Co je správa aplikací v Azure Active Directory?

Správa aplikací v Azure Active Directory (Azure AD) je proces vytváření, konfigurace, správy a monitorování aplikací v cloudu. Když je aplikace zaregistrovaná v tenantovi Azure AD, uživatelé, kteří jsou k ní přiřazení, k ní mají zabezpečený přístup. V Azure AD je možné zaregistrovat mnoho typů aplikací. Další informace najdete v tématu Typy aplikací pro platformu Microsoft Identity Platform.

V tomto článku se seznámíte s těmito důležitými aspekty správy životního cyklu aplikace:

  • Vývoj, přidání nebo připojení – můžete se rozvíjet různými způsoby v závislosti na tom, jestli vyvíjíte vlastní aplikaci, používáte předem integrovanou aplikaci nebo se připojujete k místní aplikaci.
  • Správa přístupu – přístup je možné spravovat pomocí jednotného přihlašování(SSO), přiřazování prostředků, definování způsobu udělení a souhlasu přístupu a používání automatického zřizování.
  • Konfigurace vlastností – Nakonfigurujte požadavky pro přihlášení k aplikaci a způsob, jakým je aplikace reprezentována na portálech User Portal.
  • Zabezpečení aplikace – Umožňuje spravovat konfiguraci oprávnění, vícefaktorového ověřování (MFA), podmíněného přístupu, tokenů a certifikátů.
  • Řízení a monitorování – Spravujte interakci a kontrolu aktivit pomocí prostředků pro správu nároků a vytváření sestav a monitorování.
  • Vyčištění – Pokud už aplikaci nepotřebujete, vyčistěte tenanta odebráním přístupu k aplikaci a jeho odstraněním.

Vývoj, přidání nebo připojení

Existuje několik způsobů, jak můžete spravovat aplikace v Azure AD. Nejjednodušší způsob, jak začít spravovat aplikaci, je použít předem integrovanou aplikaci z galerie Azure AD. Vývoj vlastní aplikace a její registrace v Azure AD je možnost, nebo můžete i nadále používat místní aplikaci.

Následující obrázek ukazuje, jak tyto aplikace komunikují s Azure AD.

Diagram znázorňující, jak můžete jako podnikové aplikace používat vlastní vyvinuté aplikace, předem integrované aplikace a místní aplikace

Předem integrované aplikace

Mnoho aplikací je už předem integrovaných (na obrázku výše se zobrazuje jako "cloudové aplikace") a je možné je nastavit s minimálním úsilím. Každá aplikace v galerii Azure AD má k dispozici článek, který ukazuje kroky potřebné ke konfiguraci aplikace. Jednoduchý příklad přidání aplikace do tenanta Azure AD z galerie najdete v tématu Rychlý start: Přidání podnikové aplikace.

Vaše vlastní aplikace

Pokud vyvíjíte vlastní obchodní aplikaci, můžete ji zaregistrovat v Azure AD, abyste mohli využívat funkce zabezpečení, které tenant poskytuje. Aplikaci můžete zaregistrovat v registraci aplikací nebo ji můžete zaregistrovat pomocí odkazu Vytvořit vlastní aplikaci při přidávání nové aplikace v Enterprise aplikacích. Zvažte, jak se ve vaší aplikaci implementuje ověřování pro integraci s Azure AD.

Pokud chcete aplikaci z dostupných prostřednictvím galerie, můžete odeslat žádost o přidání .

Místní aplikace

Pokud chcete pokračovat v používání místní aplikace, ale využívat výhod, které Azure AD nabízí, připojte ji k Azure AD pomocí služby Azure AD proxy aplikací. proxy aplikací můžete implementovat, když chcete publikovat místní aplikace externě. Vzdálení uživatelé, kteří potřebují přístup k interním aplikacím, k nim mají zabezpečený přístup.

Správa přístupu

Pokud chcete spravovat přístup pro aplikaci, chcete odpovědět na následující otázky:

  • Jak se aplikaci udělí přístup a udělí se mu souhlas?
  • Podporuje aplikace jednotné přihlašování?
  • Kteří uživatelé, skupiny a vlastníci by měli být k aplikaci přiřazení?
  • Existují další zprostředkovatelé identity, kteří aplikaci podporují?
  • Bude užitečné automatizovat zřizování identit a rolí uživatelů?

