Uygulamaları Microsoft Entra Id ile tümleştirme ve gözden geçirilmiş erişimin temelini oluşturma

Uygulamaya erişimi olması gereken kişilere yönelik ilkeleri oluşturduktan sonra, uygulamanızı Microsoft Entra ID bağlayabilir ve ardından erişimi yönetmek için ilkeleri dağıtabilirsiniz.

Microsoft Entra ID İdaresi SAP R/3, SAP S/4HANA gibi birçok uygulamayla ve OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP ve REST gibi standartları kullanan uygulamalarla tümleştirilebilir. Bu standartlar aracılığıyla Microsoft Entra ID'yi kuruluşunuzun geliştirdiği uygulamalar da dahil olmak üzere birçok popüler SaaS uygulaması ve şirket içi uygulamayla kullanabilirsiniz. Bu dağıtım planı, uygulamanızı Microsoft Entra Id'ye bağlamayı ve bu uygulama için kullanılacak kimlik idaresi özelliklerini etkinleştirmeyi kapsar.

Bir uygulama için Microsoft Entra ID İdaresi'nin kullanılabilmesi için, uygulamanın önce Microsoft Entra Id ile tümleştirilmesi ve dizininizde temsil edilmesi gerekir. Microsoft Entra Id ile tümleştirilen bir uygulama, iki gereksinimden birinin karşılanması gerektiği anlamına gelir:

• Uygulama, federasyon SSO için Microsoft Entra Kimliği'ne dayanır ve Microsoft Entra Id kimlik doğrulama belirteci verme işlemini denetler. Uygulama için tek kimlik sağlayıcısı Microsoft Entra Id ise, uygulamada yalnızca Microsoft Entra Id'de uygulamanın rollerinden birine atanan kullanıcılar oturum açabilir. Uygulama rol atamalarını kaybeden kullanıcılar artık uygulamada oturum açmak için yeni bir belirteç alamaz.
• Uygulama, Microsoft Entra Id tarafından uygulamaya sağlanan kullanıcı veya grup listelerine dayanır. Bu gerçekleştirme, SCIM gibi bir sağlama protokolü aracılığıyla, Microsoft Graph aracılığıyla Microsoft Entra Id'yi sorgulayan uygulama veya kullanıcının grup üyeliklerini almak için AD Kerberos kullanan uygulama tarafından yapılabilir.

Bir uygulama için bu ölçütlerden hiçbiri karşılanmazsa (örneğin, uygulama Microsoft Entra Kimliği'ne bağlı olmadığında) kimlik idaresi kullanılabilir. Ancak, ölçütlere uymadan kimlik idaresinin kullanılmasıyla ilgili bazı sınırlamalar olabilir. Örneğin, Microsoft Entra Id'nizde olmayan veya Microsoft Entra Id'de uygulama rollerine atanmamış kullanıcılar, siz uygulama rollerine atayana kadar uygulamanın erişim gözden geçirmelerine dahil edilmeyecektir. Daha fazla bilgi için bkz. Kullanıcıların bir uygulamaya erişiminin erişim incelemesi için hazırlık yapma.

Uygulamaya yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için uygulamayı Microsoft Entra Id ile tümleştirme

Bir uygulama işleminin tümleştirilmesi, bu uygulamayı federasyon çoklu oturum açma (SSO) protokolü bağlantısıyla kullanıcı kimlik doğrulaması için Microsoft Entra Id'ye bağlı olacak şekilde yapılandırdığınızda ve ardından sağlama eklediğinizde başlar. SSO için en yaygın kullanılan protokoller SAML ve OpenID Connect'dir. Microsoft Entra ID'ye uygulama kimlik doğrulamasını keşfetme ve geçirme için araçlar ve işlemler hakkında daha fazla bilgi edinebilirsiniz.

Ardından, uygulama bir sağlama protokolü uygularsa, Microsoft Entra Id'yi uygulamaya kullanıcı sağlamak üzere yapılandırmanız gerekir; böylece Microsoft Entra Id kullanıcıya erişim verildiğinde veya kullanıcının erişimi kaldırıldığında uygulamaya sinyal verebilir. Bu sağlama sinyalleri, uygulamanın, ayrılan bir çalışan tarafından oluşturulan içeriği yöneticilerine yeniden atama gibi otomatik düzeltmeler yapmasını sağlar.

