Kurz konfigurace Saviyntu pomocí Azure Active Directory B2C

  • Článek

Naučte se integrovat Azure Active Directory B2C (Azure AD B2C) s platformou Saviynt Security Manager, která má viditelnost, zabezpečení a zásady správného řízení. Saviynt zahrnuje rizika aplikací a zásady správného řízení, správu infrastruktury, správu privilegovaných účtů a analýzu rizik zákazníků.

Další informace: Saviynt pro Azure AD B2C

Pomocí následujících pokynů můžete nastavit delegovanou správu řízení přístupu pro uživatele Azure AD B2C. Saviynt určuje, jestli má uživatel oprávnění ke správě uživatelů Azure AD B2C pomocí:

  • Zabezpečení na úrovni funkce k určení, jestli uživatelé můžou provádět operaci
    • Můžete například vytvořit uživatele, aktualizovat uživatele, resetovat heslo uživatele atd.
  • Zabezpečení na úrovni pole k určení, jestli uživatelé můžou během operací správy uživatelů číst a zapisovat atributy uživatelů
    • Například agent helpdesku může aktualizovat telefonní číslo; jiné atributy jsou jen pro čtení
  • Zabezpečení na úrovni dat k určení, jestli uživatelé můžou provádět operaci s jiným uživatelem
    • Například správce helpdesku pro oblast Spojené království spravuje uživatele Spojeného království.

Předpoklady

Na začátek budete potřebovat:

  • Předplatné Azure

  • Tenant Azure AD B2C propojený s vaším předplatným Azure

  • Přejděte na saviynt.com Kontaktujte nás a požádejte nás o ukázku.

Popis scénáře

Integrace Saviynt zahrnuje následující komponenty:

  • Azure AD B2C – identita jako služba pro vlastní řízení registrace, přihlašování a správy profilů zákazníků
  • Saviynt pro Azure AD B2C – zásady správného řízení identit pro delegovanou správu životního cyklu uživatelů a zásad správného řízení přístupu
  • Microsoft Graph API – rozhraní pro Saviynt pro správu uživatelů Azure AD B2C a jejich přístupu

Následující diagram architektury znázorňuje implementaci.

Diagram of the Saviynt architecture.

  1. Delegovaný správce spustí operaci uživatele Azure AD B2C se Saviyntem.
  2. Saviynt ověří, že delegovaný správce může operaci provést.
  3. Saviynt odešle odpověď na úspěšnou nebo neúspěšnou autorizaci.
  4. Saviynt umožňuje delegovanému správci provést operaci.
  5. Saviynt vyvolá rozhraní Microsoft Graph API s atributy uživatele pro správu uživatele v Azure AD B2C.
  6. Rozhraní Microsoft Graph API vytvoří, aktualizuje nebo odstraní uživatele v Azure AD B2C.
  7. Azure AD B2C odešle odpověď na úspěch nebo selhání.
  8. Rozhraní Microsoft Graph API vrátí odpověď na Saviynt.

Vytvoření účtu Saviynt a vytvoření delegovaných zásad

  1. Vytvořte si účet Saviynt. Začněte tím, že přejdete na saviynt.com Kontaktujte nás.
  2. Vytvořte delegovanou správu.
  3. Přiřaďte uživatelům roli delegovaného správce.

Konfigurace Azure AD B2C pomocí Saviyntu

Pomocí následujících pokynů vytvořte aplikaci, odstraňte uživatele a další.

Vytvoření aplikace Microsoft Entra pro Saviynt

Pro následující pokyny použijte adresář s tenantem Azure AD B2C.

  1. Přihlaste se k portálu Azure.

  2. Na panelu nástrojů portálu vyberte Adresáře a předplatná.

  3. Na stránce Nastavení portálu najděte adresář a předplatná v seznamu názvů adresářů svůj adresář Azure AD B2C.

  4. Vyberte Přepínač.

  5. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.

  6. Vyberte Registrace aplikací Nová> registrace.

  7. Zadejte název aplikace. Například Saviynt.

  8. Vyberte Vytvořit.

  9. Přejděte do části Oprávnění rozhraní API.

  10. Vyberte + Přidat oprávnění.

  11. Zobrazí se stránka oprávnění rozhraní API žádosti.

  12. Vyberte kartu Rozhraní API Microsoftu.

  13. Jako běžně používaná rozhraní Microsoft API vyberte Microsoft Graph .

  14. Přejděte na další stránku.

  15. Vyberte Oprávnění aplikace.

  16. Vyberte adresář.

  17. Zaškrtněte políčka Directory.Read.All and Directory.ReadWrite.All .

  18. Vyberte Přidat oprávnění.

  19. Zkontrolujte oprávnění.

  20. Vyberte Udělit souhlas správce pro výchozí adresář.

  21. Zvolte Uložit.

  22. Přejděte na Certifikáty a tajné kódy.

  23. Vyberte + Přidat tajný klíč klienta.

  24. Zadejte popis tajného klíče klienta.

  25. Vyberte možnost vypršení platnosti.

  26. Vyberte Přidat.

  27. Tajný klíč se zobrazí v části Tajný klíč klienta. Uložte tajný klíč klienta, abyste ho mohli použít později.

  28. Přejděte do části Přehled.

  29. Zkopírujte ID klienta a ID tenanta.

Uložte ID tenanta, ID klienta a tajný klíč klienta a dokončete instalaci.

Povolení Saviyntu k odstranění uživatelů

Povolte Saviynt provádění operací odstranění uživatelů v Azure AD B2C.

Další informace: Objekty aplikace a instanční objekty v ID Microsoft Entra

  1. Nainstalujte nejnovější verzi modulu Microsoft Graph PowerShell na pracovní stanici nebo server s Windows.

Další informace najdete v dokumentaci k Prostředí Microsoft Graph PowerShell.

  1. Připojení do modulu PowerShellu a spusťte následující příkazy:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Testování řešení

Přejděte do tenanta aplikace Saviynt a otestujte řízení životního cyklu uživatelů a případy použití zásad správného řízení přístupu.

Další kroky