Můžete spravovat nastavení souhlasu uživatele a zvolit, jestli uživatelé mohou aplikaci nebo službě povolit přístup k profilům uživatelů a datům organizace. Když aplikacím udělíte přístup, mohou se uživatelé přihlásit k aplikacím integrovaným se službou Azure AD a aplikace může přistupovat k datům vaší organizace a poskytovat bohatá prostředí řízená daty.

Uživatelé často nemohou udělit souhlas s oprávněními, která aplikace požaduje. Nakonfigurujte pracovní postup souhlasu správce tak, aby uživatelům umožnil poskytnout odůvodnění a požádat správce o schválení a kontrola aplikace.

Jako správce můžete aplikaci udělit souhlas správce v celém tenantovi. Souhlas správce v rámci celého tenanta je nezbytný, když aplikace vyžaduje oprávnění, která nemají oprávnění udělovat běžným uživatelům, a umožňuje organizacím implementovat vlastní procesy kontroly. Před udělením souhlasu vždy pečlivě zkontrolujte oprávnění, která aplikace požaduje. Pokud aplikaci udělíte souhlas správce v celém tenantovi, budou se k ní moct přihlásit všichni uživatelé, pokud není nakonfigurovaná tak, aby vyžadovala přiřazení uživatele.

Jednotné přihlašování

Zvažte implementaci jednotného přihlašování ve vaší aplikaci. Většinu aplikací pro jednotné přihlašování můžete nakonfigurovat ručně. Nejoblíbenější možnosti v Azure AD jsou jednotné přihlašování založené na SAML a OpenID Připojení jednotnépřihlašování založené na protokolu . Než začnete, ujistěte se, že rozumíte požadavkům na jednotné přihlašování a plánování nasazení. Jednoduchý příklad konfigurace jednotného přihlašování založeného na SAML pro podnikovou aplikaci ve vašem tenantovi Azure AD najdete v tématu Rychlý start: Povolení jednotného přihlašování pro podnikovou aplikaci.

Přiřazení uživatele, skupiny a vlastníka

Ve výchozím nastavení mají všichni uživatelé přístup k podnikovým aplikacím bez jejich přiřazení. Pokud ale chcete aplikaci přiřadit sadě uživatelů, vaše aplikace vyžaduje přiřazení uživatele. Jednoduchý příklad vytvoření a přiřazení uživatelského účtu k aplikaci najdete v tématu Rychlý start: Vytvoření a přiřazení uživatelského účtu.

Pokud je součástí vašeho předplatného, přiřaďte k aplikaci skupiny, abyste mohli delegovat průběžnou správu přístupu na vlastníka skupiny.

Přiřazování vlastníků je jednoduchý způsob, jak udělit možnost spravovat všechny aspekty konfigurace Azure AD pro aplikaci. Jako vlastník může uživatel spravovat konfiguraci aplikace specifickou pro organizaci.

Automatizace zřizování

Zřizování aplikací označuje automatické vytváření identit a rolí uživatelů v aplikacích, ke které uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování také údržbu a odebrání identit uživatelů při změně stavu nebo rolí.

Zprostředkovatelé identit

Máte zprostředkovatele identity, se kterými má Azure AD pracovat? Zjišťování domovské oblasti poskytuje konfiguraci, která umožňuje službě Azure AD určit, u kterého zprostředkovatele identity se uživatel musí při přihlášení ověřit.

Uživatelské portály

Azure AD poskytuje přizpůsobitelné způsoby nasazení aplikací uživatelům ve vaší organizaci. Může to být například Moje aplikace portal nebo Microsoft 365 spouštěč aplikací. Moje aplikace uživatelům poskytuje jediné místo, kde mohou začít pracovat a najít všechny aplikace, ke kterým mají přístup. Jako správce aplikace byste měli naplánovat, jak budou uživatelé ve vaší organizaci používat Moje aplikace.

