Integrera program med Microsoft Entra-ID och upprätta en baslinje för granskad åtkomst

  • Artikel

När du har upprättat principerna för vem som ska ha åtkomst till ett program kan du ansluta ditt program till Microsoft Entra-ID och sedan distribuera principerna för att styra åtkomsten till dem.

Microsoft Entra ID-styrning kan integreras med många program, inklusive välkända program som SAP R/3, SAP S/4HANA och de som använder standarder som OpenID Anslut, SAML, SCIM, SQL, LDAP, SOAP och REST. Med dessa standarder kan du använda Microsoft Entra-ID med många populära SaaS-program och lokala program, inklusive program som din organisation har utvecklat. Den här distributionsplanen beskriver hur du ansluter ditt program till Microsoft Entra-ID och gör det möjligt att använda identitetsstyrningsfunktioner för programmet.

För att Microsoft Entra ID-styrning ska kunna användas för ett program måste programmet först integreras med Microsoft Entra-ID och representeras i din katalog. Ett program som integreras med Microsoft Entra-ID innebär att ett av två krav måste uppfyllas:

  • Programmet förlitar sig på Microsoft Entra-ID för federerad enkel inloggning och Microsoft Entra ID styr utfärdandet av autentiseringstoken. Om Microsoft Entra-ID är den enda identitetsprovidern för programmet kan endast användare som har tilldelats någon av programmets roller i Microsoft Entra-ID logga in på programmet. De användare som förlorar sin programrolltilldelning kan inte längre få en ny token för att logga in på programmet.
  • Programmet förlitar sig på användar- eller grupplistor som tillhandahålls till programmet av Microsoft Entra-ID. Den här uppfyllelsen kan göras via ett etableringsprotokoll, till exempel SCIM, av programmet som frågar Microsoft Entra-ID via Microsoft Graph eller programmet som använder AD Kerberos för att hämta en användares gruppmedlemskap.

Om inget av dessa kriterier uppfylls för ett program, till exempel när programmet inte förlitar sig på Microsoft Entra-ID, kan identitetsstyrning fortfarande användas. Det kan dock finnas vissa begränsningar med identitetsstyrning utan att uppfylla kriterierna. Till exempel kommer användare som inte finns i ditt Microsoft Entra-ID, eller som inte har tilldelats till programrollerna i Microsoft Entra-ID, inte att ingå i åtkomstgranskningar av programmet förrän du tilldelar dem till programrollerna. Mer information finns i Förbereda för en åtkomstgranskning av användarnas åtkomst till ett program.

Integrera programmet med Microsoft Entra-ID för att säkerställa att endast behöriga användare kan komma åt programmet

Vanligtvis börjar den här processen med att integrera ett program när du konfigurerar programmet så att det förlitar sig på Microsoft Entra-ID för användarautentisering, med en federerad protokollanslutning med enkel inloggning (SSO) och sedan lägger till etablering. De vanligaste protokollen för enkel inloggning är SAML och OpenID Anslut. Du kan läsa mer om verktyg och processer för att identifiera och migrera programautentisering till Microsoft Entra-ID.

Om programmet sedan implementerar ett etableringsprotokoll bör du konfigurera Microsoft Entra-ID för att etablera användare till programmet, så att Microsoft Entra-ID kan signalera till programmet när en användare har beviljats åtkomst eller en användares åtkomst har tagits bort. Dessa etableringssignaler gör det möjligt för programmet att göra automatiska korrigeringar, till exempel att omtilldela innehåll som skapats av en anställd som har lämnat till sin chef.

  1. Kontrollera om ditt program finns med i listan över företagsprogram eller en lista över appregistreringar. Om programmet redan finns i klientorganisationen går du vidare till steg 5 i det här avsnittet.

  2. Om ditt program är ett SaaS-program som inte redan är registrerat i din klientorganisation kontrollerar du om programmet är tillgängligt i programgalleriet för program som kan integreras för federerad enkel inloggning. Om det finns i galleriet använder du självstudierna för att integrera programmet med Microsoft Entra-ID.

