Mi az alkalmazáskezelés a Azure Active Directory?

A Azure Active Directory (Azure AD) alkalmazáskezelése alkalmazások felhőbeli létrehozásának, konfigurálásának, kezelésének és figyelési folyamatának folyamata. Ha egy alkalmazás regisztrálva van egy Azure AD-bérlőben, a hozzá rendelt felhasználók biztonságosan hozzáférhetnek az alkalmazáshoz. Az Azure AD-ban számos alkalmazástípus regisztrálható. További információ: Alkalmazástípusok a Microsoft Identity Platformhoz.

Ebben a cikkben megismeri az alkalmazások életciklusának kezelésével kapcsolatos alábbi fontos szempontokat:

  • Fejlesztés, hozzáadás vagy csatlakozás – Különböző útvonalakat kell használnia attól függően, hogy saját alkalmazást fejleszt, előre integrált alkalmazást használ, vagy egy helyszíni alkalmazáshoz csatlakozik.
  • Hozzáférés kezelése – A hozzáférés kezelhető egyszeri bejelentkezéssel (SSO), erőforrások hozzárendelésével, a hozzáférés kiosztásának és hozzájárulásának meghatározásával, valamint automatizált kiépítéssel.
  • Tulajdonságok konfigurálása – Konfigurálhatja az alkalmazásba való bejelentkezés követelményeit és az alkalmazás felhasználói portálon való ábrázolását.
  • Az alkalmazás biztonságossáése – Kezelheti az engedélyek, a többtényezős hitelesítés (MFA), a feltételes hozzáférés, a jogkivonatok és a tanúsítványok konfigurációját.
  • Szabályozás és figyelés – Kezelheti az interakciókat és áttekintheti a tevékenységeket jogosultságkezelési, jelentéskészítési és monitorozási erőforrások használatával.
  • Törlés – Ha az alkalmazásra már nincs szükség, távolítsa el a bérlőt a hozzáférés eltávolításával és törlésével.

Fejlesztés, hozzáadás vagy csatlakozás

Az Azure AD-alkalmazások többféleképpen is kezelhetők. Az alkalmazások kezelésének legegyszerűbb módja az Azure AD-katalógusból származó előre integrált alkalmazás használata. Saját alkalmazás fejlesztése és regisztrálása Az Azure AD-t is használhatja, de továbbra is használhatja a helyszíni alkalmazásokat.

Az alábbi ábra bemutatja, hogyan kommunikálnak ezek az alkalmazások az Azure AD-val.

Ábra, amely bemutatja, hogyan használhatók a saját fejlesztésű, előre integrált és helyszíni alkalmazásai vállalati alkalmazásokként.

Előre integrált alkalmazások

Számos alkalmazás már előre integrálva van (a fenti képen "Felhőalkalmazások" jelennek meg), és minimális erőfeszítéssel beállítható. Az Azure AD-katalógusban minden alkalmazáshoz elérhető egy cikk, amely az alkalmazás konfigurálásának lépéseit mutatja be. Egy egyszerű példa arra, hogyan adhat hozzá egy alkalmazást az Azure AD-bérlőhöz a katalógusból: Rövid útmutató: Vállalati alkalmazás hozzáadása.

Saját alkalmazások

Ha saját üzleti alkalmazást fejleszt, regisztrálhatja azt az Azure AD-ban, hogy kihasználja a bérlő által elérhető biztonsági funkciókat. Regisztrálhatja az alkalmazást az alkalmazásregisztrációkban, vagy regisztrálhatja a Saját alkalmazás létrehozása hivatkozással, amikor új alkalmazást ad hozzá vállalati alkalmazásokhoz. Gondolja át, hogyan van megvalósítva a hitelesítés az alkalmazásban az Azure AD-val való integrációhoz.

Ha az alkalmazást a katalóguson keresztül szeretné elérhetővé tenni, elküldhet egy kérést, hogy adja hozzá.

Helyszíni alkalmazások

Ha továbbra is egy helyszíni alkalmazást szeretne használni, de ki szeretné használni az Azure AD által kínált előnyöket, csatlakoztassa az Azure AD-hez az Azure AD alkalmazásproxy. alkalmazásproxy akkor valósítható meg, ha külsőleg szeretne helyszíni alkalmazásokat közzétenni. Azok a távoli felhasználók, akiknek belső alkalmazásokhoz kell hozzáférniük, biztonságosan hozzáférhetnek.

Hozzáférés kezelése

Egy alkalmazás hozzáférésének kezeléséhez a következő kérdéseket kell megválaszolni:

  • Hogyan történik a hozzáférés megszabad és jóváhagyás az alkalmazáshoz?
  • Támogatja az alkalmazás az SSO-t?
  • Mely felhasználókat, csoportokat és tulajdonosokat kell hozzárendelni az alkalmazáshoz?
  • Vannak más identitásszolgáltatók is, amelyek támogatják az alkalmazást?
  • Hasznos lehet automatizálni a felhasználói identitások és szerepkörök létesítését?

