Mengintegrasikan aplikasi dengan ID Microsoft Entra dan membuat garis besar akses yang ditinjau
Setelah Anda menetapkan kebijakan untuk siapa yang harus memiliki akses ke aplikasi, maka Anda dapat menghubungkan aplikasi Anda ke ID Microsoft Entra lalu menyebarkan kebijakan untuk mengatur akses ke aplikasi tersebut.
Tata Kelola ID Microsoft Entra dapat diintegrasikan dengan banyak aplikasi, termasuk aplikasi terkenal seperti SAP R/3, SAP S/4HANA, dan yang menggunakan standar seperti OpenID Koneksi, SAML, SCIM, SQL, LDAP, SOAP, dan REST. Melalui standar ini, Anda dapat menggunakan ID Microsoft Entra dengan banyak aplikasi SaaS populer dan aplikasi lokal, termasuk aplikasi yang telah dikembangkan organisasi Anda. