nível de recurso para determinar se os usuários podem executar uma operação
  • Por exemplo, criar usuário, atualizar usuário, redefinir senha de usuário e assim por diante
• Segurança em nível de campo para determinar se os usuários podem ler/gravar atributos de usuário durante as operações de gerenciamento de usuários
  • Por exemplo, um agente de Help Desk pode atualizar um número de telefone; outros atributos são somente leitura
• Segurança de nível de dados para determinar se os usuários podem executar uma operação em outro usuário
  • Por exemplo, um administrador de Help Desk para a região do Reino Unido gerencia usuários do Reino Unido

Pré-requisitos

Para começar, precisa do seguinte:

• Uma subscrição do Azure

  • Se você não tiver ativado, obtenha uma conta gratuita do Azure

• Um locatário do Azure AD B2C vinculado à sua assinatura do Azure

• Aceda a saviynt.com Contacte-nos para solicitar uma demonstração

Descrição do cenário

A integração Saviynt inclui os seguintes componentes:

• Azure AD B2C – identidade como um serviço para controle personalizado de inscrição, entrada e gerenciamento de perfil do cliente
  • Consulte, Azure AD B2C, Introdução
• Saviynt para Azure AD B2C – governança de identidade para administração delegada de gerenciamento do ciclo de vida do usuário e governança de acesso
  • Consulte Saviynt para Azure AD B2C
• API do Microsoft Graph – interface para o Saviynt gerenciar usuários do Azure AD B2C e seu acesso
  • Consulte Usar a API do Microsoft Graph

O diagrama de arquitetura a seguir ilustra a implementação.

1. Um administrador delegado inicia a operação de usuário do Azure AD B2C com o Saviynt.
2. Saviynt verifica se o administrador delegado pode executar a operação.
3. O Saviynt envia uma resposta de autorização de sucesso ou falha.
4. O Saviynt permite que o administrador delegado execute a operação.
5. O Saviynt invoca a API do Microsoft Graph, com atributos de usuário, para gerenciar o usuário no Azure AD B2C.
6. A API do Microsoft Graph cria, atualiza ou exclui o usuário no Azure AD B2C.
7. O Azure AD B2C envia uma resposta de sucesso ou falha.
8. A API do Microsoft Graph retorna a resposta para Saviynt.

Criar uma conta Saviynt e criar políticas delegadas

1. Crie uma conta Saviynt. Para começar, aceda a saviynt.com Contacte-nos.
2. Crie políticas de administração delegada.
3. Atribua aos usuários a função de administrador delegado.

Configurar o Azure AD B2C com o Saviynt

Use as instruções a seguir para criar um aplicativo, excluir usuários e muito mais.

Criar um aplicativo Microsoft Entra para Saviynt

Para obter as instruções a seguir, use o diretório com o locatário do Azure AD B2C.

1. Inicie sessão no portal do Azure.

2. Na barra de ferramentas do portal, selecione Diretórios + assinaturas.

3. Na página Configurações do portal, Diretórios + assinaturas, na lista Nome do diretório, localize o diretório do Azure AD B2C.

4. Selecione trocar.

5. No portal do Azure, pesquise e selecione Azure AD B2C.

6. Selecione Registos de>aplicações Novo registo.

7. Insira um nome de aplicativo. Por exemplo, Saviynt.

8. Selecione Criar.

9. Aceda a Permissões de API.

10. Selecione + Adicionar uma permissão.

11. A página Solicitar permissões da API é exibida.

12. Selecione a guia APIs da Microsoft.

13. Selecione Microsoft Graph como APIs da Microsoft comumente usadas.

14. Vá para a próxima página.

15. Selecione Permissões de aplicação.

16. Selecione Diretório.

17. Marque as caixas de seleção Directory.Read.All e Directory.ReadWrite.All.

18. Selecione Adicionar permissões.

19. Analise as permissões.

20. Selecione Conceder consentimento de administrador para o diretório padrão.

21. Selecione Guardar.

22. Vá para Certificados e Segredos.

23. Selecione + Adicionar segredo do cliente.

24. Insira a descrição do segredo do cliente.

25. Selecione a opção de expiração.

26. Selecione Adicionar.

27. A chave secreta aparece na seção Segredo do cliente. Salve o segredo do cliente para usar mais tarde.

28. Aceda a Descrição Geral.

29. Copie a ID do Cliente e a ID do Inquilino.

Salve a ID do locatário, a ID do cliente e o segredo do cliente para concluir a configuração.

Habilitar o Saviynt para excluir usuários

Habilite o Saviynt para executar operações de exclusão de usuário no Azure AD B2C.

Saiba mais: Objetos principais de aplicativo e serviço no Microsoft Entra ID

1. Instale a versão mais recente do módulo Microsoft Graph PowerShell em uma estação de trabalho ou servidor Windows.

Para obter mais informações, consulte a documentação do Microsoft Graph PowerShell.

2. Conecte-se ao módulo PowerShell e execute os seguintes comandos:

Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Testar a solução

Navegue até o locatário do aplicativo Saviynt e teste os casos de uso de gerenciamento do ciclo de vida do usuário e governança de acesso.

Próximos passos

• Visão geral da política personalizada do Azure AD B2C
• Tutorial: Criar fluxos de usuário e políticas personalizadas no Azure AD B2C
• Adicionar uma aplicação da API Web ao inquilino do Azure Active Directory B2C