A felhasználói hozzájárulási beállítások kezelésével eldöntheti, hogy a felhasználók engedélyezhetik-e egy alkalmazás vagy szolgáltatás számára a felhasználói profilok és a szervezeti adatok hozzáférését. Ha az alkalmazások hozzáférést kapnak, a felhasználók bejelentkeznek az Azure AD-val integrált alkalmazásokba, és az alkalmazás hozzáférhet a szervezet adataihoz, így gazdag adatvezérelt felhasználói élményt nyújt.

A felhasználók gyakran nem tudnak hozzájárulni az alkalmazás által kért engedélyekhez. Konfigurálja a rendszergazdai jóváhagyás munkafolyamatát úgy, hogy a felhasználók indoklást adjanak, és kérjenek egy rendszergazdai felülvizsgálatot és jóváhagyást egy alkalmazáshoz.

Rendszergazdaként bérlői szintű rendszergazdai jóváhagyást adhat egy alkalmazáshoz. A bérlői szintű rendszergazdai jóváhagyásra akkor van szükség, ha egy alkalmazás olyan engedélyeket igényel, amelyek megadására a normál felhasználók nem jogosultak, és lehetővé teszi a szervezetek számára saját felülvizsgálati folyamatok implementációját. A hozzájárulás megadása előtt mindig alaposan tekintse át az alkalmazás által kért engedélyeket. Ha egy alkalmazás bérlői szintű rendszergazdai jóváhagyást kapott, minden felhasználó bejelentkezik az alkalmazásba, kivéve, ha úgy lett konfigurálva, hogy felhasználói hozzárendelést igényel.

Egyszeri bejelentkezés

Fontolja meg az SSO alkalmazását az alkalmazásban. A legtöbb alkalmazást manuálisan konfigurálhatja az SSO-val. Az Azure AD legnépszerűbb lehetőségei az SAML-alapú SSO és az OpenID Csatlakozás SSO. Mielőtt elkezdené, győződjön meg arról, hogy tisztában van az SSO követelményeivel, és hogy hogyan tervezheti meg az üzembe helyezést. Az SAML-alapú egyszeri bejelentkezés vállalati alkalmazásokhoz az Azure AD-bérlőben való konfigurálás egyszerű példájért lásd: Rövid útmutató: Egyszeri bejelentkezés engedélyezése vállalati alkalmazásokhoz.

Felhasználó-, csoport- és tulajdonos-hozzárendelés

Alapértelmezés szerint minden felhasználó anélkül férhet hozzá a vállalati alkalmazásokhoz, hogy hozzá volna rendelve. Ha azonban egy felhasználókészlethez szeretné hozzárendelni az alkalmazást, az alkalmazáshoz felhasználó-hozzárendelés szükséges. Egy egyszerű példa felhasználói fiók létrehozására és alkalmazáshoz való hozzárendelésre: Rövid útmutató: Felhasználói fiók létrehozása és hozzárendelése.

Ha az előfizetés része, rendeljen csoportokat egy alkalmazáshoz, hogy a folyamatos hozzáférés-kezelés a csoporttulajdonosnak delegálható.

A tulajdonosok hozzárendelése egyszerű módja annak, hogy lehetővé teszi az Azure AD-konfigurációk minden aspektusának kezelését egy alkalmazáshoz. Tulajdonosként a felhasználók kezelhetik az alkalmazás szervezetspecifikus konfigurációját.

Kiépítés automatizálása

Az alkalmazás-kiépítés azt jelenti, hogy automatikusan hoz létre felhasználói identitásokat és szerepköröket az alkalmazásokban, amelyekhez a felhasználóknak hozzá kell férni. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások karbantartását és eltávolítását az állapot vagy a szerepkörök változásával.

Identitásszolgáltatók

Van olyan identitásszolgáltatója, amelyről azt szeretné, hogy az Azure AD kapcsolatba lépjen? A Kezdőlap-tartományfelderítés olyan konfigurációt biztosít, amellyel az Azure AD meghatározhatja, hogy a felhasználónak mely identitásszolgáltatóval kell hitelesítenie magát a jelentkezzen be.

Felhasználói portálok

Az Azure AD testre szabható módszereket biztosít az alkalmazások központi telepítésére a szervezet felhasználói számára. Ilyen például a Saját alkalmazások portál vagy a Microsoft 365 alkalmazásindítója. Saját alkalmazások egyetlen helyen kezdhetik el a munkájukat, és megkeresik az összes alkalmazást, amelyhez hozzáféréssel rendelkezik. Egy alkalmazás rendszergazdájaként meg kell tervezni, hogy a szervezet felhasználói hogyan fogják használni a Saját alkalmazások.

