Uygulamaları Microsoft Entra Id ile tümleştirme ve gözden geçirilmiş erişimin temelini oluşturma

Bir uygulamaya kimlerin erişimi olması gerektiğiyle ilgili ilkeleri oluşturduktan sonra, uygulamanızı Microsoft Entra Id'ye bağlayabilir ve sonra bunlara erişimi idare etmek için ilkeleri dağıtabilirsiniz.

Microsoft Entra Kimlik Yönetimi SAP R/3, SAP S/4HANA gibi iyi bilinen uygulamalar ve OpenID Bağlan, SAML, SCIM, SQL, LDAP, SOAP ve REST gibi standartları kullanan uygulamalar da dahil olmak üzere birçok uygulamayla tümleştirilebilir. Bu standartlar aracılığıyla Microsoft Entra ID'yi kuruluşunuzun geliştirdiği uygulamalar da dahil olmak üzere birçok popüler SaaS uygulaması ve şirket içi uygulamayla kullanabilirsiniz. Bu dağıtım planı, uygulamanızı Microsoft Entra Id'ye bağlamayı ve bu uygulama için kullanılacak kimlik idaresi özelliklerini etkinleştirmeyi kapsar.

Microsoft Entra Kimlik Yönetimi bir uygulama için kullanılabilmesi için, uygulamanın önce Microsoft Entra Id ile tümleştirilmesi ve dizininizde temsil edilmesi gerekir. Microsoft Entra Id ile tümleştirilen bir uygulama, iki gereksinimden birinin karşılanması gerektiği anlamına gelir:

• Uygulama, federasyon SSO için Microsoft Entra Kimliği'ne dayanır ve Microsoft Entra Id kimlik doğrulama belirteci verme işlemini denetler. Uygulama için tek kimlik sağlayıcısı Microsoft Entra Id ise, yalnızca Microsoft Entra ID'de uygulamanın rollerinden birine atanan kullanıcılar uygulamada oturum açabilir. Uygulama rol atamalarını kaybeden kullanıcılar artık uygulamada oturum açmak için yeni bir belirteç alamaz.
• Uygulama, Microsoft Entra Id tarafından uygulamaya sağlanan kullanıcı veya grup listelerine dayanır. Bu gerçekleştirme, SCIM gibi bir sağlama protokolü aracılığıyla, Microsoft Graph aracılığıyla Microsoft Entra Id'yi sorgulayan uygulama veya kullanıcının grup üyeliklerini almak için AD Kerberos kullanan uygulama tarafından yapılabilir.

Bir uygulama için bu ölçütlerden hiçbiri karşılanmazsa (örneğin, uygulama Microsoft Entra Kimliği'ne bağlı olmadığında) kimlik idaresi kullanılabilir. Ancak, ölçütlere uymadan kimlik idaresinin kullanılmasıyla ilgili bazı sınırlamalar olabilir. Örneğin, Microsoft Entra Id'nizde olmayan veya Microsoft Entra Id'de uygulama rollerine atanmamış kullanıcılar, siz uygulama rollerine atayana kadar uygulamanın erişim gözden geçirmelerine dahil edilmeyecektir. Daha fazla bilgi için bkz . Kullanıcıların uygulamaya erişimine yönelik erişim gözden geçirmesine hazırlanma.

Uygulamaya yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için uygulamayı Microsoft Entra Id ile tümleştirme

Genellikle bu uygulama tümleştirme işlemi, bu uygulamayı federasyon çoklu oturum açma (SSO) protokolü bağlantısıyla kullanıcı kimlik doğrulaması için Microsoft Entra Kimliği'ne bağlı olacak şekilde yapılandırdığınızda ve ardından sağlama eklediğinizde başlar. SSO için en yaygın kullanılan protokoller SAML ve OpenID Bağlan'dir. Uygulama kimlik doğrulamasını bulmak ve Microsoft Entra Id'ye geçirmek için araçlar ve işlemler hakkında daha fazla bilgi edinebilirsiniz.

Ardından, uygulama bir sağlama protokolü uygularsa, Microsoft Entra Id'yi uygulamaya kullanıcı sağlamak üzere yapılandırmanız gerekir; böylece Microsoft Entra Id kullanıcıya erişim verildiğinde veya kullanıcının erişimi kaldırıldığında uygulamaya sinyal verebilir. Bu sağlama sinyalleri, uygulamanın yöneticisine terk eden bir çalışan tarafından oluşturulan içeriği yeniden atama gibi otomatik düzeltmeler yapmasına izin verir.

1. Uygulamanızın kurumsal uygulamalar listesinde mi yoksa uygulama kayıtları listesinde mi olduğunu denetleyin. Uygulama kiracınızda zaten varsa bu bölümdeki 5. adıma geçin.

2. Uygulamanız kiracınızda henüz kayıtlı olmayan bir SaaS uygulamasıysa, uygulamanın federasyon SSO'sunda tümleştirilebilen uygulamalar için uygulama galerisinin kullanılabilir olup olmadığını denetleyin. Galerideyse, öğreticileri kullanarak uygulamayı Microsoft Entra Id ile tümleştirin.

