Alkalmazáshoz való hozzáférés kezelése

A folyamatos hozzáférés-kezelés, a használat kiértékelése és a jelentéskészítés továbbra is kihívást jelent, miután egy alkalmazás integrálva van a szervezet identitásrendszerébe. Sok esetben az informatikai rendszergazdáknak vagy az ügyfélszolgálatnak folyamatosan aktív szerepet kell vállalniuk az alkalmazásokhoz való hozzáférés kezelésében. A hozzárendelést néha egy általános vagy részlegszintű informatikai csapat végzi. Gyakran előfordul, hogy a hozzárendelési döntést az üzleti döntéshozónak delegálják, és jóváhagyást igényelnek ahhoz, hogy az informatikai részleg végrehajtsa a hozzárendelést.

Más szervezetek integrálást hajtanak végre egy meglévő automatizált identitás- és hozzáférés-kezelési rendszerrel, például Role-Based Access Control (RBAC) vagy Attribute-Based Access Control (ABAC). Az integráció és a szabályfejlesztés általában specializált és költséges. A felügyeleti megközelítések monitorozása vagy jelentése külön, költséges és összetett befektetés.

Hogyan segít Azure Active Directory?

Az Azure AD támogatja a konfigurált alkalmazások átfogó hozzáférés-kezelését, így a szervezetek könnyen elérhetik a megfelelő hozzáférési szabályzatokat az automatikus, attribútumalapú hozzárendeléstől (ABAC- vagy RBAC-forgatókönyvek) a delegáláson át a rendszergazdai felügyeletig. Az Azure AD-vel egyszerűen érhet el összetett szabályzatokat, több felügyeleti modellt kombinálva egyetlen alkalmazáshoz, és akár újra felhasználhatja a felügyeleti szabályokat az azonos célközönségű alkalmazásokban.

Az Azure AD-vel a használati és hozzárendelési jelentéskészítés teljes mértékben integrálva van, így a rendszergazdák egyszerűen jelenthetnek a hozzárendelés állapotáról, a hozzárendelési hibákról és akár a használatról is.

Felhasználók és csoportok hozzárendelése egy alkalmazáshoz

Az Azure AD alkalmazás-hozzárendelése két elsődleges hozzárendelési módra összpontosít:

  • Egyéni hozzárendelés A címtár globális rendszergazdai engedélyekkel rendelkező rendszergazdái kiválaszthatják az egyes felhasználói fiókokat, és hozzáférést biztosíthatnak számukra az alkalmazáshoz.

  • Csoportalapú hozzárendelés (Prémium P1 szintű Azure AD vagy P2) Egy címtár globális rendszergazdai engedélyekkel rendelkező rendszergazda hozzárendelhet egy csoportot az alkalmazáshoz. Az egyes felhasználók hozzáférését az határozza meg, hogy tagjai-e a csoportnak, amikor megpróbálnak hozzáférni az alkalmazáshoz. Más szóval a rendszergazda hatékonyan létrehozhat egy hozzárendelési szabályt, amely szerint "a hozzárendelt csoport bármely jelenlegi tagja hozzáfér az alkalmazáshoz". Ezzel a hozzárendelési beállítással a rendszergazdák bármely Azure AD-csoportfelügyeleti lehetőséget használhatnak, beleértve az attribútumalapú dinamikus csoportokat, a külső rendszercsoportokat (például helyi Active Directory vagy Workday), illetve a rendszergazda által felügyelt vagy önkiszolgáló felügyelt csoportokat. Egyetlen csoport egyszerűen hozzárendelhető több alkalmazáshoz, így biztosítva, hogy a hozzárendelési affinitással rendelkező alkalmazások megosztják a hozzárendelési szabályokat, ezzel csökkentve a felügyelet általános összetettségét.

Megjegyzés

A csoporttagságok jelenleg nem támogatottak az alkalmazásokhoz való csoportalapú hozzárendeléshez.

A két hozzárendelési mód használatával a rendszergazdák bármilyen kívánatos hozzárendelés-kezelési megközelítést elérhetnek.

Felhasználó-hozzárendelés megkövetelése egy alkalmazáshoz

Bizonyos típusú alkalmazások esetén megkövetelheti, hogy a felhasználók hozzá legyenek rendelve az alkalmazáshoz. Ezzel megakadályozhatja, hogy mindenki jelentkezzen be, kivéve azokat a felhasználókat, akiket kifejezetten hozzárendel az alkalmazáshoz. A következő típusú alkalmazások támogatják ezt a beállítást:

  • SamL-alapú hitelesítéssel összevont egyszeri bejelentkezéshez (SSO) konfigurált alkalmazások
  • Azure Active Directory előhitelesítést használó alkalmazások alkalmazásproxy
  • Az OAuth 2.0/OpenID-t használó Azure AD-alkalmazásplatformra épülő alkalmazások Csatlakozás hitelesítést, miután egy felhasználó vagy rendszergazda hozzájárult az alkalmazáshoz. Egyes vállalati alkalmazások nagyobb mértékben szabályozhatják, hogy ki jelentkezhet be.

