Share via

整合應用程式與 Microsoft Entra 識別符,並建立檢閱存取基準

  • 發行項

一旦為應可存取應用程式的人員建立原則之後,您就可以將應用程式連線至 Microsoft Entra ID,然後部署原則以控管其存取權。

Microsoft Entra ID 控管 可與許多應用程式整合,包括 SAP R/3、SAP S/4HANA 等知名應用程式,以及使用 OpenID 連線、SAML、SCIM、SQL、LDAP、SOAP 和 REST 等標準的應用程式。 透過這些標準,您可以搭配許多熱門 SaaS 應用程式和內部部署應用程式使用 Microsoft Entra ID,包括您組織開發的應用程式。 此部署計劃涵蓋如何將您的應用程式連線到 Microsoft Entra ID,並啟用要用於該應用程式的身分識別治理功能。

為了讓應用程式使用 Microsoft Entra ID 控管,應用程式必須先與 Microsoft Entra ID 整合,並在目錄中表示。 與 Microsoft Entra ID 整合的應用程式表示必須符合下列兩個需求之一:

  • 應用程式依賴 Microsoft Entra ID 進行同盟 SSO,而 Microsoft Entra ID 會控制驗證令牌發行。 如果 Microsoft Entra ID 是應用程式的唯一識別提供者,則只有指派給 Microsoft Entra ID 中其中一個應用程式角色的使用者才能登入應用程式。 失去其應用程式角色指派的用戶無法再取得新的令牌來登入應用程式。
  • 應用程式依賴由 Microsoft Entra ID 提供給應用程式的使用者或群組清單。 此履行可以透過 SCIM 之類的布建通訊協定來完成,方法是透過透過 Microsoft Graph 查詢 Microsoft Entra 識別符的應用程式,或使用 AD Kerberos 來取得使用者的群組成員資格的應用程式。

如果應用程式未符合這兩個準則,例如當應用程式不依賴 Microsoft Entra ID 時,仍可使用身分識別治理。 不過,使用身分識別控管時可能會有一些限制,而不需要符合準則。 例如,不是在 Microsoft Entra 識別符中或未指派給 Microsoft Entra 識別碼中的應用程式角色的使用者,在您指派應用程式角色給應用程式角色之前,將不會包含在應用程式的存取權檢閱中。 如需詳細資訊,請參閱 準備存取權檢閱使用者對應用程式的存取權。

將應用程式與 Microsoft Entra 識別元整合,以確保只有授權的使用者才能存取應用程式

一般而言,當您將該應用程式設定為依賴 Microsoft Entra ID 進行使用者驗證、使用同盟單一登錄 (SSO) 通訊協定連線,然後新增布建時,通常會開始整合應用程式的程式。 SSO 最常使用的通訊協定是 SAML 和 OpenID 連線。 您可以深入瞭解工具和程式,以 探索應用程式驗證並將其遷移至 Microsoft Entra ID

接下來,如果應用程式實作佈建通訊協定,則您應該設定 Microsoft Entra ID 將使用者布建至應用程式,讓 Microsoft Entra ID 可以在用戶獲得存取權或移除使用者的存取權時向應用程式發出訊號。 這些布建訊號可讓應用程式進行自動更正,例如重新指派已離開經理的員工所建立的內容。

  1. 檢查您的應用程式是否位於 企業應用程式 清單或 應用程式註冊清單上。 如果應用程式已存在於您的租使用者中,請跳至本節中的步驟 5。

  2. 如果您的應用程式是尚未在您的租用戶中註冊的 SaaS 應用程式,請檢查應用程式是否可供應用程式使用,以取得可針對同盟 SSO 整合的應用程式。 如果位於資源庫中,請使用教學課程來整合應用程式與 Microsoft Entra ID。

    1. 請遵循教學 課程 來設定與 Microsoft Entra ID 同盟 SSO 的應用程式。
    2. 如果應用程式支援布建,請 設定應用程式以進行布建
    3. 完成時,請跳至本文中的下一節。 如果 SaaS 應用程式不在資源庫中,請 要求 SaaS 廠商上線

