将应用程序与 Microsoft Entra ID 集成并建立评审访问基线

为应有权访问应用程序的人员建立策略后,可以将应用程序连接到 Microsoft Entra ID,然后部署策略来管理对应用程序的访问。

Microsoft Entra ID Governance 可以与许多应用程序(包括 SAP R/3、SAP S/4HANA 等知名应用程序,以及使用 OpenID Connect、SAML、SCIM、SQL、LDAP、SOAP 和 REST 等标准的应用程序)集成。 通过这些标准,可以将 Microsoft Entra ID 与许多常用的 SaaS 应用程序和本地应用程序配合使用,包括组织已经开发的应用程序。 此部署计划涵盖如何将你的应用程序连接到 Microsoft Entra ID 并启用用于该应用程序的身份治理功能。

为了使 Microsoft Entra ID Governance 能够用于应用程序,必须首先将应用程序与 Microsoft Entra ID 集成而且必须在目录中进行表示。 与 Microsoft Entra ID 集成的应用程序意味着必须满足以下两个要求之一:

  • 应用程序依赖 Microsoft Entra ID 进行联合 SSO,Microsoft Entra ID 控制身份验证令牌颁发。 如果 Microsoft Entra ID 是应用程序的唯一标识提供者,则只有分配到 Microsoft Entra ID 中应用程序角色之一的用户才能登录到应用程序。 失去其应用程序角色分配的用户无法再获取用于登录到应用程序的新令牌。
  • 应用程序依赖于 Microsoft Entra ID 提供给应用程序的用户或组列表。 可以通过预配协议(例如 SCIM)完成此履行,通过使用 Microsoft Graph 查询 Microsoft Entra ID 的应用程序,或使用 AD Kerberos 获取用户的组成员身份的应用程序。

如果应用程序不满足这两个条件,例如当应用程序不依赖 Microsoft Entra ID 时,仍然可以使用标识治理。 但是,在不满足标准的情况下使用身份治理可能会有一些限制。 例如,不在 Microsoft Entra ID 中或未分配到 Microsoft Entra ID 中的应用程序角色的用户将不会包含在应用程序的访问评审中,除非将其分配给应用程序角色。 有关详细信息,请参阅准备对用户对应用程序的访问权限进行访问评审

将应用程序与 Microsoft Entra ID 集成以确保只有授权用户才能访问应用程序

通常,如果你将该应用程序配置为依赖 Microsoft Entra ID 进行用户身份验证、使用联合单一登录 (SSO) 协议连接,然后添加预配,此时集成应用程序的过程就开始了。 SSO 最常用的协议是 SAML 和 OpenID Connect。 你可以阅读有关发现应用程序身份验证并将其迁移到 Microsoft Entra ID 的工具和过程的更多信息。

接下来,如果应用程序实现了预配协议,那么你应该配置 Microsoft Entra ID 以向应用程序预配用户,以便当用户被授予访问权限或用户的访问权限已被删除时,Microsoft Entra ID 可以向应用程序发出信号。 这些供应信号允许应用程序进行自动更正,例如重新分配由已离开其经理的员工创建的内容。

  1. 检查你的应用程序是否在企业应用程序列表应用注册列表中列出。 如果你的租户中已存在应用程序,请跳到本部分中的步骤 5。

  2. 如果你的应用程序是尚未在你的租户中注册的 SaaS 应用程序,请检查该应用程序是否在应用程序库中显示为可以集成以进行联合 SSO 的应用程序。 如果位于库中,请使用教程将应用程序与 Microsoft Entra ID 集成。

    1. 按照教程配置与 Microsoft Entra ID 的联合 SSO 的应用程序。
    2. 如果应用程序支持预配,请配置应用程序以进行预配
    3. 完成后,请跳到本文中的下一部分。 如果 SaaS 应用程序不在库中,请让 SaaS 供应商该该应用程序入库
  3. 如果这是私有或自定义应用程序,你还可以根据应用程序的位置和功能选择最合适的单一登录集成。

  4. 如果应用程序具有多个角色,每个用户在应用程序中只有一个角色,并且应用程序使用 Microsoft Entra ID 将用户的单个应用程序特定角色作为登录到应用程序的用户的声明,则在应用程序上的 Microsoft Entra ID 中配置这些应用程序角色,然后将每个用户分配给应用程序角色。 可以使用应用角色 UI 将这些角色添加到应用程序清单。 如果使用 Microsoft 身份验证库, 代码示例演示如何使用应用程序中的应用角色进行访问控制。 如果用户可以同时具有多个角色,则你可能希望实现应用程序来检查安全组,无论是在令牌声明中还是通过 Microsoft Graph 提供,而不是使用应用程序清单中的应用程序角色进行访问控制。

  5. 如果应用程序支持预配,则配置从 Microsoft Entra ID 到该应用程序的已分配用户和组的预配。 如果这是私有或自定义应用程序,你还可以根据应用程序的位置和功能选择最合适的集成。

  6. 如果你的应用程序使用 Microsoft Graph 从 Microsoft Entra ID 查询组,则同意应用程序具有从你的租户读取的适当权限。

  7. 设置仅允许分配到应用程序的用户访问应用程序。 此设置可防止此情况:在条件访问策略启用之前,用户无意中在 MyApps 中看到应用程序并尝试登录应用程序。

执行初始访问评审

如果这是你的组织以前从未使用过的新应用程序,因此任何人都没有预先存在的访问权限,或者如果你已经对此应用程序执行访问审查,请跳到下一部分

但是,如果应用程序已经存在于你的环境中,那么用户过去可能通过手动或带外流程获得了访问权限,现在应该审查这些用户以确认仍然需要他们的访问权限,并且适当的向前推进。 我们建议在启用策略以使更多用户能够请求访问之前,对已经有权访问应用程序的用户执行访问审查。 此审核为至少已审核一次的所有用户设置基线,以确保这些用户被授权继续访问。

  1. 按照准备对用户对应用程序的访问权限进行访问评审中的步骤进行操作。
  2. 如果应用程序未使用 Microsoft Entra ID 或 AD,但支持预配协议或具有基础 SQL 或 LDAP 数据库,请引入任何现有用户并为其创建应用程序角色分配
  3. 如果应用程序未使用 Microsoft Entra ID 或 AD,并且不支持预配协议,请从应用程序获取用户列表,并为每个用户创建应用程序角色分配
  4. 如果应用程序使用的是 AD 安全组,则需要查看这些安全组的成员身份。
  5. 如果应用程序有自己的目录或数据库,并且未集成以进行预配,那么一旦审核完成,你就可能需要手动更新应用程序的内部数据库或目录以删除那些被拒绝的用户。
  6. 如果应用程序使用的是 AD 安全组,并且这些组是在 AD 中创建的,则在审核完成后,需要手动更新 AD 组以删除拒绝的用户的成员身份。 随后,若要自动移除已拒绝的访问权限,可更新应用程序以使用在 Microsoft Entra ID 中创建并写回 Microsoft Entra ID 的 AD 组,或者将成员身份从 AD 组移动到 Microsoft Entra 组,并将写回组嵌套为 AD 组的唯一成员
  7. 完成审核并更新应用程序访问权限后,或者如果没有用户具有访问权限,则继续执行后续步骤,为应用程序部署条件访问和授权管理策略。

由于你已获得了基线,可确保现有访问权限已被审查,现在可以部署组织的策略以进行持续访问和任何新的访问请求。

后续步骤