Alkalmazáshoz való hozzáférés kezelése
A folyamatos hozzáférés-kezelés, a használat kiértékelése és a jelentéskészítés továbbra is kihívást jelent, miután egy alkalmazás integrálva van a szervezet identitásrendszerébe. Sok esetben az informatikai Rendszergazda istratoroknak vagy ügyfélszolgálatoknak folyamatosan aktív szerepet kell vállalniuk az alkalmazásokhoz való hozzáférés kezelésében. Előfordulhat, hogy a hozzárendelést egy általános vagy részleg informatikai csapat végzi. Gyakran előfordul, hogy a hozzárendelési döntést az üzleti döntéshozóknak delegálják, és jóváhagyást igényelnek, mielőtt az informatikai részleg végrehajtja a hozzárendelést.
Más szervezetek integrálást hajtanak végre egy meglévő automatizált identitás- és hozzáférés-kezelési rendszerrel, például szerepköralapú hozzáférés-vezérléssel (RBAC) vagy attribútumalapú hozzáférés-vezérléssel (ABAC). Az integráció és a szabályfejlesztés általában specializált és költséges. A felügyeleti megközelítés monitorozása vagy jelentése önálló, költséges és összetett befektetés.
Hogyan segít a Microsoft Entra ID?
A Microsoft Entra ID támogatja a konfigurált alkalmazások széles körű hozzáférés-kezelését, így a szervezetek könnyen elérhetik a megfelelő hozzáférési szabályzatokat az automatikus, attribútumalapú hozzárendeléstől (ABAC- vagy RBAC-forgatókönyvek) a delegáláson keresztül, valamint a rendszergazdai felügyeletig. A Microsoft Entra ID-val egyszerűen elérheti az összetett szabályzatokat, több felügyeleti modellt kombinálva egyetlen alkalmazáshoz, és akár újra felhasználhatja a felügyeleti szabályokat az alkalmazásokban ugyanazokkal a célközönségekkel.
A Microsoft Entra-azonosítóval a használati és hozzárendelési jelentések teljesen integrálva lesznek, így a rendszergazdák egyszerűen jelentést készíthetnek a hozzárendelés állapotáról, a hozzárendelési hibákról és akár a használatról is.
Felhasználók és csoportok hozzárendelése egy alkalmazáshoz
A Microsoft Entra alkalmazás-hozzárendelés két elsődleges hozzárendelési módra összpontosít:
Egyéni hozzárendelés: A globális Rendszergazda istrator engedélyekkel rendelkező rendszergazda kijelölheti az egyes felhasználói fiókokat, és hozzáférést biztosíthat nekik az alkalmazáshoz.
Csoportalapú hozzárendelés (P1 vagy P2 Microsoft Entra-azonosítót igényel) Egy globális Rendszergazda istrator engedélyekkel rendelkező rendszergazda hozzárendelhet egy csoportot az alkalmazáshoz. Az egyes felhasználók hozzáférését az határozza meg, hogy tagjai-e a csoportnak abban az időpontban, amikor megpróbálják elérni az alkalmazást. Más szóval a rendszergazda hatékonyan létrehozhat egy hozzárendelési szabályt, amely szerint "a hozzárendelt csoport bármely jelenlegi tagja hozzáfér az alkalmazáshoz". Ezzel a hozzárendelési lehetőséggel a rendszergazdák bármely Microsoft Entra-csoportkezelési lehetőséget használhatnak, beleértve az attribútumalapú dinamikus csoportokat, a külső rendszercsoportokat (például helyi Active Directory vagy Workday), vagy Rendszergazda istrator által felügyelt vagy önkiszolgáló felügyelt csoportokat. Egyetlen csoport egyszerűen hozzárendelhető több alkalmazáshoz, így biztosítva, hogy a hozzárendelési affinitással rendelkező alkalmazások megosztják a hozzárendelési szabályokat, csökkentve ezzel a felügyelet összetettségét.
Feljegyzés
A beágyazott csoporttagságok jelenleg nem támogatottak az alkalmazásokhoz való csoportalapú hozzárendeléshez.
A két hozzárendelési mód használatával a rendszergazdák bármilyen kívánatos hozzárendelés-kezelési megközelítést elérhetnek.