   1. Microsoft Entra Id ile federasyon SSO'sunun uygulamasını yapılandırmak için öğreticiyi izleyin.
   2. uygulama sağlamayı destekliyorsa, uygulamayı sağlama için yapılandırın.
   3. Tamamlandığında, bu makaledeki sonraki bölüme geçin. SaaS uygulaması galeride değilse SaaS satıcıdan eklemesini isteyin.

3. Bu özel veya özel bir uygulamaysa, uygulamanın konumuna ve özelliklerine göre en uygun çoklu oturum açma tümleştirmesini de seçebilirsiniz.

   • Bu uygulama genel buluttaysa ve çoklu oturum açmayı destekliyorsa, doğrudan Microsoft Entra Id'den uygulamaya çoklu oturum açmayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     OpenID Connect	OpenID Bağlan OAuth uygulaması ekleme
     SAML 2.0	Uygulamayı kaydedin ve uygulamayı SAML uç noktaları ve Microsoft Entra ID sertifikasıyla yapılandırın
     SAML 1.1	SAML tabanlı uygulama ekleme

   • Aksi takdirde, bu çoklu oturum açmayı destekleyen bir şirket içi veya IaaS barındırılan uygulamaysa, uygulama ara sunucusu aracılığıyla Microsoft Entra Id'den uygulamaya çoklu oturum açmayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     SAML 2.0	Uygulama ara sunucusunu dağıtma ve SAML SSO için bir uygulama yapılandırma
     Tümleşik Windows Kimlik Doğrulaması (IWA)	Uygulama ara sunucusunu dağıtın, Tümleşik Windows kimlik doğrulaması SSO için bir uygulama yapılandırın ve ara sunucu aracılığıyla dışında uygulamanın uç noktalarına erişimi önlemek için güvenlik duvarı kuralları ayarlayın.
     üst bilgi tabanlı kimlik doğrulaması	Uygulama ara sunucusunu dağıtma ve üst bilgi tabanlı SSO için bir uygulama yapılandırma

4. Uygulamanızın birden çok rolü varsa, her kullanıcının uygulamada yalnızca bir rolü vardır ve uygulama, bir kullanıcının uygulamada oturum açma talebi olarak uygulamaya özgü tek bir rolünü göndermek, ardından bu uygulama rollerini uygulamanızda Microsoft Entra Kimliği'nde yapılandırmak ve ardından her kullanıcıyı uygulama rolüne atamak için Microsoft Entra Id'ye dayanır. Bu rolleri uygulama bildirimine eklemek için uygulama rolleri kullanıcı arabirimini kullanabilirsiniz. Microsoft Kimlik Doğrulama Kitaplıklarını kullanıyorsanız, erişim denetimi için uygulamanızın içinde uygulama rollerini kullanmaya yönelik bir kod örneği vardır. Kullanıcının aynı anda birden çok rolü olabilirse, erişim denetimi için uygulama bildirimindeki uygulama rollerini kullanmak yerine, güvenlik gruplarını belirteç taleplerinde veya Microsoft Graph aracılığıyla denetlemek üzere uygulamayı uygulamak isteyebilirsiniz.

5. Uygulama sağlamayı destekliyorsa, atanan kullanıcıların ve grupların Microsoft Entra Id'den bu uygulamaya sağlanmasını yapılandırın. Bu özel veya özel bir uygulamaysa, uygulamanın konumuna ve özelliklerine göre en uygun tümleştirmeyi de seçebilirsiniz.

   • Bu uygulama SAP Cloud Identity Services'ı kullanıyorsa, SCIM aracılığıyla SAP Cloud Identity Services'a kullanıcı sağlamayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     SAP Cloud Identity Services	Kullanıcıları SAP Cloud Identity Services'a sağlamak için Microsoft Entra Id'yi yapılandırma

   • Bu uygulama genel buluttaysa ve SCIM'yi destekliyorsa, SCIM aracılığıyla kullanıcı sağlamayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     SCIM	Kullanıcı sağlama için SCIM ile uygulama yapılandırma

   • Bu uygulama AD kullanıyorsa grup geri yazmayı yapılandırın ve uygulamayı Microsoft Entra ID tarafından oluşturulan grupları kullanacak şekilde güncelleştirin veya Microsoft Entra ID tarafından oluşturulan grupları uygulamaların mevcut AD güvenlik gruplarına iç içe yerleştirin.

     Uygulama destekler	Sonraki adımlar
     Kerberos	Microsoft Entra Cloud Sync grubunun AD'ye geri yazmasını yapılandırın, Microsoft Entra Id'de gruplar oluşturun ve bu grupları AD'ye yazın

   • Aksi takdirde, bu şirket içi veya IaaS tarafından barındırılan bir uygulamaysa ve AD ile tümleşik değilse, SCIM aracılığıyla veya uygulamanın temel alınan veritabanı veya dizinine sağlamayı yapılandırın.

