Microsoft Entra 应用程序库是软件即服务(SaaS)应用程序的集合,这些 应用程序 预集成了 Microsoft Entra ID。 该集合包含数千个应用程序,使部署和配置 单一登录(SSO) 和 自动化用户预配变得容易。
若要在登录到租户时查找图库,请浏览到 Entra ID>企业应用>所有应用程序>新应用程序。
库中可用的应用程序遵循 SaaS 模型,该模型允许用户通过 Internet 连接并使用基于云的应用程序。 常见的示例包括电子邮件、日历和办公工具(如 Microsoft Office 365)。
下面是使用库中可用的应用程序的好处:
- 用户为应用程序找到最佳的 SSO 体验。
- 简化并最小化了应用程序的配置。
- 通过快速搜索可以找到所需的应用程序。
- 免费、基本和高级 Microsoft Entra 用户都可以使用应用程序。
- 用户可以轻松地查找可用于载入库应用程序的 分步配置教程 。
- 组织可以通过计算的风险分数来评估应用程序安全性,这些分数可评估安全、合规性、法律和常规类别中的 90 多个风险因素。
库中的应用程序
库包含数千个已预集成到 Microsoft Entra ID 中的应用程序。 使用库时,可以选择使用特定云平台中的应用程序、特别推荐应用程序,也可以搜索需要使用的应用程序。
搜索应用程序
如果在特别推荐应用程序中找不到要查找的应用程序,可以按名称搜索具体的应用程序。
搜索应用程序时,还可以指定特定筛选器,例如单一登录选项、自动预配和类别。
- 单一登录选项 - 可以搜索支持以下 SSO 选项的应用程序:SAML、OpenID Connect (OIDC)、密码或已链接。 有关这些选项的详细信息,请参阅 在 Microsoft Entra ID 中规划单一登录部署。
- 用户帐户管理 – 唯一可用的选项是 自动预配。
- 类别 - 将应用程序添加到库后,可以将其分类到特定类别。 可以使用多种类别,例如业务管理、协作或教育。
- 风险分数 - 按其计算的安全风险分数从 1(最高风险)到 10(最低风险)查看应用程序。 此分数有助于识别满足组织安全要求的应用程序。
- 安全风险因素 – 搜索满足特定安全措施的应用程序,例如多重身份验证、管理员审核线索、用户审核线索,以及保护应用程序使用的数据的其他安全标准。
- 合规性风险因素 – 将符合性标准和认证(例如 SOC 2、ISO 27001、HIPAA 和其他法规要求)的结果缩小到应用程序,以确保应用程序符合行业最佳做法。
Note
在 外部租户中,支持企业应用程序,但应用程序库目录不可用。 若要在外部租户中查找和添加企业应用程序,请选择 “新建应用程序>创建自己的应用程序”,然后在搜索栏中键入应用的名称,并在显示后从列表中选择它。
云平台
可以通过选择适当的平台来找到特定于主要云平台(例如 AWS、Google 或 Oracle)的应用程序。
本地应用程序
可通过五种方式将本地应用程序连接到 Microsoft Entra ID。 一个是使用 Microsoft Entra 应用程序代理进行单一登录。 如果应用程序支持通过 SAML 或 Kerberos 进行单一登录,则可以从 Microsoft Entra 库的本地部分执行以下任务:
- 配置应用程序代理以启用对本地应用程序的远程访问。
- 使用文档详细了解如何使用应用程序代理来确保对本地应用程序的安全远程访问。
- 管理你创建的任何专用网络连接器。
如果您的应用程序使用 Kerberos 同时还需要组成员身份,则可以将 Microsoft Entra ID 中的相应组同步到 Windows Server AD 组。 有关详细信息,请参阅 Microsoft Entra 云同步组写回。
第二种是使用预配代理,预配到具有其自己的用户存储且不依赖于 Windows Server AD 的本地应用程序。 可以将预配配置为 支持 SCIM、使用 SQL 数据库、使用 LDAP 目录或支持 SOAP 或 REST 预配 API 的本地应用程序。
第三种是通过为每个应用连接配置全局安全访问应用来使用 Microsoft Entra Private Access。 有关详细信息,请参阅 了解 Microsoft Entra Private Access。
第四种是使用应用程序自己的连接器。 如果有 SAP S/4HANA On-premise,则将 Microsoft Entra ID 中的用户预配到 SAP Cloud Identity Directory。 然后,SAP 云标识服务通过 SAP 云连接器将 SAP Cloud Identity Directory 中的用户预配到下游 SAP 应用程序,例如 SAP S/4HANA On-Premise。 有关详细信息,请参阅 计划使用 SAP 源和目标应用部署Microsoft Entra 进行用户预配。