1. Uygulamanızın kurumsal uygulamalar listesinde mi yoksauygulama kayıtlarının listesinde mi olduğunu denetleyin. Uygulama kiracınızda zaten varsa bu bölümdeki 5. adıma geçin.

2. Uygulamanız kiracınızda henüz kayıtlı olmayan bir SaaS uygulamasıysa, uygulama galerisinde federasyon SSO için tümleştirilebilen kullanılabilir uygulamaları denetleyin. Galerideyse, öğreticileri kullanarak uygulamayı Microsoft Entra ID ile tümleştirin.

   1. Microsoft Entra ID ile federatif SSO için uygulamayı yapılandırmak üzere öğreticisini izleyin.
   2. uygulama hizmet sağlamayı destekliyorsa, uygulamayıhizmet sağlama için yapılandırın.
   3. Tamamlandığında, bu makaledeki sonraki bölüme geçin. SaaS uygulaması galeride değilse SaaS satıcısınıeklemesini isteyin.

3. Bu özel veya özel bir uygulamaysa, uygulamanın konumuna ve özelliklerine göre en uygun çoklu oturum açma tümleştirmesini de seçebilirsiniz.

   • Bu uygulama SAP business technology platform (BTP) üzerindeyse, SAP Cloud Identity Services ile Microsoft Entra tümleştirmesini yapılandırın. Daha fazla bilgi için bkz. SAP BTP ile Microsoft Entra SSO tümleştirmesini ve SAP BTPerişimini yönetme.

   • Bu uygulama genel buluttaysa ve çoklu oturum açmayı destekliyorsa, doğrudan Microsoft Entra Id'den uygulamaya çoklu oturum açmayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     OpenID Connect (Kimlik Doğrulama Protokolü)	OpenID Connect OAuth uygulaması ekleme
     SAML 2.0	Uygulamayı kaydedin ve SAML uç noktalarını ve Microsoft Entra ID'nin sertifikasını kullanarak uygulamayı yapılandırın.
     SAML 1.1	SAML tabanlı uygulama ekleme

   • Bu SAP GUI kullanan bir SAP uygulamasıysa, SAP Secure Login Service ile tümleştirmesini veya Microsoft Entra Private Accessile tümleştirmesini kullanarak çoklu oturum açma için Microsoft Entra'yı tümleştirin.

   • Aksi takdirde, bu çoklu oturum açmayı destekleyen bir şirket içi veya IaaS barındırılan uygulamaysa, uygulama ara sunucusu aracılığıyla Microsoft Entra Id'den uygulamaya çoklu oturum açmayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     SAML 2.0	uygulama ara sunucusunu dağıtın ve SAML SSO için bir uygulama yapılandırın
     Tümleşik Windows Kimlik Doğrulaması (IWA)	uygulama ara sunucusunudağıtın, tümleşik Windows kimlik doğrulaması SSOiçin bir uygulama yapılandırın ve ara sunucu aracılığıyla dışında uygulamanın uç noktalarına erişimi önlemek için güvenlik duvarı kuralları ayarlayın.
     üst bilgi tabanlı kimlik doğrulaması	uygulama ara sunucusu dağıtın ve üst bilgi tabanlı SSO için bir uygulama yapılandırın

4. Uygulamanız SAP BTP'deyse, her rolün üyeliğini korumak için Microsoft Entra gruplarını kullanabilirsiniz. Grupları BTP rol koleksiyonlarına atama hakkında daha fazla bilgi için bkz. SAP BTP'ye erişimi yönetme.

