Mi az alkalmazáskezelés Azure Active Directory?

A Azure Active Directory (Azure AD) az alkalmazások felhőbeli létrehozásának, konfigurálásának, kezelésének és figyelésének folyamata. Ha egy alkalmazás regisztrálva van egy Azure AD-bérlőben, a hozzá rendelt felhasználók biztonságosan hozzáférhetnek hozzá. Számos alkalmazástípus regisztrálható Azure AD. További információ: A Microsoft Identity Platform alkalmazástípusai.

Ebben a cikkben megismerheti az alkalmazások életciklusának kezelésének alábbi fontos szempontjait:

  • Fejlesztés, hozzáadás vagy csatlakozás – Különböző útvonalakat kell használnia attól függően, hogy saját alkalmazást fejleszt, előre integrált alkalmazást használ, vagy helyszíni alkalmazáshoz csatlakozik.
  • Hozzáférés kezelése – A hozzáférés kezelhető egyszeri bejelentkezéssel (SSO), erőforrások hozzárendelésével, a hozzáférés megadásának és jóváhagyásának módjának meghatározásával, valamint az automatikus kiépítés használatával.
  • Tulajdonságok konfigurálása – Konfigurálja az alkalmazásba való bejelentkezés követelményeit, valamint azt, hogy az alkalmazás hogyan jelenik meg a felhasználói portálokon.
  • Az alkalmazás védelme – Kezelheti az engedélyek konfigurációját, a többtényezős hitelesítést (MFA), a feltételes hozzáférést, a jogkivonatokat és a tanúsítványokat.
  • Szabályozás és figyelés – Az interakciós és felülvizsgálati tevékenységek kezelése jogosultságkezelési, jelentéskészítési és monitorozási erőforrások használatával.
  • Törlés – Ha az alkalmazásra már nincs szükség, törölje a bérlőt a hozzáférés eltávolításával és törlésével.

Fejlesztés, hozzáadás vagy csatlakozás

A Azure AD többféleképpen is kezelheti az alkalmazásokat. Az alkalmazások kezelésének legegyszerűbb módja egy előre integrált alkalmazás használata a Azure AD katalógusból. A saját alkalmazás fejlesztése és regisztrálása Azure AD lehetőség, vagy továbbra is használhat helyszíni alkalmazást.

Az alábbi kép bemutatja, hogyan használják ezek az alkalmazások a Azure AD.

Diagram showing how your own developed apps, pre-integrated apps, and on-premises apps can be used as enterprise apps.

Előre integrált alkalmazások

Számos alkalmazás már eleve előre integrált (a fenti képen "Felhőalkalmazások" néven látható), és minimális erőfeszítéssel állítható be. A Azure AD katalógus minden alkalmazásához elérhető egy cikk, amely bemutatja az alkalmazás konfigurálásához szükséges lépéseket. Ha szeretne egy egyszerű példát arra, hogyan adhat hozzá egy alkalmazást Azure AD bérlőjéhez a katalógusból, tekintse meg a gyorsútmutatót: Vállalati alkalmazás hozzáadása.

Saját alkalmazások

Ha saját üzleti alkalmazást fejleszt, regisztrálhatja azt a Azure AD, hogy kihasználhassa a bérlő által biztosított biztonsági funkciókat. Regisztrálhatja alkalmazását az Alkalmazásregisztrációkban, vagy regisztrálhatja a Saját alkalmazás létrehozása hivatkozással, amikor új alkalmazást ad hozzá a Nagyvállalati alkalmazásokban. Gondolja át, hogyan valósítja meg a hitelesítést az alkalmazásban a Azure AD való integráció érdekében.

Ha elérhetővé szeretné tenni az alkalmazást a katalóguson keresztül, elküldhet egy kérelmet, hogy hozzáadja azt.

Helyszíni alkalmazások

Ha továbbra is helyszíni alkalmazást szeretne használni, de kihasználja a Azure AD által kínált lehetőségeket, csatlakoztassa Azure AD Azure AD alkalmazásproxy használatával. alkalmazásproxy akkor valósíthatók meg, ha külsőleg szeretne helyszíni alkalmazásokat közzétenni. Azok a távoli felhasználók, akiknek hozzáférésre van szükségük a belső alkalmazásokhoz, biztonságos módon érhetik el őket.

Hozzáférés kezelése

Az alkalmazások hozzáférésének kezeléséhez az alábbi kérdésekre kell válaszolnia:

  • Hogyan adható meg és engedélyezhető a hozzáférés az alkalmazáshoz?
  • Támogatja az alkalmazás az egyszeri bejelentkezést?
  • Mely felhasználókat, csoportokat és tulajdonosokat kell hozzárendelni az alkalmazáshoz?
  • Vannak más identitásszolgáltatók, amelyek támogatják az alkalmazást?
  • Hasznos lenne automatizálni a felhasználói identitások és szerepkörök kiépítését?