Ha felhasználó-hozzárendelést alkalmaz, csak azok a felhasználók tudnak bejelentkezni, akik az alkalmazáshoz vannak rendelve (akár közvetlen felhasználó-hozzárendeléssel, akár csoporttagság alapján). Az alkalmazást a Saját alkalmazások portálon vagy egy közvetlen hivatkozással érhetik el.

Ha nincs szükség felhasználó-hozzárendelésre, a nem hozzárendelt felhasználók nem látják az alkalmazást a Saját alkalmazások, de továbbra is bejelentkezhetnek az alkalmazásba (más néven SP által kezdeményezett bejelentkezés), vagy használhatják a Felhasználói hozzáférés URL-címét az alkalmazás Tulajdonságok lapján (más néven IDP által kezdeményezett bejelentkezés). További információ a felhasználó-hozzárendelési konfigurációk megköveteléséről: Alkalmazás konfigurálása

Ez a beállítás nem befolyásolja, hogy egy alkalmazás megjelenjen-e Saját alkalmazások. Az alkalmazások akkor jelennek meg a felhasználók Saját alkalmazások hozzáférési paneleken, ha hozzárendelt egy felhasználót vagy csoportot az alkalmazáshoz.

Megjegyzés

Ha egy alkalmazás hozzárendelést igényel, az alkalmazás felhasználói jóváhagyása nem engedélyezett. Ez akkor is igaz, ha a felhasználók másként engedélyezték volna az alkalmazáshoz való hozzájárulást. Győződjön meg arról, hogy bérlői szintű rendszergazdai hozzájárulást ad a hozzárendelést igénylő alkalmazásokhoz.

Egyes alkalmazások esetében a felhasználói hozzárendelés megkövetelése nem érhető el az alkalmazás tulajdonságai között. Ezekben az esetekben a PowerShell használatával beállíthatja az appRoleAssignmentRequired tulajdonságot a szolgáltatásnéven.

Az alkalmazásokhoz való hozzáférés felhasználói élményének meghatározása

Az Azure AD számos testre szabható módszert kínál az alkalmazások üzembe helyezésére a szervezet végfelhasználói számára:

  • Azure AD Saját alkalmazások
  • Microsoft 365 alkalmazásindító
  • Közvetlen bejelentkezés összevont alkalmazásokba (service-pr)
  • Mélyhivatkozások az összevont, jelszóalapú vagy meglévő alkalmazásokhoz

Meghatározhatja, hogy a vállalati alkalmazáshoz rendelt felhasználók láthatják-e azt Saját alkalmazások és Microsoft 365 alkalmazásindítóban.

Példa: Összetett alkalmazás-hozzárendelés az Azure AD-vel

Vegyünk egy olyan alkalmazást, mint a Salesforce. Számos szervezetben a Salesforce-t elsősorban a marketing- és értékesítési csapatok használják. A marketingcsapat tagjai gyakran kiemelt jogosultságokkal rendelkeznek a Salesforce-hoz, míg az értékesítési csapat tagjai korlátozott hozzáféréssel rendelkeznek. Sok esetben az információs dolgozók széles körének korlátozott hozzáférése van az alkalmazáshoz. A szabályok alóli kivételek bonyolítják a dolgokat. Gyakran a marketing- vagy értékesítési vezető csapatok előjoga, hogy hozzáférést biztosítsanak a felhasználóknak, vagy az általános szabályoktól függetlenül módosítsák a szerepköreiket.