5. Uygulamanızın birden çok rolü varsa, her kullanıcının uygulamada yalnızca bir rolü vardır ve uygulama, bir kullanıcının uygulamada oturum açma talebi olarak uygulamaya özgü tek bir rolünü göndermek, ardından bu uygulama rollerini uygulamanızda Microsoft Entra Kimliği'nde yapılandırmak ve ardından her kullanıcıyı uygulama rolüne atamak için Microsoft Entra Id'ye dayanır. Uygulama bildirimine bu rolleri eklemek için uygulama rolleri kullanıcı arabirimi kullanabilirsiniz. Microsoft Kimlik Doğrulama Kitaplıklarını kullanıyorsanız, erişim denetimi için uygulamanızın içindeki uygulama rollerinin nasıl kullanılacağına yönelik bir kod örneği vardır. Kullanıcının aynı anda birden çok rolü olabilirse, erişim denetimi için uygulama bildirimindeki uygulama rollerini kullanmak yerine, güvenlik gruplarını belirteç taleplerinde veya Microsoft Graph aracılığıyla denetlemek üzere uygulamayı uygulamak isteyebilirsiniz.

6. Uygulama sağlamayı destekliyorsa, Microsoft Entra ID'den bu uygulamaya atanan kullanıcılar ve grupların sağlanmasını yapılandırın. Bu özel veya özel bir uygulamaysa, uygulamanın konumuna ve özelliklerine göre en uygun tümleştirmeyi de seçebilirsiniz.

   • Bu uygulama SAP Cloud Identity Services'ı kullanıyorsa, SCIM aracılığıyla SAP Cloud Identity Services'a kullanıcı sağlamayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     SAP Cloud Identity Services	Sap Cloud Identity Services'a kullanıcı sağlamak için Microsoft Entra Id'yi yapılandırma

   • Bu uygulama genel buluttaysa ve SCIM'yi destekliyorsa, SCIM aracılığıyla kullanıcı sağlamayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     Kimlik Yönetimi için Alanlar Arası Sistem (SCIM)	SCIM ile kullanıcı sağlama için bir uygulamayı yapılandırma.

   • Bu uygulama AD kullanıyorsa grup geri yazmayı yapılandırın ve uygulamayı Microsoft Entra ID tarafından oluşturulan grupları kullanacak şekilde güncelleştirin veya Microsoft Entra ID tarafından oluşturulan grupları uygulamaların mevcut AD güvenlik gruplarına iç içe yerleştirin.

     Uygulama destekler	Sonraki adımlar
     Kerberos Gölü	Microsoft Entra Cloud Sync grup geri yazmayı AD yapılandırın, Microsoft Entra ID'de gruplar oluşturun ve bu grupları AD'ye yazın.

   • Aksi takdirde, bu şirket içi veya IaaS tarafından barındırılan bir uygulamaysa ve AD ile tümleşik değilse, SCIM aracılığıyla veya uygulamanın temel alınan veritabanı veya dizinine sağlamayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     Kimlik Yönetimi için Alanlar Arası Sistem (SCIM)	bir uygulamayı şirket içi SCIM tabanlı uygulamalar için sağlama aracısı ile yapılandırma
     SQL veritabanında depolanan yerel kullanıcı hesapları	bir uygulamayı şirket içi SQL tabanlı uygulamalar için sağlama aracısı ile yapılandırma
     LDAP dizininde depolanan yerel kullanıcı hesapları	bir uygulamayı şirket içi LDAP tabanlı uygulamalar için sağlama aracısı ile yapılandırma
     SOAP veya REST API aracılığıyla yönetilen yerel kullanıcı hesapları	sağlama aracısını ve web hizmetleri bağlayıcısını kullanarak bir uygulama yapılandırma
     MIM bağlayıcısı aracılığıyla yönetilen yerel kullanıcı hesapları	sağlama aracısı ile özel bağlayıcı kullanarak bir uygulamayı yapılandırma
     NetWeaver AS ABAP 7.0 veya üzeri ile SAP ECC	SAP ECC yapılandırılmış web hizmetleri bağlayıcısına sahip sağlama aracısıyla bir uygulamayı yapılandırın.

7. Microsoft Entra ID'den grupları sorgulamak için Microsoft Graph kullanıyorsanız, uygulamaların kiracınızdan okuma iznine sahip olabilmesi için onay verin.

