Integrera program med Microsoft Entra-ID och upprätta en baslinje för granskad åtkomst

När du har upprättat principerna för vem som ska ha åtkomst till ett program kan du ansluta ditt program till Microsoft Entra ID och sedan distribuera principerna för att styra åtkomsten till dem.

Microsoft Entra ID-styrning kan integreras med många program, inklusive SAP R/3, SAP S/4HANA och de som använder standarder som OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP och REST. Med dessa standarder kan du använda Microsoft Entra-ID med många populära SaaS-program och lokala program, inklusive program som din organisation har utvecklat. Den här distributionsplanen beskriver hur du ansluter ditt program till Microsoft Entra-ID och gör det möjligt att använda identitetsstyrningsfunktioner för programmet.

För att Microsoft Entra ID-styrning ska kunna användas för ett program måste programmet först integreras med Microsoft Entra-ID och representeras i din katalog. Ett program som integreras med Microsoft Entra-ID innebär att ett av två krav måste uppfyllas:

• Programmet förlitar sig på Microsoft Entra-ID för federerad enkel inloggning och Microsoft Entra ID styr utfärdandet av autentiseringstoken. Om Microsoft Entra-ID är den enda identitetsprovidern för programmet kan endast användare som tilldelats någon av programmets roller i Microsoft Entra-ID logga in på programmet. De användare som förlorar sin programrolltilldelning kan inte längre få en ny token för att logga in på programmet.
• Programmet förlitar sig på användar- eller grupplistor som tillhandahålls till programmet av Microsoft Entra-ID. Den här uppfyllelsen kan göras via ett etableringsprotokoll, till exempel SCIM, av programmet som frågar Microsoft Entra-ID via Microsoft Graph eller programmet som använder AD Kerberos för att hämta en användares gruppmedlemskap.

Om inget av dessa kriterier uppfylls för ett program, till exempel när programmet inte förlitar sig på Microsoft Entra-ID, kan identitetsstyrning fortfarande användas. Det kan dock finnas vissa begränsningar med identitetsstyrning utan att uppfylla kriterierna. Till exempel kommer användare som inte finns i ditt Microsoft Entra-ID, eller som inte har tilldelats till programrollerna i Microsoft Entra-ID, inte att ingå i åtkomstgranskningar av programmet förrän du tilldelar dem till programrollerna. Mer information finns i Förbereda för en åtkomstgranskning av användarnas åtkomst till ett program.

Integrera programmet med Microsoft Entra-ID för att säkerställa att endast behöriga användare kan komma åt programmet

Integreringen av en programprocess börjar när du konfigurerar programmet så att det förlitar sig på Microsoft Entra-ID för användarautentisering, med en federerad protokollanslutning med enkel inloggning (SSO) och sedan lägger till etablering. De vanligaste protokollen för enkel inloggning är SAML och OpenID Connect. Du kan läsa mer om verktygen och processen för att identifiera och migrera programautentisering till Microsoft Entra ID.

Om programmet sedan implementerar ett etableringsprotokoll bör du konfigurera Microsoft Entra-ID för att etablera användare till programmet, så att Microsoft Entra-ID kan signalera till programmet när en användare har beviljats åtkomst eller en användares åtkomst har tagits bort. Dessa etableringssignaler gör det möjligt för applikationen att utföra automatiska korrigeringar, som att tilldela innehåll som skapats av en anställd som har slutat till dennes chef.

1. Kontrollera om ditt program finns med i lista över företagsprogram eller lista över appregistreringar. Om programmet redan finns i klientorganisationen, hoppa till steg 5 i detta avsnitt.

2. Om ditt program är ett SaaS-program som inte redan är registrerat i din klientorganisation kontrollerar du om det finns tillgängliga program i programgalleriet som kan integreras för federerad enkel inloggning. Om det finns i galleriet, använder du handledningarna för att integrera programmet med Microsoft Entra ID.

   1. Följ självstudiekursen för att konfigurera programmet för federerad SSO med Microsoft Entra-ID.
   2. Om programmet stöder etablering konfigurera programmet för etablering.
   3. När du är klar går du vidare till nästa avsnitt i den här artikeln. Om SaaS-programmet inte finns i galleriet be SaaS-leverantören att registrera.