     Uygulama destekler	Sonraki adımlar
     SCIM	şirket içi SCIM tabanlı uygulamalar için sağlama aracısı ile uygulama yapılandırma
     SQL veritabanında depolanan yerel kullanıcı hesapları	şirket içi SQL tabanlı uygulamalar için sağlama aracısı ile uygulama yapılandırma
     LDAP dizininde depolanan yerel kullanıcı hesapları	şirket içi LDAP tabanlı uygulamalar için sağlama aracısı ile bir uygulama yapılandırma
     SOAP veya REST API aracılığıyla yönetilen yerel kullanıcı hesapları	web hizmetleri bağlayıcısı ile sağlama aracısı ile bir uygulama yapılandırma
     MIM bağlayıcısı aracılığıyla yönetilen yerel kullanıcı hesapları	bir uygulamayı özel bağlayıcı ile sağlama aracısı ile yapılandırma
     NetWeaver AS ABAP 7.0 veya üzeri ile SAP ECC	SAP ECC tarafından yapılandırılmış web hizmetleri bağlayıcısı ile sağlama aracısı ile uygulama yapılandırma

6. Uygulamanız Microsoft Entra Id'den grupları sorgulamak için Microsoft Graph kullanıyorsa, uygulamaların kiracınızdan okumak için uygun izinlere sahip olmasını onaylayın .

7. Uygulamaya yalnızca uygulamaya atanan kullanıcılar için erişime izin verildiğini ayarlayın. Bu ayar, Koşullu Erişim ilkeleri etkinleştirilmeden önce kullanıcıların uygulamayı MyApps'te yanlışlıkla görmesini ve uygulamada oturum açmayı denemesini engeller.

İlk erişim gözden geçirmesini gerçekleştirme

Bu, kuruluşunuzun daha önce kullanmadığı yeni bir uygulamaysa ve dolayısıyla önceden kimsenin erişimi yoksa veya bu uygulama için zaten erişim gözden geçirmeleri yapıyorsanız sonraki bölüme geçin.

Ancak, uygulama ortamınızda zaten varsa, kullanıcıların el ile veya bant dışı işlemler aracılığıyla geçmişte erişim elde etmiş olmaları mümkündür ve bu kullanıcıların artık erişimlerinin hala gerekli ve uygun olduğunu onaylamaları için gözden geçirilmelidir. Daha fazla kullanıcının erişim istemesine yönelik ilkeleri etkinleştirmeden önce, uygulamaya zaten erişimi olan kullanıcıların erişim gözden geçirmesini gerçekleştirmenizi öneririz. Bu gözden geçirme, en az bir kez gözden geçirilmiş olan tüm kullanıcıların taban çizgisini ayarlar ve söz konusu kullanıcıların sürekli erişim için yetkilendirildiğinden emin olur.

1. Kullanıcıların uygulamaya erişiminin erişim gözden geçirmesine hazırlanma'daki adımları izleyin.
2. Uygulama Microsoft Entra ID veya AD kullanmıyorsa, ancak sağlama protokollerini destekliyorsa veya temel alınan bir SQL veya LDAP veritabanına sahipse, mevcut kullanıcıları getirin ve onlar için uygulama rolü atamaları oluşturun.
3. Uygulama Microsoft Entra ID veya AD kullanmıyorsa ve sağlama protokollerini desteklemiyorsa , uygulamadan bir kullanıcı listesi alın ve her biri için uygulama rolü atamaları oluşturun.
4. Uygulama AD güvenlik gruplarını kullanıyorsa bu güvenlik gruplarının üyeliğini gözden geçirmeniz gerekir.
5. Uygulamanın kendi dizini veya veritabanı varsa ve sağlama için tümleştirilemediyse, gözden geçirme tamamlandıktan sonra reddedilen kullanıcıları kaldırmak için uygulamanın iç veritabanını veya dizinini el ile güncelleştirmeniz gerekebilir.
6. Uygulama AD güvenlik gruplarını kullanıyorsa ve bu gruplar AD'de oluşturulduysa, gözden geçirme tamamlandıktan sonra reddedilen kullanıcıların üyeliklerini kaldırmak için AD gruplarını el ile güncelleştirmeniz gerekir. Daha sonra, reddedilen erişim haklarının otomatik olarak kaldırılması için, Uygulamayı Microsoft Entra Kimliği'nde oluşturulmuş ve Microsoft Entra Id'ye geri yazılmış bir AD grubu kullanacak şekilde güncelleştirebilir veya AD grubundan Microsoft Entra grubuna üyeliği taşıyabilir ve yazılan geri grubu AD grubunun tek üyesi olarak iç içe yerleştirebilirsiniz.
7. Gözden geçirme tamamlandıktan ve uygulama erişimi güncelleştirildikten sonra veya kullanıcı erişimi yoksa, uygulama için Koşullu Erişim ve yetkilendirme yönetimi ilkelerini dağıtmak için sonraki adımlara geçin.

Artık mevcut erişimin gözden geçirilmesini sağlayan bir temele sahip olduğunuz için, devam eden erişim ve yeni erişim istekleri için kuruluşun ilkelerini dağıtabilirsiniz.

Sonraki adımlar

• İdare ilkelerini dağıtma