    1. Följ självstudien för att konfigurera programmet för federerad enkel inloggning med Microsoft Entra-ID.
    2. Om programmet stöder etablering konfigurerar du programmet för etablering.
    3. När du är klar går du vidare till nästa avsnitt i den här artikeln. Om SaaS-programmet inte finns i galleriet ber du SaaS-leverantören att registrera sig.

  3. Om det här är ett privat eller anpassat program kan du också välja en integrering med enkel inloggning som är lämpligast baserat på programmets plats och funktioner.

    • Om det här programmet finns i det offentliga molnet och det stöder enkel inloggning konfigurerar du enkel inloggning direkt från Microsoft Entra-ID till programmet.

      Programmet stöder Nästa steg
      OpenID Connect Lägga till ett OpenID-Anslut OAuth-program
      SAML 2.0 Registrera programmet och konfigurera programmet med SAML-slutpunkterna och certifikatet för Microsoft Entra-ID
      SAML 1.1 Lägga till ett SAML-baserat program

    • Annars, om det här är ett lokalt program eller ett IaaS-värdbaserat program som stöder enkel inloggning, konfigurerar du enkel inloggning från Microsoft Entra-ID till programmet via programproxyn.

      Programmet stöder Nästa steg
      SAML 2.0 Distribuera programproxyn och konfigurera ett program för SAML SSO
      Integrerad Windows-autentisering (IWA) Distribuera programproxyn, konfigurera ett program för SSO för integrerad Windows-autentisering och ange brandväggsregler för att förhindra åtkomst till programmets slutpunkter förutom via proxyn.
      rubrikbaserad autentisering Distribuera programproxyn och konfigurera ett program för huvudbaserad enkel inloggning

  4. Om ditt program har flera roller har varje användare bara en roll i programmet, och programmet förlitar sig på Microsoft Entra-ID för att skicka en användares enda programspecifika roll som ett anspråk på att en användare loggar in i programmet, konfigurerar sedan approllerna i Microsoft Entra-ID:t i ditt program och tilldelar sedan varje användare till programrollen. Du kan använda användargränssnittet för approller för att lägga till dessa roller i programmanifestet. Om du använder Microsofts autentiseringsbibliotek finns det ett kodexempel för hur du använder approller i ditt program för åtkomstkontroll. Om en användare kan ha flera roller samtidigt kanske du vill implementera programmet för att kontrollera säkerhetsgrupper, antingen i tokenanspråken eller tillgängliga via Microsoft Graph, i stället för att använda approller från appmanifestet för åtkomstkontroll.

  5. Om programmet stöder etablering konfigurerar du etablering av tilldelade användare och grupper från Microsoft Entra-ID till programmet. Om det här är ett privat eller anpassat program kan du också välja den integrering som är lämpligast, baserat på programmets plats och funktioner.

    • Om det här programmet förlitar sig på SAP Cloud Identity Services konfigurerar du etablering av användare via SCIM till SAP Cloud Identity Services.

      Programmet stöder Nästa steg
      SAP Cloud Identity Services Konfigurera Microsoft Entra-ID för att etablera användare i SAP Cloud Identity Services

    • Om det här programmet finns i det offentliga molnet och har stöd för SCIM konfigurerar du etablering av användare via SCIM.

      Programmet stöder Nästa steg
      SCIM Konfigurera ett program med SCIM för användaretablering

    • Om det här programmet använder AD konfigurerar du tillbakaskrivning av grupper och uppdaterar programmet så att det använder de Microsoft Entra-ID-skapade grupperna eller kapslas in de Microsoft Entra ID-skapade grupperna i programmens befintliga AD-säkerhetsgrupper.

      Programmet stöder Nästa steg
      Kerberos Konfigurera tillbakaskrivning av Microsoft Entra Cloud Sync-grupp till AD, skapa grupper i Microsoft Entra-ID och skriv dessa grupper till AD

    • Annars, om det här är ett lokalt program eller ett IaaS-värdbaserat program och inte är integrerat med AD, konfigurerar du etablering till programmet, antingen via SCIM eller till programmets underliggande databas eller katalog.

