إدارة الوصول إلى التطبيق
لا تزال تمثل إدارة الوصول المستمرة وتقييم الاستخدام والإبلاغ تحديًا بعد دمج التطبيق في نظام الهوية الخاص بالمؤسسة. في كثير من الحالات، يتعيّن على مسؤولي تكنولوجيا المعلومات أو مكتب المساعدة القيام بدور نشط مستمر في إدارة الوصول إلى تطبيقاتك. في بعض الأحيان، ينفذ التعيين فريق تكنولوجيا المعلومات العامة أو التقسيمية. غالبًا ما يهدف قرار التعيين إلى تفويض صانع القرار التجاري، مما يتطلب موافقتهم قبل أن تقوم تكنولوجيا المعلومات بالإحالة.
تستثمر مؤسسات أخرى في التكامل مع نظام إدارة الهوية والوصول الآلي الحالي، مثل التحكم في الوصول استناداً إلى الدور (RBAC) أو التحكم في الوصول استناداً إلى السمة (ABAC). تميل عملية التكامل وتطوير القواعد إلى أن تكون متخصصة ومكلفة. إن رصد أو الإبلاغ عن أي من النمختلط الإداريين هو استثمار منفصل ومكلف ومعقد.
كيف يساعد دليل Azure النشط؟
يدعم Microsoft Azure Active Directory إدارة وصول شاملة للتطبيقات المكونة، مما يتيح للمؤسسات تحقيق نُهج الوصول الصحيح بسهولة بدءًا من التعيين التلقائي المستند إلى السمة (سيناريوهات ABAC أو RBAC) مرورًا بالتفويض وتضمين إدارة المسؤول. باستخدام Microsoft Azure Active Directory، يمكنك بسهولة تحقيق نُهج معقدة، تجمع بين نماذج إدارة متعددة لتطبيق واحد، بل ويمكنك إعادة استخدام قواعد الإدارة عبر التطبيقات مع نفس الجماهير.
مع Microsoft Azure Active Directory، يتم دمج تقارير الاستخدام والتعيين بشكل كامل، مما يتيح للمسؤولين الإبلاغ بسهولة عن حالة التعيين وأخطاء التعيين وحتى الاستخدام.
تعيين مستخدمين ومجموعات إلى تطبيق
يركز تعيين تطبيق Microsoft Azure Active Directory على وضعي التعيين الأساسيين:
تعيين فردي يمكن لمسؤول تكنولوجيا المعلومات الذي لديه أذونات المسؤول العمومي للدليل تحديد حسابات المستخدمين الفردية ومنحهم حق الوصول إلى التطبيق.
التعيين المستند إلى المجموعة (يتطلب Microsoft Azure Active Directory Premium P1 أو P2) يمكن لمسؤول تكنولوجيا المعلومات الذي لديه أذونات المسؤول العمومي الدليل تعيين مجموعة إلى التطبيق. يتم تحديد وصول مستخدمين محددين من خلال ما إذا كانوا أعضاءً في المجموعة في الوقت الذي يحاولون فيه الوصول إلى التطبيق أم لا. بعبارة أخرى، يمكن للمسؤول إنشاء قاعدة تعيين تفيد "أي عضو حالي في المجموعة المعينة لديه حق الوصول إلى التطبيق". باستخدام خيار التعيين هذا، يمكن للمسؤولين الاستفادة من أي من خيارات إدارة مجموعة Microsoft Azure Active Directory، بما في ذلك المجموعات الديناميكية المستندة إلى السمات، أو مجموعات النظام الخارجية (على سبيل المثال، Active Directory أو Workday المحلي)، أو المجموعات المدارة من قِبل المسؤول أو التي تتم إدارتها ذاتيا. يمكن تعيين مجموعة واحدة بسهولة إلى تطبيقات متعددة، مع التأكد من أن التطبيقات ذات ترابط التعيين يمكنها مشاركة قواعد التعيين، مما يقلل من تعقيد الإدارة بشكل عام.
ملاحظة
عضويات المجموعة غير مدعومة للتعيين المستند إلى المجموعة للتطبيقات في الوقت الحالي.
باستخدام وضعي التعيين هذين، يمكن للمسؤولين تحقيق أي نهج مرغوب فيه لإدارة التعيينات.
