Управление доступом к приложению

Непрерывное управление доступом, оценка использования и ведение отчетов продолжают вызывать трудности и после интеграции приложения в систему удостоверений вашей организации. Во многих случаях ИТ-администраторы или сотрудники службы технической поддержки должны принимать постоянное и активное участие в управлении доступом к приложениям. В некоторых случаях назначение выполняется общим ИТ-отделом или ИТ-отделом подразделения. Во многих случаях решение о назначении должно быть направлено на рассмотрение ответственному лицу, прежде чем ИТ-специалисты осуществят такое назначение.

Другие организации вкладывают средства в интеграцию с существующей автоматической системой управления удостоверениями и доступом, такой как контроль доступа на основе ролей (RBAC) или контроль доступа на основе атрибутов (ABAC). Как интеграция, так и разработка правил требуют специальных знаний и существенных затрат. А реализация мониторинга и ведения отчетов при любом из этих подходов к управлению является отдельной сложной и дорогостоящей задачей.

Чем в такой ситуации может помочь Azure Active Directory?

Azure AD поддерживает расширенное управление доступом к настроенным приложениям, позволяя организациям легко устанавливать подходящие политики доступа — от автоматического назначения на основе атрибутов (сценарии ABAC или RBAC) до делегирования и управления администраторами. С помощью Azure AD можно легко реализовать сложные политики, объединяя несколько моделей управления для одного приложения, и даже повторно использовать правила управления для разных приложений с одной аудиторией.

В С Azure AD ведение отчетов по использованию и назначению полностью интегрировано, что позволяет администраторам легко формировать отчеты о состоянии назначения, ошибках назначения и даже об использовании.

Назначение пользователей и групп для приложения

Назначение приложения Azure AD сосредоточено на двух основных режимах назначения:

  • Отдельное назначение. ИТ-администратор с разрешениями глобального администратора каталога может выбрать отдельные учетные записи пользователей и предоставить им доступ к приложению.

  • Назначение на основе группы (требуется Azure AD Premium уровня P1 или P2). ИТ-администратор с разрешениями глобального администратора каталога может назначить группу приложению. Наличие доступа у конкретных пользователей определяется тем, являются ли они членами группы на момент попытки получения доступа к приложению. Иными словами, администратор может создать правило назначения, в котором указано, что "все текущие члены назначенной группы имеют доступ к приложению". При применении этого варианта назначения администраторы могут использовать любые возможности управления группами Azure AD, включая основанные на атрибутах динамические группы, группы внешних систем (например локальная версия Active Directory или Workday), а также группы, управляемые администратором или самостоятельно. Одну группу можно легко назначить нескольким приложениям, в результате чего приложения со сходством назначения могут совместно использовать правила назначения, что снижает общий уровень сложности управления.

    Примечание

    Сейчас членство во вложенных группах не поддерживается для назначения приложений на основе групп.

Используя эти два режима назначения, администраторы могут реализовать любой подход к управлению назначением.

Требование назначения пользователей для приложения

При работе с определенными типами приложений можно сделать обязательным назначение приложения пользователям. Это позволяет запретить вход в систему всем, кроме тех пользователей, которые явно назначены приложению. Эту возможность поддерживают следующие типы приложений:

  • Приложения, для которых настроен федеративный единый вход с аутентификацией на основе SAML.
  • Приложения, которые используют прокси приложения и предварительную аутентификацию Azure AD.
  • Приложения, созданные на платформе приложений Azure AD и использующие проверку подлинности OAuth 2.0 или OpenID Connect, для которых пользователь или администратор уже предоставили согласие. Некоторые корпоративные приложения позволяют более точно управлять правами на вход.

Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Они могут осуществлять доступ к приложению на портале "Мои приложения" или используя прямую ссылку.

Если назначение пользователя не требуется, неназначенные пользователи не видят приложение в разделе "Мои приложения", но по-прежнему могут входить в само приложение (этот режим называется входом, инициированным поставщиком услуг) или использовать URL-адрес доступа пользователей на странице Свойства приложения (этот режим называется входом, инициируемым поставщиком удостоверений). Дополнительные сведения о конфигурациях требования согласия пользователя см. в статье Настройка приложения.

Этот параметр не влияет на отображение приложения на панели "Мои приложения". Приложения отображаются на панелях доступа пользователей "Мои приложения" после назначения приложению пользователя или группы.

Примечание

Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если в противном случае согласие пользователей для него было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.

Для некоторых приложений в свойствах отсутствует параметр, позволяющий сделать обязательным назначение приложения пользователям. В таких случаях можно с помощью PowerShell задать свойство appRoleAssignmentRequired для соответствующего субъекта-службы.