Felhasználói hozzárendelés megkövetelése egy alkalmazáshoz
Bizonyos típusú alkalmazások esetén megkövetelheti, hogy a felhasználók hozzá legyenek rendelve az alkalmazáshoz. Ezzel megakadályozhatja, hogy mindenki bejelentkezjen, kivéve azokat a felhasználókat, akiket kifejezetten hozzárendel az alkalmazáshoz. Ezt a lehetőséget az alábbi alkalmazástípusok támogatják:
- SamL-alapú hitelesítéssel összevont egyszeri bejelentkezéshez (SSO) konfigurált alkalmazások
- Alkalmazásproxy Microsoft Entra előzetes hitelesítést használó alkalmazások
- A Microsoft Entra alkalmazásplatformra épülő alkalmazások, amelyek OAuth 2.0 / OpenID Connect hitelesítést használnak, miután a felhasználó vagy az adminisztrátor hozzájárult az adott alkalmazáshoz. Egyes vállalati alkalmazások nagyobb mértékben szabályozhatják, hogy ki jelentkezhet be.
Ha felhasználó-hozzárendelést alkalmaz, csak azok a felhasználók tudnak bejelentkezni, akik az alkalmazáshoz vannak rendelve (akár közvetlen felhasználó-hozzárendeléssel, akár csoporttagság alapján). Az alkalmazást a Saját alkalmazások portálon vagy egy közvetlen hivatkozással érhetik el.
Ha nincs szükség felhasználói hozzárendelésre, a nem hozzárendelt felhasználók nem látják az alkalmazást a Saját alkalmazások, de továbbra is bejelentkezhetnek magára az alkalmazásra (más néven SP által kezdeményezett bejelentkezésre), vagy használhatják a Felhasználói hozzáférés URL-címét az alkalmazás Tulajdonságok lapján (más néven IDP által kezdeményezett bejelentkezés). További információ a felhasználói hozzárendelés konfigurálásának megköveteléséről: Alkalmazás konfigurálása
Ez a beállítás nem befolyásolja, hogy egy alkalmazás megjelenik-e Saját alkalmazások. Az alkalmazások a felhasználók Saját alkalmazások hozzáférési paneleken jelennek meg, miután hozzárendelt egy felhasználót vagy csoportot az alkalmazáshoz.
Feljegyzés
Ha egy alkalmazás hozzárendelést igényel, az alkalmazás felhasználói hozzájárulása nem engedélyezett. Ez akkor is így van, ha az alkalmazás felhasználói jóváhagyása egyébként megengedett. A hozzárendelést megkövetelő alkalmazásokhoz feltétlenül adja meg a bérlőszintű rendszergazdai hozzájárulást.
Egyes alkalmazások esetében a felhasználói hozzárendelés megkövetelése nem érhető el az alkalmazás tulajdonságai között. Ezekben az esetekben a PowerShell használatával beállíthatja az appRoleAssignmentRequired tulajdonságot a szolgáltatásnéven.
Az alkalmazásokhoz való hozzáférés felhasználói élményének meghatározása
A Microsoft Entra ID számos testre szabható módszert kínál az alkalmazások szervezet végfelhasználói számára történő üzembe helyezésére:
- Microsoft Entra Saját alkalmazások
- Microsoft 365 alkalmazásindító
- Közvetlen bejelentkezés összevont alkalmazásokba (service-pr)
- Mélyhivatkozások az összevont, jelszóalapú vagy meglévő alkalmazásokhoz
Meghatározhatja, hogy a vállalati alkalmazáshoz rendelt felhasználók láthatják-e a Saját alkalmazások és a Microsoft 365 alkalmazásindítójában.
Példa: Összetett alkalmazás-hozzárendelés a Microsoft Entra-azonosítóval
Fontolja meg egy olyan alkalmazást, mint a Salesforce. Számos szervezetben a Salesforce-t elsősorban a marketing- és értékesítési csapatok használják. A marketingcsapat tagjai gyakran magas jogosultsági szintű hozzáféréssel rendelkeznek a Salesforce-hoz, míg az értékesítési csapat tagjai korlátozott hozzáféréssel rendelkeznek. Sok esetben az információs dolgozók széles köre korlátozott hozzáféréssel rendelkezik az alkalmazáshoz. A szabályok alóli kivételek bonyolítják a dolgokat. Gyakran a marketing- vagy értékesítési vezetői csapatok előjoga, hogy hozzáférést biztosítsanak a felhasználóknak, vagy az általános szabályoktól függetlenül módosítsák a szerepköreiket.
A Microsoft Entra ID-val az olyan alkalmazások, mint a Salesforce előre konfigurálhatók egyszeri bejelentkezéshez (SSO) és automatikus kiépítéshez. Az alkalmazás konfigurálása után a Rendszergazda istrator végrehajthatja az egyszeri műveletet a megfelelő csoportok létrehozásához és hozzárendeléséhez. Ebben a példában a rendszergazda a következő feladatokat hajthatja végre:
A dinamikus csoportok úgy határozhatók meg, hogy automatikusan képviseljenek a marketing- és értékesítési csapatok minden tagját olyan attribútumok használatával, mint a részleg vagy a szerepkör:
- A marketingcsoportok minden tagja hozzá lesz rendelve a Salesforce "marketing" szerepköréhez
- Az értékesítési csoportcsoportok minden tagja hozzá lesz rendelve a Salesforce "sales" szerepköréhez. A további finomítások több csoportot is használhatnak, amelyek különböző Salesforce-szerepkörökhöz rendelt regionális értékesítési csoportokat képviselnek.