اشتراط تعيين مستخدم لتطبيق
مع أنواع معينة من التطبيقات، لديك خيار مطالبة المستخدمين ليتم تعيينهم إلى التطبيق. وبفعل ذلك، يمكنك منع الجميع من تسجيل الدخول باستثناء المستخدمين الذين قمت بتعيينهم للتطبيق بشكل صريح. تدعم الأنواع التالية من التطبيقات هذا الخيار:
- التطبيقات المكونة لتسجيل الدخول الأحادي (SSO) مع المصادقة المستندة إلى SAML
- تطبيقات وكيل التطبيق التي تستخدم دليل Azure النشطة لما قبل المصادقة
- التطبيقات، التي بنيت على منصة تطبيقات Microsoft Azure Active Directory التي تستخدم مصادقة OAuth 2.0 / OpenID Connect بعد موافقة مستخدم أو مسؤول على هذا التطبيق. توفر بعض تطبيقات المؤسسة مزيدًا من التحكم في من يسمح له بتسجيل الدخول.
عندما يكون تعيين المستخدم مطلوبًا، لن يتمكن من تسجيل الدخول سوى المستخدمين الذين تعينهم للتطبيق (إما من خلال تعيين المستخدم المباشر أو استنادًا إلى عضوية المجموعة). يمكنهم الوصول إلى التطبيق على بوابة My Apps أو باستخدام رابط مباشر.
عندما لا يكون تعيين المستخدم مطلوبًا، لا يرى المستخدمون غير المعينين التطبيق على My Apps الخاصة بهم، ولكن يمكنهم تسجيل الدخول إلى التطبيق نفسه (المعروف أيضا باسم تسجيل الدخول الذي بدأه SP) أو يمكنهم استخدام عنوان URL الخاص بوصول المستخدم في صفحة خصائص التطبيق (المعروفة أيضًا باسم تسجيل الدخول الذي بدأه IDP). للحصول على مزيدٍ من المعلومات حول طلب تكوينات تعيين المستخدم، راجع تكوين تطبيق
لا يؤثر هذا الإعداد على ما إذا كان تطبيق ما يظهر في "My Apps" أم لا. تظهر التطبيقات على لوحات وصول "My Apps" للمستخدمين بمجرد تعيين مستخدم أو مجموعة إلى التطبيق.
ملاحظة
عندما يتطلب التطبيق تعيينًا، لا يسمح بموافقة المستخدم على هذا التطبيق. هذا صحيح حتى لو سُمح للمستخدمين بالموافقة على هذا التطبيق بخلاف ذلك. تأكد من منح موافقة المسؤول على مستوى المستأجر للتطبيقات التي تتطلب تعيين.
بالنسبة لبعض التطبيقات، لا يتوفر خيار طلب تعيين المستخدم في خصائص التطبيق. في هذه الحالات، يمكنك استخدام PowerShell لتعيين الخاصية appRoleAssignmentRequired على كيان الخدمة.
تحديد تجربة المستخدم للوصول إلى التطبيقات
يوفر Microsoft Azure Active Directory عدة طرق قابلة للتخصيص لنشر التطبيقات للمستخدمين في مؤسستك.
- دليل Azure النشط My Apps
- أداة تشغيل تطبيق Microsoft 365
- تسجيل الدخول المباشر إلى التطبيقات التي تم اتحادها (service-pr)
- روابط عميقة إلى تطبيقات خارجية أو مستندة إلى كلمة المرور أو موجودة
يمكنك تحديد ما إذا كان المستخدمون المعينون لتطبيق مؤسسة يمكنهم رؤيته في My Apps ومشغل تطبيق Microsoft 365.
مثال: تعيين التطبيق المعقد مع Microsoft Azure Active Directory
خذ بعين الاعتبار تطبيق مثل Salesforce. في العديد من المؤسسات، يتم استخدام Salesforce في المقام الأول من قِبل فرق التسويق والمبيعات. في كثير من الأحيان، يتمتع أعضاء فريق التسويق بامتياز كبير في الوصول إلى Salesforce، في حين أن أعضاء فريق المبيعات لديهم وصول محدود. وفي كثير من الحالات، قيّد عدد كبير من العاملين في مجال المعلومات الوصول إلى التطبيق. وتعقّد والاستثناءات من هذه القواعد الأمور. غالبًا ما يكون من صلاحيات فرق التسويق أو قيادة المبيعات منح المستخدم حق الوصول أو تغيير أدواره بشكل مستقل عن هذه القواعد العامة.
باستخدام Microsoft Azure Active Directory، يمكن تكوين تطبيقات مثل Salesforce مسبقًا لتسجيل الدخول الأحادي (SSO) وتوفير الخدمة المؤتمتة. بمجرد تكوين التطبيق، يمكن للمسؤول اتخاذ الإجراء لمرة واحدة لإنشاء وتعيين المجموعات المناسبة. في هذا المثال، يمكن للمسؤول تنفيذ التعيينات التالية:
يمكن تحديد المجموعات الديناميكية لتمثيل جميع أعضاء فرق التسويق والمبيعات تلقائيًا باستخدام سمات مثل القسم أو الدور:
- سيتم تعيين جميع أعضاء مجموعات التسويق لدور "التسويق" في Salesforce
- سيتم تعيين كافة أعضاء مجموعات فريق المبيعات إلى دور "المبيعات" في Salesforce. يمكن لمزيد من التحسين استخدام مجموعات متعددة تمثل فرق مبيعات إقليمية معينة لأدوار Salesforce مختلفة.
