Интеграция приложений с идентификатором Microsoft Entra и создание базовых показателей проверенного доступа

После установки политик, для которых должен быть доступ к приложению, вы можете подключить приложение к идентификатору Microsoft Entra, а затем развернуть политики для управления доступом к ним.

Управление идентификацией Microsoft Entra можно интегрировать со многими приложениями, включая известные приложения, такие как SAP R/3, SAP S/4HANA, и те, которые используют такие стандарты, как OpenID Подключение, SAML, SCIM, SQL, LDAP, SOAP и REST. С помощью этих стандартов можно использовать идентификатор Microsoft Entra с множеством популярных приложений SaaS и локальных приложений, включая приложения, разработанные вашей организацией. Этот план развертывания описывает подключение приложения к идентификатору Microsoft Entra и включение функций управления удостоверениями для этого приложения.

Чтобы Управление идентификацией Microsoft Entra использовать для приложения, приложение сначала должно быть интегрировано с идентификатором Microsoft Entra и представлено в каталоге. Приложение, интегрированное с идентификатором Microsoft Entra ID, означает, что необходимо выполнить одно из двух требований:

• Приложение использует идентификатор Microsoft Entra для федеративного единого входа, а идентификатор Microsoft Entra ID управляет выдачой маркера проверки подлинности. Если идентификатор Microsoft Entra является единственным поставщиком удостоверений для приложения, то только пользователи, которым назначена одна из ролей приложения в идентификаторе Microsoft Entra ID, могут войти в приложение. Те пользователи, которые теряют назначение роли приложения, больше не могут получить новый маркер для входа в приложение.
• Приложение использует списки пользователей или групп, предоставляемые приложению идентификатором Microsoft Entra. Это выполнение можно сделать с помощью протокола подготовки, например SCIM, путем запроса идентификатора Microsoft Entra через Microsoft Graph или приложения с помощью AD Kerberos для получения членства в группах пользователя.

Если ни в чем из этих критериев не выполняются для приложения, например если приложение не зависит от идентификатора Microsoft Entra, то управление удостоверениями по-прежнему можно использовать. Но в этом случае могут существовать некоторые ограничения на использование управления удостоверениями. Например, пользователи, которые не входят в идентификатор Microsoft Entra, или не назначены ролям приложений в идентификаторе Microsoft Entra ID, не будут включены в проверки доступа приложения, пока не назначьте их ролям приложений. Дополнительные сведения см. в статье Подготовка к проверке доступа пользователей к приложению.

Интеграция приложения с идентификатором Microsoft Entra для обеспечения доступа только авторизованных пользователей к приложению

Как правило, этот процесс интеграции приложения начинается при настройке этого приложения для использования идентификатора Microsoft Entra для проверки подлинности пользователей с федеративным подключением к единому входу и добавлению подготовки. Наиболее часто используемые для единого входа используются протоколы SAML и OpenID Connect. Дополнительные сведения о средствах и процессах для обнаружения и переноса проверки подлинности приложений в идентификатор Microsoft Entra.

Затем, если приложение реализует протокол подготовки, необходимо настроить идентификатор Microsoft Entra для подготовки пользователей к приложению, чтобы идентификатор Microsoft Entra может сигнализировать приложению, когда пользователь получил доступ или доступ пользователя был удален. Эти сообщения службы подготовки позволяют приложению вносить автоматические изменения, например назначать содержимое, созданное покинувшим компанию сотрудником, его руководителю или коллеге.

1. Проверьте, находится ли приложение в списке корпоративных приложений или в списке регистраций приложений. Если приложение уже присутствует в вашем арендаторе, сразу переходите к шагу 5 в этом разделе.

2. Если это приложение SaaS, которое еще не зарегистрировано в арендаторе, проверьте в коллекции приложений, можно ли интегрировать это приложение для федеративного единого входа. Если он находится в коллекции, используйте учебники для интеграции приложения с идентификатором Microsoft Entra.