8. Uygulamanın erişimine yalnızcauygulamaya atanan kullanıcılar için izin verildiğini ayarlayın. Bu ayar, Koşullu Erişim ilkeleri etkinleştirilmeden önce kullanıcıların uygulamayı MyApps'te yanlışlıkla görmesini ve uygulamada oturum açmayı denemesini engeller.

İlk erişim gözden geçirmesini gerçekleştirme

Bu, kuruluşunuzun daha önce kullanmadığı yeni bir uygulamaysa ve dolayısıyla önceden kimsenin erişimi yoksa veya bu uygulama için zaten erişim gözden geçirmeleri yapıyorsanız,sonraki bölümüne atlayın.

Ancak, uygulama zaten ortamınızdaysa, kullanıcılar el ile veya bant dışı işlemler aracılığıyla geçmişte erişim elde etmiş olabilir. Erişimlerinin hala gerekli ve uygun olduğunu onaylamak için bu kullanıcıları gözden geçirmeniz gerekir. Daha fazla kullanıcının erişim istemesine yönelik ilkeleri etkinleştirmeden önce, uygulamaya zaten erişimi olan kullanıcıların erişim gözden geçirmesini gerçekleştirmenizi öneririz. Bu gözden geçirme, tüm kullanıcıların sürekli erişim için yetkilendirildiğinden emin olmak için en az bir kez gözden geçirildiği bir taban çizgisi ayarlar.

1. kullanıcıların bir uygulamaya erişimini gözden geçirmek için hazırlık adımlarınıizleyin.
2. Uygulama Microsoft Entra ID veya AD kullanmıyorsa, ancak sağlama protokollerini destekliyorsa ya da temel alınan bir SQL veya LDAP veritabanına sahipse, mevcut kullanıcıları getirin ve onlar için uygulama rolü atamaları oluşturun.
3. Uygulama Microsoft Entra ID veya AD kullanmıyorsa ve sağlama protokollerini desteklemiyorsa, uygulamadan kullanıcıların listesini alın veher biri için uygulama rolü atamaları oluşturun.
4. Uygulama AD güvenlik gruplarını kullanıyorsa bu güvenlik gruplarının üyeliğini gözden geçirmeniz gerekir.
5. Uygulamanın kendi dizini veya veritabanı varsa ve sağlama için tümleştirilemediyse, gözden geçirme tamamlandıktan sonra reddedilen kullanıcıları kaldırmak için uygulamanın iç veritabanını veya dizinini el ile güncelleştirmeniz gerekebilir.
6. Uygulama AD güvenlik gruplarını kullanıyorsa ve bu gruplar AD'de oluşturulduysa, gözden geçirme tamamlandıktan sonra reddedilen kullanıcıların üyeliklerini kaldırmak için AD gruplarını el ile güncelleştirmeniz gerekir. Daha sonra, erişim haklarının engellenmesi otomatik olarak kaldırılabilmesi için, uygulamayı Microsoft Entra Id'de oluşturulmuş veMicrosoft Entra ID'ye geri yazılmış bir AD grubu kullanacak şekilde güncelleştirebilir veya AD grubundan Microsoft Entra grubuna üyeliği taşıyabilir ve AD grubunun tek üyesi olarak geri yazılan grubu iç içe yerleştirebilirsiniz.
7. Gözden geçirme tamamlandıktan ve uygulama erişimi güncelleştirildikten sonra veya kullanıcı erişimi yoksa, uygulama için Koşullu Erişim ve yetkilendirme yönetimi ilkelerini dağıtmak için sonraki adımlara geçin.

Özel veri sağlanan kaynaklar (önizleme) kullanarak, erişim verilerini erişim incelemesinden önce doğrudan karşıya yükleyerek Microsoft Entra ID erişim incelemelerine uygulamalardan erişim hakları ekleyebilirsiniz. Daha fazla bilgi için bkz. Katalog kullanıcısı Erişim Gözden Geçirmeleri (Önizleme) için katalogda sağlanan özel verileri ekleme.

Artık mevcut erişimin gözden geçirilmesini sağlayan bir temele sahip olduğunuz için, devam eden erişim ve yeni erişim istekleri için kuruluşun ilkelerini dağıtabilirsiniz.

Sonraki adımlar

• Yönetim politikalarını devreye alma