将 Microsoft Entra ID 与应用程序集成入门指南

本主题概述了将应用程序与 Microsoft Entra ID 进行集成的流程。 以下各部分包含对一个更详细主题的简要汇总,方便用户确定此入门指南的哪些部分属于相关内容。

若要下载详细的部署计划,请参阅后续步骤

获取清单

在将应用程序与 Microsoft Entra ID 进行集成之前,知道所在位置以及要前往的位置非常重要。 以下问题旨在帮助你思考 Microsoft Entra 应用程序集成项目。

应用程序盘点

  • 所有应用程序的所在位置? 其所有者是谁?
  • 应用程序需要哪种身份验证?
  • 谁需要访问哪些应用程序?
  • 是否要部署新应用程序?
    • 是否要在公司内部构建应用程序并将其部署在 Azure 计算实例上?
    • 是否要使用 Azure 应用程序库中提供的某个应用程序?

用户和组盘点

  • 用户帐户位于哪个位置?
    • 本地 Active Directory
    • Microsoft Entra ID
    • 在拥有的独立应用程序数据库中
    • 在未经认可的应用程序中
    • 以上都是
  • 各个用户当前有哪些权限和角色分配? 是否需要审查其访问权限,或者是否确定用户当前的访问和角色分配适当?
  • 是否已在本地 Active Directory 中建立组?
    • 组的组织方式如何?
    • 有哪些组成员?
    • 组当前有哪些权限/角色分配?
  • 是否需要在集成之前清理用户/组数据库? (这是一个相当重要的问题。无用输入,无用输出。)

访问管理盘点

  • 当前如何管理用户对应用程序的访问? 是否需要做出更改? 是否考虑过使用其他方式来管理访问,例如使用 Azure RBAC
  • 谁需要访问哪些应用程序?

可能最初没有所有这些问题的答案,但没有关系。 本指南可帮助你回答其中一些问题并做出一些明智的决策。

使用 Cloud Discovery 查找未批准的云应用程序

如上所述,可能有些应用程序到目前为止仍不受组织的管理。 在盘点过程中,可以查找未经认可的云应用程序。 请参阅设置 Cloud Discovery

将应用程序与 Microsoft Entra ID 集成

以下文章介绍了将应用程序与 Microsoft Entra ID 集成的不同方法,并提供了一些指导。

可以添加已存在于组织中的任何应用程序或来自供应商的任何第三方应用程序(尚不在 Microsoft Entra 库中)。 根据许可协议,可以使用以下功能:

如果要查找有关如何将自定义应用与 Microsoft Entra ID 集成的开发人员指南,请参阅 Microsoft Entra ID 的身份验证方案。 开发使用新式协议(如 OpenId Connect/OAuth)对用户进行身份验证的应用时,可以使用 Azure 门户中的应用注册体验将应用注册到 Microsoft 标识平台。

身份验证类型

每个应用程序可能有不同的身份验证要求。 借助 Microsoft Entra ID,可对使用 SAML 2.0、WS 联合身份验证或 OpenID Connect 协议和密码单一登录的应用程序使用签名证书。 有关应用程序身份验证类型的详细信息,请参阅在 Microsoft Entra ID 中管理用于联合单一登录的证书基于密码的单一登录

使用 Microsoft Entra 应用程序代理启用 SSO

使用 Microsoft Entra 应用程序代理,可以从任何位置和任何设备安全访问专用网络中的应用程序。 在环境中安装专用网络连接器后,可以使用 Microsoft Entra ID 轻松配置该连接器。

集成自定义应用程序

如果要将自定义应用程序添加到 Azure 应用程序库,请参阅将应用发布到 Microsoft Entra 应用库

管理对应用程序的访问

下文介绍了在应用程序与 Microsoft Entra ID 集成后,使用 Microsoft Entra Connectors 和 Microsoft Entra ID 管理对应用程序访问的方法。

后续步骤

若要了解详细信息,可以从 GitHub 下载 Microsoft Entra 部署计划。 对于库应用程序,可以通过 Microsoft Entra 管理中心下载适用于单一登录、条件性访问和用户预配的部署计划。

若要从 Microsoft Entra 管理中心下载部署计划,可执行以下操作:

  1. 登录 Microsoft Entra 管理中心
  2. 选择“企业应用程序” | “选取应用” | “部署计划”。