لتمكين آلية الاستثناء، يمكن إنشاء مجموعة الخدمة الذاتية لكل دور. على سبيل المثال، يمكن إنشاء مجموعة "استثناء تسويق Salesforce" كمجموعة خدمة ذاتية. يمكن تعيين المجموعة إلى دور التسويق Salesforce ويمكن جعل فريق قيادة التسويق مالكًا. يمكن لأعضاء فريق قيادة التسويق إضافة مستخدمين أو إزالتهم أو تعيين نهج انضمام أو حتى الموافقة على طلبات المستخدمين الفردية للانضمام أو رفضها. يتم دعم هذه الآلية من خلال خبرة عامل معلومات مناسبة لا تتطلب تدريبًا متخصصًا للمالكين أو الأعضاء.
في هذه الحالة، سيتم توفير كافة المستخدمين المعينين تلقائيًا إلى Salesforce. كما يتم إضافتها إلى مجموعات مختلفة سيتم تحديث تعيين دورهم في Salesforce. يمكن للمستخدمين اكتشاف Salesforce والوصول إليه من خلال My Apps أو عملاء الويب لتطبيق Office أو التنقل إلى صفحة تسجيل الدخول الخاصة بـ Salesforce التنظيمية. يمكن للمسؤولين عرض حالة الاستخدام والتعيين بسهولة باستخدام تقارير Microsoft Azure Active Directory.
يمكن للمسؤولين استخدام الوصول المشروط عبر Microsoft Azure Active Directory لتعيين نهج الوصول لأدوار محددة. يمكن أن تتضمن هذه النُهج ما إذا كان الوصول مسموح به خارج بيئة الشركة وحتى المصادقة متعددة العوامل أو متطلبات الجهاز لتحقيق الوصول في حالات مختلفة.
الوصول إلى تطبيقات Microsoft
يتم تعيين تطبيقات Microsoft (مثل Exchange أو SharePoint أو Yammer وما إلى ذلك) وإدارتها بشكل مختلف قليلاً عن تطبيقات SaaS الخارجية أو التطبيقات الأخرى التي تدمجها مع Azure AD لتسجيل الدخول الأحادي.
هناك ثلاث طرق رئيسية يمكن للمستخدم الوصول إلى تطبيق Microsoft المنشورة.
بالنسبة للتطبيقات في Microsoft 365 أو مجموعات الدفع الأخرى، يتم منح المستخدمين حق الوصول من خلال تعيين الترخيص إما مباشرة إلى حساب المستخدم الخاص بهم، أو من خلال مجموعة تستخدم إمكانية تعيين الترخيص المستندة إلى المجموعة.
بالنسبة للتطبيقات التي تنشرها Microsoft أو جهة خارجية بحرية لأي شخص لاستخدامها، يمكن منح المستخدمين حق الوصول من خلال موافقة المستخدم. يقوم المستخدمون بتسجيل الدخول إلى التطبيق باستخدام حساب Microsoft Azure Active Directory Work أو School الخاص بهم ويسمحون له بالوصول إلى بعض مجموعة محدودة من البيانات على حسابهم.
بالنسبة للتطبيقات التي تنشرها Microsoft أو جهة خارجية بحرية لأي شخص لاستخدامها، يمكن أيضًا منح المستخدمين حق الوصول من خلال موافقة المسؤول. وهذا يعني أن مسؤول قد حدد أنه يمكن استخدام التطبيق من قِبل الجميع في المؤسسة، بحيث يمكن تسجيل الدخول إلى التطبيق باستخدام حساب المسؤول العام ومنح حق الوصول إلى الجميع في المؤسسة.
تجمع بعض التطبيقات هذه الأساليب سويًا. على سبيل المثال، بعض تطبيقات Microsoft جزء من اشتراك Microsoft 365، ولكنها لا تزال تتطلب الموافقة.
يمكن للمستخدمين الوصول إلى تطبيقات Microsoft 365 من خلال بوابات Office 365 الخاصة بهم. يمكنك أيضا إظهار التطبيقات Microsoft 365 أو إخفاؤها في My Apps باستخدام تبديل الرؤية Office 365 في إعدادات المستخدمفي الدليل.
كما هو الحال مع تطبيقات المؤسسة، يمكنك تعيين المستخدمين إلى تطبيقات Microsoft معينة عبر مدخل Microsoft Azure أو، إذا لم يكن خيار المدخل متوفرا، باستخدام PowerShell.