3. Om det här är ett privat eller anpassat program kan du också välja en integrering med enkel inloggning som är lämpligast baserat på programmets plats och funktioner.

   • Om det här programmet finns på SAP Business Technology Platform (BTP) konfigurerar du Microsoft Entra-integrering med SAP Cloud Identity Services. Mer information finns i Microsoft Entra SSO-integrering med SAP BTP och Hantera åtkomst till SAP BTP-.

   • Om det här programmet finns i det offentliga molnet och det stöder enkel inloggning konfigurerar du enkel inloggning direkt från Microsoft Entra-ID till programmet.

     Programmet stöder	Nästa steg
     OpenID Connect	Lägg till ett OpenID Connect OAuth-program
     SAML 2.0	Registrera applikationen och konfigurera den med SAML-slutpunkterna och certifikatet för Microsoft Entra ID
     SAML 1.1	Lägg till ett SAML-baserat program

   • Om det här är ett SAP-program som använder SAP GUI kan du integrera Microsoft Entra för enkel inloggning med hjälp av integrering med SAP Secure Login Service eller integrering med Microsoft Entra Private Access.

   • Annars, om det här är ett lokalt program eller ett IaaS-värdbaserat program som stöder enkel inloggning, konfigurerar du enkel inloggning från Microsoft Entra-ID till programmet via programproxyn.

     Programmet stöder	Nästa steg
     SAML 2.0	Distribuera -programproxyn och konfigurera ett program för SAML SSO-
     Integrerad Windows-autentisering (IWA)	Distribuera programproxy, konfigurera ett program för integrerad Windows-autentiserings-SSOoch ange brandväggsregler för att förhindra åtkomst till programmets slutpunkter förutom via proxyn.
     rubrikbaserad autentisering	Distribuera -programproxyn och konfigurera ett program för huvudbaserad SSO-

4. Om ditt program finns i SAP BTP kan du använda Microsoft Entra-grupper för att behålla medlemskapet för varje roll. Mer information om hur du tilldelar grupperna till BTP-rollsamlingarna finns i Hantera åtkomst till SAP BTP-.

5. Om ditt program har flera roller har varje användare bara en roll i programmet, och programmet förlitar sig på Microsoft Entra-ID för att skicka en användares enda programspecifika roll som ett anspråk på att en användare loggar in i programmet, konfigurerar sedan approllerna i Microsoft Entra-ID:t i ditt program och tilldelar sedan varje användare till programrollen. Du kan använda användargränssnittet för approller för att lägga till dessa roller i programmanifestet. Om du använder Microsoft Authentication Libraries finns det ett kodexempel för hur du använder applikationsroller i ditt program för åtkomstkontroll. Om en användare kan ha flera roller samtidigt kanske du vill implementera programmet för att kontrollera säkerhetsgrupper, antingen i tokenanspråken eller tillgängliga via Microsoft Graph, i stället för att använda approller från appmanifestet för åtkomstkontroll.

6. Om programmet stöder tillhandahållande, konfigurera tillhandahållande av tilldelade användare och grupper från Microsoft Entra ID till programmet. Om det här är ett privat eller anpassat program kan du också välja den integrering som är lämpligast, baserat på programmets plats och funktioner.

   • Om det här programmet förlitar sig på SAP Cloud Identity Services konfigurerar du etablering av användare via SCIM till SAP Cloud Identity Services.

     Programmet stöder	Nästa steg
     SAP Cloud Identity Services	Konfigurera Microsoft Entra-ID för att etablera användare i SAP Cloud Identity Services

   • Om det här programmet finns i det offentliga molnet och har stöd för SCIM konfigurerar du etablering av användare via SCIM.

     Programmet stöder	Nästa steg
     SCIM	Konfigurera en applikation med SCIM för användarförsörjning

   • Om det här programmet använder AD, konfigurerar du tillbakaskrivning av grupper och uppdaterar programmet så att det använder de grupper som skapats av Microsoft Entra ID, eller lägger de grupper som skapats av Microsoft Entra ID i programmets befintliga AD-säkerhetsgrupper.

     Programmet stöder	Nästa steg
     Kerberos	Konfigurera Microsoft Entra Cloud Sync gruppåterskrivning till AD, skapa grupper i Microsoft Entra ID och överför dessa grupper till AD

   • Annars, om det här är ett lokalt program eller ett IaaS-värdbaserat program och inte är integrerat med AD, konfigurerar du tilldelning till programmet, antingen via SCIM eller till programmets underliggande databas eller katalog.