A kivételi mechanizmus engedélyezéséhez minden szerepkörhöz létre lehet hozni egy önkiszolgáló csoportot. A "Salesforce marketing kivétel" csoport például önkiszolgáló csoportként hozható létre. A csoport hozzárendelhető a Salesforce marketingszerepköréhez, a marketingvezetési csapat pedig tulajdonossá tehető. A marketingvezetési csapat tagjai felhasználókat adhatnak hozzá vagy távolíthatnak el, csatlakozási szabályzatot állíthatnak be, vagy akár jóváhagyhatják vagy elutasíthatják az egyes felhasználók csatlakozási kéréseit. Ezt a mechanizmust egy olyan, az információs feldolgozónak megfelelő tapasztalat támogatja, amely nem igényel speciális képzést a tulajdonosok vagy a tagok számára.
Ebben az esetben az összes hozzárendelt felhasználó automatikusan ki lesz építve a Salesforce számára. Mivel különböző csoportokhoz vannak hozzáadva, a szerepkör-hozzárendelésük frissülni fog a Salesforce-ban. A felhasználók felfedezhetik és elérhetik a Salesforce-ot Saját alkalmazások, Office-webügyfeleken keresztül, vagy a szervezeti Salesforce bejelentkezési oldalára lépve. Rendszergazda istratorok egyszerűen megtekinthetik a használati és hozzárendelési állapotot a Microsoft Entra ID jelentéssel.
Rendszergazda istratorok alkalmazhatnak A Microsoft Entra Feltételes hozzáférés adott szerepkörök hozzáférési szabályzatainak beállításához. Ezek a szabályzatok magukban foglalhatják, hogy a hozzáférés engedélyezett-e a vállalati környezeten kívül, vagy akár többtényezős hitelesítés vagy eszközkövetelmények is lehetnek a hozzáférés eléréséhez különböző esetekben.
Hozzáférés Microsoft-alkalmazásokhoz
A Microsoft-alkalmazások (például az Exchange, a SharePoint, a Yammer stb.) hozzárendelése és kezelése kissé eltér a külső SaaS-alkalmazásoktól, illetve az egyszeri bejelentkezéshez a Microsoft Entra-azonosítóval integrálható egyéb alkalmazásoktól.
A felhasználók három fő módon férhetnek hozzá a Microsoft által közzétett alkalmazásokhoz.
A Microsoft 365-ben vagy más fizetős csomagokban lévő alkalmazások esetében a felhasználók licenckiosztással kapnak hozzáférést közvetlenül a felhasználói fiókjukhoz, vagy csoportalapú licenc-hozzárendelési képességünkkel rendelkező csoporton keresztül.
Azon alkalmazások esetében, amelyeket a Microsoft vagy egy harmadik fél bárki számára szabadon közzétesz, a felhasználók felhasználói hozzájárulással kaphatnak hozzáférést. A felhasználók a Microsoft Entra munkahelyi vagy iskolai fiókjával jelentkeznek be az alkalmazásba, és lehetővé teszik számukra, hogy korlátozott számú adathoz férhessenek hozzá a fiókjukon.
Azon alkalmazások esetében, amelyeket a Microsoft vagy egy harmadik fél bárki számára szabadon közzétesz, a felhasználók rendszergazdai hozzájárulással is hozzáférést kaphatnak. Ez azt jelenti, hogy a rendszergazda megállapította, hogy az alkalmazást a szervezet minden tagja használhatja, ezért egy globális Rendszergazda istrator-fiókkal jelentkezik be az alkalmazásba, és hozzáférést biztosít a szervezet minden tagja számára.
Egyes alkalmazások kombinálják ezeket a módszereket. Bizonyos Microsoft-alkalmazások például egy Microsoft 365-előfizetés részét képezik, de továbbra is hozzájárulást igényelnek.
A felhasználók office 365-portáljaikon keresztül férhetnek hozzá a Microsoft 365-alkalmazásokhoz. A Microsoft 365-alkalmazásokat a Saját alkalmazások is megjelenítheti vagy elrejtheti az Office 365 láthatósági kapcsolójával a címtár felhasználói beállításai között.
A nagyvállalati alkalmazásokhoz hasonlóan bizonyos Microsoft-alkalmazásokhoz is hozzárendelhet felhasználókat a Microsoft Entra felügyeleti központban vagy a PowerShell használatával.