A felhasználói hozzájárulás beállításainak kezelésével megadhatja, hogy a felhasználók engedélyezhetik-e, hogy egy alkalmazás vagy szolgáltatás hozzáférjen a felhasználói profilokhoz és a szervezeti adatokhoz. Amikor az alkalmazások hozzáférést kapnak, a felhasználók bejelentkezhetnek a Azure AD integrált alkalmazásokba, és az alkalmazás hozzáférhet a szervezet adataihoz, hogy gazdag adatvezérelt szolgáltatásokat nyújtson.

A felhasználók gyakran nem tudnak hozzájárulni az alkalmazás által kért engedélyekhez. Konfigurálja a rendszergazdai hozzájárulás munkafolyamatát , hogy a felhasználók indoklást adjanak meg, és kérhessenek egy rendszergazdai felülvizsgálatot és egy alkalmazás jóváhagyását.

Rendszergazdaként bérlői szintű rendszergazdai hozzájárulást adhat egy alkalmazáshoz. A bérlőszintű rendszergazdai hozzájárulásra akkor van szükség, ha egy alkalmazás olyan engedélyeket igényel, amelyeket a rendszeres felhasználók nem adhatnak meg, és lehetővé teszik a szervezetek számára a saját felülvizsgálati folyamatuk megvalósítását. A hozzájárulás megadása előtt mindig alaposan tekintse át az alkalmazás által kért engedélyeket. Ha egy alkalmazáshoz bérlői szintű rendszergazdai hozzájárulást kapott, minden felhasználó bejelentkezhet az alkalmazásba, kivéve, ha úgy van konfigurálva, hogy felhasználói hozzárendelést igényeljen.

Egyszeri bejelentkezés

Érdemes lehet SSO-t implementálni az alkalmazásban. A legtöbb alkalmazást manuálisan is konfigurálhatja egyszeri bejelentkezéshez. A Azure AD legnépszerűbb lehetőségei az SAML-alapú egyszeri bejelentkezés és az OpenID Csatlakozás-alapú egyszeri bejelentkezés. Mielőtt hozzákezd, győződjön meg arról, hogy ismeri az egyszeri bejelentkezés követelményeit és az üzembe helyezés megtervezését. Az SAML-alapú egyszeri bejelentkezés konfigurálásának egyszerű példáját a Azure AD-bérlőben lévő vállalati alkalmazásokhoz a következő rövid útmutatóban tekintheti meg: Egyszeri bejelentkezés engedélyezése vállalati alkalmazásokhoz.

Felhasználó-, csoport- és tulajdonos-hozzárendelés

Alapértelmezés szerint minden felhasználó hozzáférhet a vállalati alkalmazásokhoz anélkül, hogy hozzá lett rendelve. Ha azonban az alkalmazást felhasználók egy csoportjához szeretné hozzárendelni, az alkalmazáshoz felhasználói hozzárendelés szükséges. A felhasználói fiókok alkalmazáshoz való létrehozásának és hozzárendelésének egyszerű példájáért tekintse meg a következő rövid útmutatót: Felhasználói fiók létrehozása és hozzárendelése.

Ha szerepel az előfizetésben, rendeljen csoportokat egy alkalmazáshoz , hogy a folyamatos hozzáférés-kezelés delegálható legyen a csoport tulajdonosának.

A tulajdonosok hozzárendelése egyszerű módja annak, hogy az alkalmazás konfigurációjának Azure AD minden aspektusát kezelni tudja. Tulajdonosként a felhasználó kezelheti az alkalmazás szervezetspecifikus konfigurációját.

A kiépítés automatizálása

Az alkalmazáskiépítés azt jelenti, hogy automatikusan létrehoznak felhasználói identitásokat és szerepköröket azokban az alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotát vagy szerepköreinek változását.

Identitásszolgáltatók

Van olyan identitásszolgáltatója, amellyel Azure AD szeretne kommunikálni? A Home Realm Discovery olyan konfigurációt biztosít, amellyel Azure AD megállapíthatja, hogy a felhasználónak melyik identitásszolgáltatóval kell hitelesítenie magát a bejelentkezéskor.

Felhasználói portálok

Azure AD testre szabható módszerekkel helyezhet üzembe alkalmazásokat a szervezet felhasználói számára. Például a Saját alkalmazások portált vagy a Microsoft 365 alkalmazásindítót. Saját alkalmazások egyetlen helyet biztosít a felhasználóknak, ahol megkezdhetik a munkájukat, és megkereshetik azokat az alkalmazásokat, amelyekhez hozzáféréssel rendelkeznek. Egy alkalmazás rendszergazdájaként meg kell terveznie, hogy a szervezet felhasználói hogyan fogják használni a Saját alkalmazások.

