Tutorial para configurar Saviynt con Azure Active Directory B2C

  • Artículo

Aprenda a integrar Azure Active Directory B2C (Azure AD B2C) con la plataforma de Saviynt Security Manager, que tiene visibilidad, seguridad y gobernanza. Saviynt incorpora el riesgo y la gobernanza de aplicaciones, la administración de la infraestructura, la administración de cuentas con privilegios y el análisis de riesgos del cliente.

Más información: Saviynt para Azure AD B2C

Siga las instrucciones siguientes para configurar la administración delegada del control de acceso para los usuarios de Azure AD B2C. Saviynt determina si un usuario está autorizado para administrar usuarios de Azure AD B2C con:

  • Seguridad de nivel de características para determinar si los usuarios pueden realizar una operación
    • Por ejemplo, crear usuario, actualizar usuario, restablecer la contraseña del usuario, etc.
  • Seguridad de nivel de campo para determinar si los usuarios pueden leer y escribir atributos de usuario durante las operaciones de administración de usuarios
    • Por ejemplo, un agente del departamento de soporte técnico puede actualizar un número de teléfono; otros atributos son de solo lectura
  • Seguridad de nivel de datos para determinar si los usuarios pueden realizar una operación en otro usuario
    • Por ejemplo, un administrador del departamento de soporte técnico de la región del Reino Unido administra los usuarios del Reino Unido

Requisitos previos

Para empezar, necesitará lo siguiente:

Descripción del escenario

La integración de Saviynt incluye los siguientes componentes:

  • Azure AD B2C : identidad como servicio para el control personalizado de registro, inicio de sesión y administración de perfiles de clientes
  • Saviynt para Azure AD B2C : gobernanza de identidades para la administración delegada de la gestión del ciclo de vida del usuario y la gobernanza del acceso
  • Microsoft Graph API : interfaz para que Saviynt administre usuarios de Azure AD B2C y su acceso

En el siguiente diagrama de arquitectura se muestra la implementación.

Diagram of the Saviynt architecture.

  1. Un administrador delegado inicia una operación de un usuario de Azure AD B2C con Saviynt.
  2. Saviynt verifica que el administrador delegado pueda realizar la operación.
  3. Saviynt envía una respuesta de autorización correcta o incorrecta.
  4. Saviynt permite que el administrador delegado realice la operación.
  5. Saviynt invoca Microsoft Graph API con los atributos de usuario para administrar el usuario en Azure AD B2C.
  6. Microsoft Graph API crea, actualiza o elimina el usuario en Azure AD B2C.
  7. Azure AD B2C envía una respuesta correcta o incorrecta.
  8. Microsoft Graph API devuelve la respuesta a Saviynt.

Crear una cuenta de Saviynt y crear directivas delegadas

  1. Crear una cuenta de Saviynt. Para empezar, vaya a saviynt.com Póngase en contacto con nosotros.
  2. Crear directivas de administración delegadas.
  3. Asignar a los usuarios el rol de administrador delegado.

Configuración de Azure AD B2C con Saviynt

Siga las instrucciones siguientes para crear una aplicación, eliminar usuarios y otras opciones.

Crear una aplicación de Microsoft Entra para Saviynt

Para obtener las instrucciones siguientes, use el directorio con el inquilino de Azure AD B2C.

  1. Inicie sesión en Azure Portal.

  2. Seleccione el icono Directorios y suscripciones en la barra de herramientas del portal.

  3. En la página Configuración del portal, Directorios + suscripciones, en la lista Nombre del directorio, busque su directorio Azure AD B2C.

  4. Seleccione Cambiar.

  5. En Azure Portal, busque y seleccione Azure AD B2C.

  6. Seleccione Registros de aplicaciones>Nuevo registro.

  7. Escriba un nombre para la aplicación. Por ejemplo, Saviynt.

  8. Seleccione Crear.

  9. Vaya a Permisos de API.

  10. Seleccione + Agregar un permiso.

  11. Aparece la página Solicitud de permisos de API.

  12. Seleccione la pestaña API de Microsoft.

  13. Seleccione Microsoft Graph como API de Microsoft más usadas.

  14. Ir a la página siguiente.

  15. Seleccione Permisos de aplicación.

  16. Seleccione Directorio.

  17. Seleccione Directory.Read.All y las casillas Directory.ReadWrite.All.

  18. Seleccione Agregar permisos.

  19. Revise los permisos.

  20. Seleccione Conceder consentimiento de administrador para el directorio predeterminado.

  21. Seleccione Guardar.

  22. Vaya a Certificados y secretos.

  23. Seleccione + Agregar secreto de cliente.

  24. Introduzca la descripción del secreto de cliente.

  25. Seleccione la opción de expiración.

  26. Seleccione Agregar.

  27. La clave secreta aparece en la sección Secreto de cliente. Guarde el secreto de cliente para usarlo más adelante.

  28. Vaya a Overview (Información general).

  29. Copie el identificador de cliente y el identificador de inquilino.

Guarde el identificador de inquilino, el identificador de cliente y el secreto de cliente para completar la configuración.

Habilite Saviynt para eliminar usuarios

Habilite Saviynt para realizar operaciones de eliminación de usuario en Azure AD B2C.

Más información: Objetos de aplicación y de entidad de servicio en Microsoft Entra ID

  1. Instale la versión más reciente del módulo Microsoft Graph PowerShell en un servidor o estación de trabajo de Windows.

Para más información, vea la documentación sobre Microsoft Graph PowerShell.

  1. Conéctese al módulo de PowerShell y ejecute los siguientes comandos:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Probar la solución

Vaya al inquilino de la aplicación Saviynt y pruebe los casos de uso de administración del ciclo de vida de usuarios y la gobernanza de acceso.

Pasos siguientes