Konfigurace vlastností

Když do tenanta Azure AD přidáte aplikaci, máte možnost nakonfigurovat vlastnosti, které mají vliv na způsob, jakým se uživatelé mohou přihlašovat. Můžete povolit nebo zakázat možnost přihlášení a může být vyžadováno přiřazení uživatele. Můžete také určit viditelnost aplikace, jaké logo představuje aplikaci a případné poznámky k aplikaci.

Zabezpečení aplikace

K dispozici je několik metod, které vám pomůžou zabezpečit podnikové aplikace. Můžete například omezit přístup tenanta, spravovat viditelnost, dataa analýzy a případně poskytnout hybridní přístup. Zabezpečení podnikových aplikací zahrnuje také správu konfigurace oprávnění, MFA, podmíněného přístupu, tokenů a certifikátů.

Oprávnění

Je důležité pravidelně kontrolovat a v případě potřeby spravovat oprávnění udělená aplikaci nebo službě. Pravidelně vyhodnocujte, jestli existuje podezřelá aktivita, a ujistěte se, že k aplikacím povolíte pouze odpovídající přístup.

Klasifikace oprávnění umožňují identifikovat účinek různých oprávnění v souladu se zásadami vaší organizace a vyhodnocením rizik. Pomocí klasifikací oprávnění v zásadách souhlasu můžete například identifikovat sadu oprávnění, se kterou mohou uživatelé udělit souhlas.

Vícefaktorové ověřování a podmíněný přístup

Azure AD MFA pomáhá chránit přístup k datům a aplikacím a poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování. Existuje mnoho metod, které je možné použít pro dvoufaktorové ověřování. Než začnete, naplánujte nasazení MFA pro vaši aplikaci ve vaší organizaci.

Organizace mohou povolit MFA s podmíněným přístupem, aby řešení vyhovovalo jejich konkrétním potřebám. Zásady podmíněného přístupu umožňují správcům přiřazovat ovládací prvky konkrétním aplikacím, akcím nebo kontextu ověřování.

Tokeny a certifikáty

V toku ověřování v Azure AD se v závislosti na použitém protokolu používají různé typy tokenů zabezpečení. Například tokeny SAML se používají pro protokol SAML a tokeny ID a přístupové tokeny se používají pro OpenID Připojení protokolu. Tokeny jsou podepsané jedinečným certifikátem vygenerovaný v Azure AD a konkrétními standardními algoritmy.

Šifrováním tokenu můžete zajistit větší zabezpečení. Můžete také spravovat informace v tokenu, včetně rolí, které jsou pro aplikaci povolené.

Azure AD používá k podepisování odpovědi SAML ve výchozím nastavení algoritmus SHA-256. Sha-256 používejte, pokud aplikace nevyžaduje SHA-1. Vytvořte proces pro správu životnosti certifikátu. Maximální životnost podpisového certifikátu je tři roky. Pokud chcete zabránit výpadku nebo minimalizovat výpadek kvůli vypršení platnosti certifikátu, použijte role a e-mailové distribuční seznamy, abyste zajistili, že se oznámení o změně související s certifikátem budou pečlivě monitorovat.

Řízení a monitorování

Správa nároků v Azure AD umožňuje spravovat interakci mezi aplikacemi a správci, vlastníky katalogu, správci přístupových balíčků, schvalovatelé a žádající.

Řešení generování sestav a monitorování Azure AD závisí na vašich právních, bezpečnostních a provozních požadavcích a na vašem stávajícím prostředí a procesech. V Azure AD se udržuje několik protokolů a měli byste naplánovat nasazení vytváření sestav a monitorování, abyste pro vaši aplikaci zachovali co nejlepší prostředí.

Vyčištění

Přístup k aplikacím můžete vyčistit. Například odebrání přístupu uživatele. Můžete také zakázat způsob, jakým se uživatel přihlásí. A nakonec můžete aplikaci odstranit, pokud už ji organizace nepotřebuje. Jednoduchý příklad odstranění podnikové aplikace z tenanta Azure AD najdete v tématu Rychlý start: Odstranění podnikové aplikace.

Další kroky