      Programmet stöder Nästa steg
      SCIM konfigurera ett program med etableringsagenten för lokala SCIM-baserade appar
      lokala användarkonton som lagras i en SQL-databas konfigurera ett program med etableringsagenten för lokala SQL-baserade program
      lokala användarkonton som lagras i en LDAP-katalog konfigurera ett program med etableringsagenten för lokala LDAP-baserade program
      lokala användarkonton som hanteras via ett SOAP- eller REST-API konfigurera ett program med etableringsagenten med anslutningsappen för webbtjänster
      lokala användarkonton som hanteras via en MIM-anslutningsapp konfigurera ett program med etableringsagenten med en anpassad anslutningsapp
      SAP ECC med NetWeaver AS ABAP 7.0 eller senare konfigurera ett program med etableringsagenten med en SAP ECC-konfigurerad anslutningsapp för webbtjänster

  6. Om ditt program använder Microsoft Graph för att fråga efter grupper från Microsoft Entra-ID samtycker du till att programmen har rätt behörighet att läsa från din klientorganisation.

  7. Ange att åtkomst till programmet endast tillåts för användare som tilldelats till programmet. Den här inställningen förhindrar att användare oavsiktligt ser programmet i MyApps och försöker logga in på programmet innan principer för villkorsstyrd åtkomst aktiveras.

Utföra en inledande åtkomstgranskning

Om det här är ett nytt program som din organisation inte har använt tidigare och därför ingen har befintlig åtkomst, eller om du redan har utfört åtkomstgranskningar för det här programmet, går du vidare till nästa avsnitt.

Men om programmet redan fanns i din miljö är det möjligt att användarna tidigare har fått åtkomst via manuella eller out-of-band-processer, och dessa användare bör nu granskas för att få en bekräftelse på att deras åtkomst fortfarande behövs och är lämplig framöver. Vi rekommenderar att du utför en åtkomstgranskning av de användare som redan har åtkomst till programmet innan du aktiverar principer för att fler användare ska kunna begära åtkomst. Den här granskningen anger en baslinje för alla användare som har granskats minst en gång för att säkerställa att dessa användare har behörighet för fortsatt åtkomst.

  1. Följ stegen i Förbereda för en åtkomstgranskning av användarnas åtkomst till ett program.
  2. Om programmet inte använde Microsoft Entra-ID eller AD, men stöder ett etableringsprotokoll eller har en underliggande SQL- eller LDAP-databas, tar du in befintliga användare och skapar programrolltilldelningar åt dem.
  3. Om programmet inte använde Microsoft Entra-ID eller AD och inte stöder ett etableringsprotokoll hämtar du en lista över användare från programmet och skapar programrolltilldelningar för var och en av dem.
  4. Om programmet använde AD-säkerhetsgrupper måste du granska medlemskapet för dessa säkerhetsgrupper.
  5. Om programmet hade en egen katalog eller databas och inte var integrerad för etablering kan du när granskningen är klar behöva uppdatera programmets interna databas eller katalog manuellt för att ta bort de användare som nekades.
  6. Om programmet använde AD-säkerhetsgrupper och dessa grupper skapades i AD, måste du när granskningen är klar manuellt uppdatera AD-grupperna för att ta bort medlemskap för de användare som nekades. För att automatiskt ha nekat åtkomsträttigheter kan du antingen uppdatera programmet för att använda en AD-grupp som skapades i Microsoft Entra-ID och skrivits tillbaka till Microsoft Entra-ID, eller flytta medlemskapet från AD-gruppen till Microsoft Entra-gruppen och kapsla den tillbakaskrivna gruppen som den enda medlemmen i AD-gruppen.
  7. När granskningen har slutförts och programåtkomsten har uppdaterats, eller om inga användare har åtkomst, fortsätter du till nästa steg för att distribuera principer för hantering av villkorsstyrd åtkomst och berättigande för programmet.

Nu när du har en baslinje som säkerställer att befintlig åtkomst har granskats kan du distribuera organisationens principer för löpande åtkomst och eventuella nya åtkomstbegäranden.

Nästa steg