Az Azure AD-vel az olyan alkalmazások, mint a Salesforce előre konfigurálhatók egyszeri bejelentkezéshez (SSO) és automatikus kiépítéshez. Az alkalmazás konfigurálása után a rendszergazda az egyszeri művelet végrehajtásával létrehozhatja és hozzárendelheti a megfelelő csoportokat. Ebben a példában egy rendszergazda végrehajthatja a következő feladatokat:

  • Dinamikus csoportok definiálhatók úgy, hogy a marketing- és értékesítési csapatok minden tagját automatikusan képviseljenek olyan attribútumok használatával, mint a részleg vagy a szerepkör:

    • A marketingcsoportok minden tagja hozzá lesz rendelve a Salesforce "marketing" szerepköréhez
    • Az értékesítési csoportcsoportok minden tagja hozzá lesz rendelve a Salesforce "sales" szerepköréhez. A további finomítások több csoportot is használhatnak, amelyek különböző Salesforce-szerepkörökhöz rendelt regionális értékesítési csapatokat jelölnek.
  • A kivételi mechanizmus engedélyezéséhez minden szerepkörhöz létre lehet hozni egy önkiszolgáló csoportot. A "Salesforce marketing kivétel" csoport például létrehozható önkiszolgáló csoportként. A csoport hozzárendelhető a Salesforce marketingszerepkörhöz, a marketingvezetési csapat pedig tulajdonossá. A marketingvezetési csapat tagjai felhasználókat vehetnek fel vagy távolíthatnak el, csatlakozási szabályzatot állíthatnak be, vagy akár jóváhagyhatják vagy elutasíthatják az egyes felhasználók csatlakozási kérelmeit. Ezt a mechanizmust egy olyan, az információs dolgozóknak megfelelő tapasztalat támogatja, amely nem igényel speciális képzést a tulajdonosok vagy a tagok számára.

Ebben az esetben az összes hozzárendelt felhasználó automatikusan ki lesz építve a Salesforce-ban. A különböző csoportokhoz való hozzáadásukkor a szerepkör-hozzárendelésük frissítve lesz a Salesforce-ban. A felhasználók Saját alkalmazások, Office webes ügyfeleken keresztül vagy a szervezeti Salesforce bejelentkezési oldalára lépve fedezhetik fel és érhetik el a Salesforce-t. A rendszergazdák egyszerűen megtekinthetik a használat és a hozzárendelés állapotát az Azure AD-jelentéskészítés használatával.

A rendszergazdák azure AD feltételes hozzáférést használhatnak adott szerepkörök hozzáférési szabályzatainak beállításához. Ezek a szabályzatok magukban foglalhatják, hogy a hozzáférés a vállalati környezeten kívül engedélyezett-e, sőt többtényezős hitelesítést vagy eszközkövetelményeket is tartalmazhatnak a hozzáférés eléréséhez különböző esetekben.

Hozzáférés a Microsoft-alkalmazásokhoz

A Microsoft-alkalmazások (például Exchange, SharePoint, Yammer stb.) hozzárendelése és kezelése kissé eltér a harmadik féltől származó SaaS-alkalmazásoktól vagy az Azure AD-vel integrálható más alkalmazásoktól az egyszeri bejelentkezéshez.

A felhasználók három fő módon férhetnek hozzá a Microsoft által közzétett alkalmazásokhoz.

  • A Microsoft 365 vagy más fizetős csomagokban lévő alkalmazások esetében a felhasználók licenc-hozzárendeléssel kapnak hozzáférést közvetlenül a felhasználói fiókjukhoz, vagy csoportalapú licenc-hozzárendelési képességünkkel rendelkező csoporton keresztül.

  • A Microsoft vagy egy harmadik fél által szabadon közzétett alkalmazások esetében a felhasználók felhasználói hozzájárulással kaphatnak hozzáférést. A felhasználók az Azure AD Munkahelyi vagy Iskolai fiókjával jelentkeznek be az alkalmazásba, és lehetővé teszik számukra, hogy korlátozott mennyiségű adathoz férhessenek hozzá a fiókjukon.

  • A Microsoft vagy egy harmadik fél által szabadon közzétett alkalmazások esetében a felhasználók rendszergazdai hozzájárulással is hozzáférést kaphatnak. Ez azt jelenti, hogy egy rendszergazda megállapította, hogy az alkalmazást a szervezet minden tagja használhatja, ezért globális rendszergazdai fiókkal jelentkezik be az alkalmazásba, és hozzáférést ad a szervezet összes felhasználójának.

Egyes alkalmazások kombinálják ezeket a metódusokat. Bizonyos Microsoft-alkalmazások például egy Microsoft 365-előfizetés részét képezik, de továbbra is hozzájárulást igényelnek.

A felhasználók Office 365 portáljukon érhetik el Microsoft 365 alkalmazásokat. Microsoft 365 alkalmazásokat a Saját alkalmazások is megjelenítheti vagy elrejtheti a címtár felhasználói beállításai között a Office 365 láthatósági kapcsolóval.

A nagyvállalati alkalmazásokhoz hasonlóan a felhasználókat is hozzárendelheti bizonyos Microsoft-alkalmazásokhoz a Azure Portal keresztül, vagy ha a portál nem érhető el, a PowerShell használatával.

Következő lépések