第五种是使用第三方集成技术。 如果应用程序不支持 SCIM 等标准,合作伙伴可使用自定义 ECMA 连接器和 SCIM 网关,将 Microsoft Entra ID 与更多应用程序(包括本地应用程序)集成。 有关详细信息,请参阅 可用合作伙伴驱动的集成列表。
精选应用程序
当你打开 Microsoft Entra 库时,默认会列出特别推荐应用程序的集合。 每个应用程序都标记有一个符号,可用于确定它是支持联合 SSO 还是支持自动预配。
- 联合 SSO – 将 SSO 设置为在多个标识提供者之间工作时,就会产生“联合身份验证”。 基于联合身份验证协议的 SSO 实现可以提升安全性、可靠性和用户体验,实现起来也更容易。 一些应用程序基于 SAML 或基于 OIDC 实现联合 SSO。 对于 SAML 应用程序,当你选择“创建”时,应用程序会添加到租户。 对于 OIDC 应用程序,管理员必须先注册或登录应用程序的网站,才能将应用程序添加到 Microsoft Entra ID。
- 预配 - Microsoft SaaS 应用程序预配 的 Entra ID 是指在用户需要访问的 SaaS 应用程序中自动创建用户标识和角色。
Note
某些图库应用的“创建”按钮可能会出于设计考虑而被禁用。 这发生在两种情况下:首先,对于基于链接的 SSO 应用程序。 这些模板仅链接,不支持在 Microsoft Entra ID 中创建新的应用或服务主体。 他们将用户重定向到服务提供商管理的外部 URL。 由于未创建任何Microsoft Entra 对象,因此该按钮有意不可用。
其次,当应用已存在于租户中时,因为画廊应用程序每个租户仅限一个实例。 在这两种情况下,禁用的 “创建 ”按钮是预期行为。
了解应用程序风险分数
Microsoft Defender for Cloud Apps 向库中的 SaaS 应用程序分配风险分数,以帮助组织评估安全状况并做出明智的采用决策。 访问风险评分信息需要 Microsoft Entra Suite 或 Microsoft Entra Internet Access 许可证。
每个应用程序评分从 1 到 10,其中 1 表示最高风险,10 表示最低风险。 分数是使用四种风险类别的加权平均值计算的:
- 常规:公司稳定性、域年龄和受欢迎程度
- 安全性:加密方法、多重身份验证和审核线索
- 符合性:SOC 2、ISO 27001、HIPAA 和 PCI 等标准
- 法律:数据保护策略和法规合规性
评分模型评估来自公开可用数据、供应商披露和观察到的安全做法的 90 多个风险因素。
此风险评估功能可帮助 IT 管理员识别潜在的安全漏洞,并在为组织选择应用程序时做出数据驱动决策。
应用程序所有者可以通过导航到库,选择需要更新的应用程序,然后滚动到需要更新的特定风险因素,选择风险因素名称右侧的反馈符号,完成“向 Microsoft 提供反馈”表单,其中提供了分数更新请求、过时的应用程序数据或建议新的风险因素等选项。最后,提供有关所请求更改的详细信息并提交请求。
Note
通过此过程提交的反馈将发送到 Microsoft Defender for Cloud Apps,后者会评审应用程序风险分数和数据并进行任何必要的更新。
有关风险评分方法以及如何在 Microsoft Defender for Cloud Apps 上请求评分更新的详细信息,请参阅 “查找云应用”并计算风险评分。 还可以使用 List applicationTemplates API 以编程方式访问应用程序模板及其风险评分。
创建自己的应用程序
选择窗格顶部附近的“创建自己的应用程序”链接时,会看到一个新的窗格,其中列出了以下选项:
- 注册应用程序以与 Microsoft Entra ID(正在开发的应用)集成 - 此选项适用于希望使用 OpenID Connect 与 Microsoft Entra ID 的应用程序集成的开发人员。 此选项不提供将应用程序发布到应用商店的机会。 它仅用于开发,以专注于集成处理。 有关详细信息,请参阅 为应用程序设置基于 OIDC 的单一登录。
- 配置应用程序代理,以确保对本地应用程序的安全远程访问 - 此选项是为了让管理员通过与应用程序代理连接为本地托管的 Web 应用实现 SSO 和安全远程访问。 有关详细信息,请参阅 什么是Microsoft Entra 应用程序代理?。
请求将应用添加到图库
当成功将应用程序与 Microsoft Entra ID 集成并全面测试后,可以提出将其添加到库的请求。 不支持从门户将应用程序发布到库,但可以通过一个过程来请求添加该应用程序。 有关发布到图库的详细信息,请选择“请求新的图库应用程序”。
后续步骤
- 使用快速入门:添加企业应用程序,开始添加你的第一个企业应用程序。