     Programmet stöder	Nästa steg
     SCIM	konfigurera en applikation med provisioneringsagenten för lokala SCIM-baserade appar
     lokala användarkonton som lagras i en SQL-databas	konfigurera ett program med -etableringsagenten för lokala SQL-baserade program
     lokala användarkonton som lagras i en LDAP-katalog	konfigurera ett program med -etableringsagenten för lokala LDAP-baserade program
     lokala användarkonton som hanteras via ett SOAP- eller REST-API	konfigurera en applikation med etableringsagenten och anslutningsappen för webbtjänster
     lokala användarkonton som hanteras via en MIM-anslutningsapp	Konfigurera en applikation med provisioneringsagent och en anpassad kopplare.
     SAP ECC med NetWeaver AS ABAP 7.0 eller senare	konfigurera en applikation med etableringsagenten och en webbanslutning för SAP ECC-konfigurerade tjänster

7. Om ditt program använder Microsoft Graph för att fråga efter grupper från Microsoft Entra-ID medgivande till programmen att ha rätt behörighet att läsa från din klientorganisation.

8. Åtkomst till applikationen tillåts endast för användare som tilldelats applikationen. Den här inställningen förhindrar att användare oavsiktligt ser programmet i MyApps och försöker logga in på programmet innan principer för villkorsstyrd åtkomst aktiveras.

Utföra en inledande åtkomstgranskning

Om det här är ett nytt program som din organisation inte har använt tidigare och därför ingen har befintlig åtkomst, eller om du redan har utfört åtkomstgranskningar för det här programmet, går du vidare till nästa avsnitt.

Men om programmet redan fanns i din miljö kan användarna tidigare ha fått åtkomst via manuella eller out-of-band-processer. Du bör granska dessa användare för att bekräfta att deras åtkomst fortfarande är nödvändig och lämplig. Vi rekommenderar att du utför en åtkomstgranskning av de användare som redan har åtkomst till programmet innan du aktiverar principer för att fler användare ska kunna begära åtkomst. Den här granskningen anger en baslinje där alla användare granskas minst en gång för att säkerställa att de har behörighet för fortsatt åtkomst.

1. Följ stegen i Förbereda för en åtkomstgranskning av användarnas åtkomst till ett program.
2. Om programmet inte använde Microsoft Entra-ID eller AD, men stöder ett etableringsprotokoll eller har en underliggande SQL- eller LDAP-databas, tar du in alla befintliga användare och skapar programrolltilldelningar åt dem.
3. Om programmet inte använde Microsoft Entra-ID eller AD och inte stöder ett etableringsprotokoll hämta en lista över användare från programmet och skapa programrolltilldelningar för var och en av dem.
4. Om programmet använde AD-säkerhetsgrupper måste du granska medlemskapet för dessa säkerhetsgrupper.
5. Om programmet hade en egen katalog eller databas och inte var integrerad för etablering kan du när granskningen är klar behöva uppdatera programmets interna databas eller katalog manuellt för att ta bort de användare som nekades.
6. Om programmet använde AD-säkerhetsgrupper och dessa grupper skapades i AD, måste du när granskningen är klar manuellt uppdatera AD-grupperna för att ta bort medlemskap för de användare som nekades. För att neka åtkomstbehörighet tas bort automatiskt kan du antingen uppdatera programmet för att använda en AD-grupp som skapades i Microsoft Entra-ID och skrivits tillbaka till Microsoft Entra ID, eller flytta medlemskapet från AD-gruppen till Microsoft Entra-gruppen och kapsla den tillbakaskrivna gruppen som den enda medlemmen i AD-gruppen.
7. När granskningen har slutförts och programåtkomsten har uppdaterats, eller om inga användare har åtkomst, fortsätter du till nästa steg för att distribuera principer för hantering av villkorsstyrd åtkomst och berättigande för programmet.

Nu när du har en baslinje som säkerställer att befintlig åtkomst har granskats kan du distribuera organisationens principer för löpande åtkomst och eventuella nya åtkomstbegäranden.

Nästa steg

• Distribuera styrningsprinciper