  3. 如果這是私人或自定義應用程式,您也可以根據應用程式的位置和功能,選取最適合的單一登錄整合。

  4. 如果您的應用程式有多個角色,則每個使用者在應用程式中只有一個角色,而且應用程式依賴 Microsoft Entra ID 將使用者的單一應用程式特定角色傳送為使用者登入應用程式的宣告,然後在應用程式中的 Microsoft Entra ID 中設定這些應用程式角色,然後將每個使用者指派給應用程式角色。 您可以使用 應用程式角色 UI ,將這些角色新增至應用程式指令清單。 如果您使用 Microsoft 驗證連結庫,有一個 程式代碼範例 可用來在應用程式內使用應用程式角色進行訪問控制。 如果使用者可以同時擁有多個角色,則您可能想要實作應用程式來檢查安全組,無論是在令牌宣告中,還是可透過 Microsoft Graph 取得,而不是使用應用程式指令清單中的應用程式角色進行訪問控制。

  5. 如果應用程式支援布建,請 設定 從 Microsoft Entra ID 布建給該應用程式的指派使用者和群組。 如果這是私人或自定義應用程式,您也可以根據應用程式的位置和功能,選取最適合的整合。

  6. 如果您的應用程式使用 Microsoft Graph 從 Microsoft Entra ID 查詢群組,則 同意 應用程式具有從租使用者讀取的適當許可權。

  7. 將應用程式存取 權設定為只允許指派給應用程式的使用者。 此設定可防止使用者在 MyApps 中不小心看到應用程式,並在啟用條件式存取原則之前嘗試登入應用程式。

執行初始存取權檢閱

如果這是組織之前未使用的新應用程式,因此沒有人具有預先存在的存取權,或者如果您已經為此應用程式執行存取權檢閱,請跳至 下一節

不過,如果應用程式已存在於您的環境中,則使用者可能過去可能已透過手動或頻外程式取得存取權,而且這些使用者現在應該經過檢閱,以確認其存取權仍為必要且適當。 建議您先對已有應用程式存取權的使用者執行存取權檢閱,再啟用原則,讓更多用戶能夠要求存取權。 此檢閱會設定至少檢閱過一次所有用戶的基準,以確保這些使用者已獲得授權才能繼續存取。

  1. 請遵循準備使用者對應用程式存取權的存取權檢閱中的步驟。
  2. 如果應用程式未使用 Microsoft Entra ID 或 AD,但確實支援布建通訊協定或具有基礎 SQL 或 LDAP 資料庫,請引進任何 現有的使用者,併為其建立應用程式角色指派
  3. 如果應用程式未使用 Microsoft Entra ID 或 AD,而且不支援布建通訊協定,則 請從應用程式取得使用者清單,併為每個使用者建立應用程式角色指派。
  4. 如果應用程式使用AD安全組,則您必須檢閱這些安全組的成員資格。
  5. 如果應用程式有自己的目錄或資料庫且未整合以進行布建,則一旦檢閱完成,您可能需要手動更新應用程式的內部資料庫或目錄,以移除拒絕的使用者。
  6. 如果應用程式使用AD安全組,且這些群組是在AD中建立的,則檢閱完成後,您必須手動更新AD群組,以移除那些遭到拒絕的使用者成員資格。 之後,若要自動移除拒絕訪問許可權,您可以更新應用程式以使用 Microsoft Entra ID 中建立並 寫回 Microsoft Entra ID 的 AD 群組,或將成員資格從 AD 群組移至 Microsoft Entra 群組,並將 寫回群組巢狀為 AD 群組的唯一成員。
  7. 檢閱完成後並更新應用程式存取權,或如果用戶沒有存取權,請繼續進行後續步驟,以部署應用程式的條件式存取和權利管理原則。

既然您已擁有確保已檢閱現有存取權的基準,您就可以部署組織進行中存取的原則,以及任何新的存取要求。

下一步