Tulajdonságok konfigurálása

Amikor hozzáad egy alkalmazást az Azure AD-bérlőhöz, konfigurálhat olyan tulajdonságokat, amelyek befolyásolják a felhasználók bejelentkezésének módját. Engedélyezheti vagy letilthatja a bejelentkezést, és szükség lehet felhasználó-hozzárendelésre. Meghatározhatja az alkalmazás láthatóságát, az alkalmazást képviselő emblémát és az alkalmazással kapcsolatos megjegyzéseket is.

Az alkalmazás biztonságossá tere

A vállalati alkalmazások biztonságának biztosítása érdekében számos módszer áll rendelkezésre. Korlátozhatja például a bérlői hozzáférést,kezelheti a láthatóságot, az adatokat és az elemzéseket,és akár hibrid hozzáférést is nyújthat. A vállalati alkalmazások biztonságának biztosítása magában foglalja az engedélyek, az MFA, a feltételes hozzáférés, a jogkivonatok és a tanúsítványok konfigurációjának felügyeletét is.

Engedélyek

Fontos, hogy rendszeresen áttekintsen és szükség esetén kezelje az alkalmazáshoz vagy szolgáltatáshoz megadott engedélyeket. Győződjön meg arról, hogy csak a megfelelő hozzáférést engedélyezi az alkalmazásokhoz azzal, hogy rendszeresen kiértékeli, hogy létezik-e gyanús tevékenység.

Az engedélybesorolások lehetővé teszik a különböző engedélyek hatásának azonosítását a szervezet szabályzatai és kockázatértékelései alapján. A hozzájárulási szabályzatok engedélybesorolásai segítségével például azonosíthatja azokat az engedélyeket, amelyekhez a felhasználók engedélyt kaphatnak.

Többtényezős hitelesítés és feltételes hozzáférés

Azure AD MFA segít az adatokhoz és alkalmazásokhoz való hozzáférés védelmében, és egy második hitelesítési módszer használatával egy újabb biztonsági réteget biztosít. A kéttényezős hitelesítéshez számos módszer használható. Mielőtt elkezdené, tervezze meg az MFA üzembe helyezését a szervezetben az alkalmazásához.

A szervezetek feltételes hozzáféréssel engedélyezhetik az MFA-t, hogy a megoldás illeszkedjen az adott igényekhez. A feltételes hozzáférési szabályzatokkal a rendszergazdák vezérlőket rendelhetnek adott alkalmazásokhoz, műveletekhez vagy hitelesítési környezethez.

Jogkivonatok és tanúsítványok

Az Azure AD hitelesítési folyamatában a használt protokolltól függően különböző típusú biztonsági jogkivonatok használhatók. Az SAML-jogkivonatokat például az SAML protokollhoz, az azonosító jogkivonatokat és a hozzáférési jogkivonatokat pedig az OpenID Csatlakozás használja. A jogkivonatok az Azure AD-ban és adott szabványos algoritmusokkal létrehozott egyedi tanúsítvánnyal vannak aláírva.

A jogkivonat titkosításával nagyobb biztonságot nyújthat. A jogkivonatok adatait is kezelheti, beleértve az alkalmazás számára engedélyezett szerepköröket is.

Az SAML-válasz aláíráshoz az Azure AD alapértelmezés szerint az SHA-256 algoritmust használja. Használjon SHA-256-ot, ha az alkalmazás nem igényel SHA-1-et. Hozzon létre egy folyamatot a tanúsítvány élettartamának kezeléséhez. Az aláíró tanúsítvány maximális élettartama három év. A tanúsítvány lejárata miatti szolgáltatáskimaradás megelőzése vagy minimalizálása érdekében használjon szerepköröket és e-mail terjesztési listákat a tanúsítványokkal kapcsolatos változásértesítések szoros figyelésében.

Szabályozás és figyelás

Az Azure AD jogosultságkezelése lehetővé teszi az alkalmazások és a rendszergazdák, a katalógustulajdonosok, a hozzáférésicsomag-kezelők, a jóváhagyók és a kérelmezők közötti interakció kezelését.

Az Azure AD jelentéskészítési és monitorozási megoldása a jogi, biztonsági és üzemeltetési követelményektől, valamint a meglévő környezettől és folyamatoktól függ. Az Azure AD-ban számos napló van karbantartva, és a lehető legjobb felhasználói élmény fenntartása érdekében tervezze meg a jelentéskészítést és az üzembe helyezés monitorozását.

A fölöslegessé vált elemek eltávolítása

Az alkalmazásokhoz való hozzáférés megtisztítható. Például egy felhasználó hozzáférésének eltávolítása. Azt is letilthatja, hogy a felhasználó hogyan jelentkezik be. Végül törölheti az alkalmazást, ha már nincs rá szüksége a szervezet számára. A vállalati alkalmazások Azure AD-bérlőből való törlésének egyszerű példájért lásd: Rövid útmutató: Vállalati alkalmazás törlése.

Következő lépések