   1. Следуйте инструкциям по настройке приложения для федеративного единого входа с идентификатором Microsoft Entra.
   2. Если это приложение поддерживает подготовку, настройте приложение для подготовки.
   3. Завершив эту настройку, перейдите к следующему разделу этой статьи. Если ваше приложение SaaS отсутствует в коллекции, попросите поставщика SaaS выполнить подключение.

3. Если это частное или пользовательское приложение, вы можете выбрать другой механизм интеграции для единого входа, который будет наиболее подходящим с учетом расположения и возможностей приложения.

   • Если это приложение находится в общедоступном облаке и поддерживает единый вход, настройте его непосредственно из идентификатора Microsoft Entra в приложение.

     Поддержка приложений	Следующие шаги
     OpenID Connect	Добавление приложения OpenID Connect OAuth
     SAML 2.0	Регистрация приложения и настройка приложения с помощью конечных точек SAML и сертификата идентификатора Microsoft Entra
     SAML 1.1	Добавление приложения на основе SAML

   • В противном случае, если это локальное или размещенное приложение IaaS, поддерживающее единый вход, настройте единый вход из идентификатора Microsoft Entra в приложение через прокси приложения.

     Поддержка приложений	Следующие шаги
     SAML 2.0	Развертывание прокси приложения и настройка единого входа SAML в приложении
     Встроенная проверка подлинности Windows (IWA)	Разверните прокси приложения, настройте в приложении встроенный единый вход службы проверки подлинности Windows, а также настройте правила брандмауэра, чтобы запретить доступ к конечным точкам приложения в обход прокси-сервера.
     проверка подлинности на основе заголовков	Развертывание прокси приложения и настройка единого входа на основе заголовков в приложении

4. Если приложение имеет несколько ролей, каждый пользователь имеет только одну роль в приложении, и приложение полагается на идентификатор Microsoft Entra для отправки отдельной роли приложения в качестве утверждения для входа пользователя в приложение, а затем настройте эти роли приложений в идентификаторе Microsoft Entra в приложении, а затем назначьте каждого пользователя роли приложения роли приложения. Вы можете использовать пользовательский интерфейс ролей приложения для добавления этих ролей в манифест приложения. Если вы используете библиотеки проверки подлинности Майкрософт, существует пример кода для использования ролей приложений в приложении для управления доступом. Если у пользователя может быть несколько ролей одновременно, то вы можете реализовать приложение для проверка групп безопасности либо в утверждениях токена, либо через Microsoft Graph, а не использовать роли приложения из манифеста приложения для управления доступом.

5. Если приложение поддерживает подготовку, настройте подготовку назначенных пользователей и групп из идентификатора Microsoft Entra в это приложение. Если это частное или пользовательское приложение, вы можете выбрать другой механизм интеграции, который будет наиболее подходящим с учетом расположения и возможностей приложения.

   • Если это приложение использует службы SAP Cloud Identity Services, настройте подготовку пользователей с помощью SCIM в облачных службах удостоверений SAP.

     Поддержка приложений	Следующие шаги
     SAP Cloud Identity Services	Настройка идентификатора Microsoft Entra для подготовки пользователей в облачные службы удостоверений SAP

   • Если приложение находится в общедоступном облаке и поддерживает SCIM, настройте подготовку пользователей с помощью SCIM.

     Поддержка приложений	Следующие шаги
     SCIM	Настройка подготовки пользователей с помощью SCIM в приложении

   • Если это приложение использует AD, настройте обратную запись групп и обновите приложение для использования групп, созданных идентификатором Майкрософт, или вложите созданные идентификатором Майкрософт группы в существующие группы безопасности AD приложений.

     Поддержка приложений	Следующие шаги
     Kerberos	Настройка обратной записи группы синхронизации Microsoft Entra Cloud в AD, создание групп в идентификаторе Microsoft Entra и запись этих групп в AD

   • В противном случае, если это локальное или размещенное приложение IaaS и не интегрировано с AD, настройте подготовку этого приложения через SCIM или базовую базу данных или каталог приложения.