Выбор интерфейса пользователя для доступа к приложениям

Azure AD предоставляет несколько настраиваемых способов для развертывания приложений пользователям в организации:

  • "Мои приложения" в AAD;
  • средство запуска приложений Microsoft 365;
  • прямой вход в федеративные приложения (через субъект-службу);
  • прямые ссылки на федеративные приложения, приложения на основе пароля или существующие приложения;

Вы можете выбрать, будут ли пользователи, назначенные корпоративному приложению, видеть его в разделе "Мои приложения" и средстве запуска Microsoft 365.

Пример Сложное назначение приложений с помощью Azure AD

Рассмотрим такое приложение, как Salesforce. Во многих организациях приложение Salesforce главным образом используется специалистами по маркетингу и продажам. Часто сотрудники маркетингового отдела имеют привилегированный доступ к Salesforce, а сотрудники отдела продаж — ограниченный доступ. Во многих случаях ограниченный доступ к приложению предоставляется большой группе информационных работников. Исключения из этих правил усложняют ситуацию. Часто обязанности по предоставлению пользователям доступа или изменению их ролей, когда требуется отклониться от этих общих правил, лежат на руководителях отделов маркетинга и продаж.

С помощью Azure AD такие приложения, как Salesforce, могут быть предварительно настроены для единого входа и автоматической подготовки к работе. После настройки приложения администратор может однократно создать и назначить соответствующие группы. В этом примере администратор может выполнить указанные ниже назначения.

  • Динамические группы можно определить таким образом, чтобы они автоматически представляли всех членов групп маркетинга и продаж с помощью таких атрибутов, как отдел или роль.

    • Всем членам групп маркетинга в Salesforce будет назначена роль marketing.
    • Всем членам групп продаж в Salesforce будет назначена роль sales. Для дальнейшего уточнения можно использовать несколько групп, представляющих региональные группы продаж, которым назначены различные роли Salesforce.
  • Чтобы включить механизм исключений, для каждой роли можно создать группу самообслуживания. Например, можно создать группу "Salesforce marketing exception" в качестве группы самообслуживания. Этой группе можно назначить роль Marketing в Salesforce, а команду руководителей по маркетингу можно назначить в качестве владельца. Члены команды руководителей по маркетингу могут добавлять или удалять пользователей, задавать политику присоединения и даже утверждать или отклонять запросы на присоединение от отдельных пользователей. Этот механизм согласуется с соответствующим рабочим процессом информационных работников, для которого не требуется специальное обучение владельцев или членов.

В этом случае все назначенные пользователи будут автоматически подготовлены для Salesforce. Так как эти пользователи добавляются в разные группы, их назначения ролей в Salesforce будут обновлены. Пользователи могут найти и открыть Salesforce с помощью портала "Мои приложения", веб-клиентов Office и корпоративной страницы для входа в Salesforce. Администраторы могут легко просмотреть состояние использования и назначения с помощью отчетов Azure AD.

Администраторы могут применять условный доступ Azure AD, чтобы задавать политики доступа для конкретных ролей. Эти политики могут указывать, разрешен ли доступ вне корпоративной среды, а также включать в себя многофакторную проверку подлинности или требования к устройствам для обеспечения доступа в различных ситуациях.

Доступ к приложениям Майкрософт

Приложения Майкрософт (Exchange, SharePoint, Yammer и т. д.) назначаются и управляются немного иначе, чем приложения SaaS сторонних разработчиков и другие приложения, которые вы интегрируете с Azure AD для единого входа.

Есть три основных способа, с помощью которых пользователь может получить доступ к приложению, опубликованному корпорацией Майкрософт.

  • Для приложений в Microsoft 365 или других платных наборах доступ пользователям предоставляется посредством назначения лицензии — непосредственно для учетной записи или в группе с помощью нашей возможности по групповому назначению лицензий.

  • Для приложений, которые Майкрософт или сторонний разработчик публикуют для свободного использования, пользователи могут получать доступ через согласие пользователя. Пользователь входит в приложение с рабочей или учебной учетной записью Azure AD и разрешает приложению доступ к ограниченному набору данных в этой учетной записи.

  • Для приложений, которые корпорация Майкрософт или сторонний разработчик опубликовали для свободного использования, можно также предоставлять доступ через механизм согласия администратора. В этом случае администратор решает, что приложение разрешено использовать всем сотрудникам организации, после чего входит в приложение с помощью учетной записи глобального администратора и предоставляет доступ всем пользователям в организации.

В некоторых приложениях эти методы сочетаются. Например, некоторые приложения Майкрософт входят в подписку Microsoft 365, но для них требуется предоставить согласие.

Пользователи могут получать доступ к приложениям Microsoft 365 через порталы Office 365. Вы также можете показать или скрыть приложения Microsoft 365 в разделе "Мои приложения", используя переключатель видимости в Office 365 на странице Параметры пользователя каталога.

Как и в случае с корпоративными приложениями, можно назначить пользователей определенным приложениям Майкрософт через портал Azure или, если действие назначения на портале недоступно, с помощью PowerShell.

Дальнейшие действия