Tulajdonságok konfigurálása

Amikor hozzáad egy alkalmazást a Azure AD-bérlőhöz, lehetősége van olyan tulajdonságok konfigurálására, amelyek befolyásolják a felhasználók által az alkalmazással való interakciót. Engedélyezheti vagy letilthatja a bejelentkezés lehetőségét, és felhasználói hozzárendelésre lehet szükség. Emellett meghatározhatja az alkalmazás láthatóságát, az alkalmazást jelképező emblémát és az alkalmazásra vonatkozó megjegyzéseket is. A konfigurálható tulajdonságokról további információt a vállalati alkalmazások tulajdonságai című témakörben talál.

Az alkalmazás védelme

Számos módszer áll rendelkezésre a vállalati alkalmazások biztonságának megőrzéséhez. Korlátozhatja például a bérlői hozzáférést, kezelheti a láthatóságot, az adatokat és az elemzéseket, és hibrid hozzáférést biztosíthat. A vállalati alkalmazások biztonságának megőrzése magában foglalja az engedélyek, az MFA, a feltételes hozzáférés, a jogkivonatok és a tanúsítványok konfigurálásának kezelését is.

Engedélyek

Fontos, hogy rendszeresen ellenőrizze és szükség esetén kezelje az alkalmazásnak vagy szolgáltatásnak adott engedélyeket. Győződjön meg arról, hogy csak a megfelelő hozzáférést engedélyezi az alkalmazásokhoz, ha rendszeresen kiértékeli, hogy létezik-e gyanús tevékenység.

Az engedélybesorolások lehetővé teszik a különböző engedélyek hatásának azonosítását a szervezet szabályzatai és kockázatfelmérései alapján. A hozzájárulási szabályzatokban például engedélybesorolásokkal azonosíthatja azokat az engedélyeket, amelyekhez a felhasználók hozzájárulást adhatnak.

Többtényezős hitelesítés és feltételes hozzáférés

Azure AD MFA segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, egy másik biztonsági réteget biztosítva egy második hitelesítési formával. A másodikfaktoros hitelesítéshez számos módszer használható. Mielőtt elkezdené, tervezze meg az MFA telepítését az alkalmazás számára a szervezetben.

A szervezetek feltételes hozzáféréssel engedélyezhetik az MFA-t, hogy a megoldás megfeleljen az igényeiknek. A feltételes hozzáférési szabályzatok lehetővé teszik, hogy a rendszergazdák vezérlőket rendeljenek hozzá adott alkalmazásokhoz, műveletekhez vagy hitelesítési környezetekhez.

Jogkivonatok és tanúsítványok

A használt protokolltól függően különböző típusú biztonsági jogkivonatokat használnak a hitelesítési folyamatokban a Azure AD. Az SAML-jogkivonatok például az SAML protokollhoz használatosak, az OpenID Csatlakozás protokoll pedig azonosító jogkivonatokat és hozzáférési jogkivonatokat. A jogkivonatok a Azure AD által létrehozott egyedi tanúsítvánnyal és meghatározott szabványos algoritmusokkal vannak aláírva.

A jogkivonat titkosításával nagyobb biztonságot biztosíthat. A jogkivonatok adatait is kezelheti, beleértve az alkalmazás számára engedélyezett szerepköröket is.

Azure AD alapértelmezés szerint az SHA-256 algoritmust használja az SAML-válasz aláírásához. Használja az SHA-256-ot, kivéve, ha az alkalmazáshoz SHA-1 szükséges. Hozzon létre egy folyamatot a tanúsítvány élettartamának kezelésére. Az aláíró tanúsítvány maximális élettartama három év. A tanúsítványok lejárata miatti kimaradás elkerülése vagy minimalizálása érdekében szerepkörök és e-mail-terjesztési listák használatával győződjön meg arról, hogy a tanúsítványokkal kapcsolatos változásértesítések szorosan figyelve vannak.

Szabályozás és figyelés

A jogosultságkezelés Azure AD lehetővé teszi az alkalmazások és rendszergazdák, a katalógustulajdonosok, a hozzáférési csomagkezelők, a jóváhagyók és a kérelmezők közötti interakció kezelését.

A Azure AD jelentéskészítési és monitorozási megoldás a jogi, biztonsági és üzemeltetési követelményektől, valamint a meglévő környezettől és folyamatoktól függ. A Azure AD számos naplót tart fenn, és érdemes megtervezni a jelentéskészítést és a figyelést, hogy a lehető legjobb élményt nyújthassa az alkalmazás számára.

A fölöslegessé vált elemek eltávolítása

Törölheti az alkalmazásokhoz való hozzáférést. Például egy felhasználó hozzáférésének eltávolítása. Azt is letilthatja, hogy egy felhasználó hogyan jelentkezzen be. Végül törölheti az alkalmazást, ha már nincs rá szükség a szervezet számára. A vállalati alkalmazások Azure AD-bérlőből való törlésére vonatkozó egyszerű példát a következő rövid útmutatóban tekintheti meg: Vállalati alkalmazás törlése.

Következő lépések