     Поддержка приложений	Следующие шаги
     SCIM	Настройка в приложении агента подготовки для локальных приложений на основе SCIM
     Учетные записи локальных пользователей, хранящиеся в базе данных SQL	Настройка в приложении агента подготовки для локальных приложений на основе SQL
     Учетные записи локальных пользователей, хранящиеся в каталоге LDAP	Настройка в приложении агента подготовки для локальных приложений на основе LDAP
     учетные записи локальных пользователей, управляемые с помощью SOAP или REST API	настройка приложения с агентом подготовки с помощью соединителя веб-служб
     учетные записи локальных пользователей, управляемые через соединитель MIM	настройка приложения с агентом подготовки с помощью пользовательского соединителя
     SAP ECC с NetWeaver AS ABAP 7.0 или более поздней версии	настройка приложения с агентом подготовки с помощью коннектора веб-служб SAP ECC

6. Если приложение использует Microsoft Graph для запроса групп из идентификатора Microsoft Entra ID, то предоставьте приложениям соответствующие разрешения на чтение из вашего клиента.

7. Залайте уровень доступа, разрешающий приложение только для пользователей, назначенных этому приложению. Этот параметр запрещает пользователям непреднамеренно видеть приложение в MyApps и пытаться войти в приложение до включения политик условного доступа.

Выполнение начальной проверки доступа

Если это новое приложение, которое раньше не использовалось в вашей организации, то есть пока ни у кого нет к нему доступа, или если вы ранее выполняли проверки доступа для этого приложения, перейдите к следующему разделу.

Но если приложение уже существовало в вашей среде, то необходимо проверить всех пользователей, которые могли ранее получить доступ через настройку вручную или в обход основной системы, чтобы подтвердить необходимость и допустимость доступа для каждого из них. Мы рекомендуем выполнить проверку доступа пользователей, у которых уже есть доступ к приложению, прежде чем включать политики, позволяющие новым пользователям запрашивать доступ. Эта проверка задает базовые показатели всех пользователей, которые были проверены по крайней мере один раз, чтобы убедиться, что эти пользователи авторизованы для продолжения доступа.

1. Выполните действия, описанные в статье Подготовка к проверке доступа пользователей к приложению.
2. Если приложение не использовало идентификатор Microsoft Entra или AD, но поддерживает протокол подготовки или имеет базовую базу данных SQL или LDAP, доведите существующих пользователей и создайте для них назначения ролей приложения.
3. Если приложение не использует идентификатор Microsoft Entra или AD и не поддерживает протокол подготовки, получите список пользователей из приложения и создайте назначения ролей приложения для каждого из них.
4. Если приложение использовало группы безопасности AD, необходимо проверить членство этих групп безопасности.
5. Если у приложения есть собственный каталог или база данных и для него еще не настроена интеграция подготовки, после завершения проверки придется вручную обновить внутреннюю базу данных или каталог приложения, чтобы удалить тех пользователей, у которых был отозван доступ.
6. Если приложение использовало группы безопасности AD и эти группы были созданы в AD, то после завершения проверки необходимо вручную обновить группы AD, чтобы удалить членство тех пользователей, которые были отклонены. Впоследствии для автоматического удаления прав доступа можно либо обновить приложение, чтобы использовать группу AD, созданную в идентификаторе Microsoft Entra ID и записанную обратно в идентификатор Microsoft Entra ID, либо переместить членство из группы AD в группу Microsoft Entra, а затем вложить записанную группу обратно в качестве единственного члена группы AD.
7. После завершения проверки и обновления доступа к приложению или если у пользователей нет доступа, перейдите к следующим шагам, чтобы развернуть политики условного доступа и управления правами для приложения.

Теперь, когда выполняется базовое требование по проверке существующего доступа, вы можете развернуть политики организации для поддержки текущего доступа и новых запросов на доступ.

Следующие шаги

• Развертывание политик системы управления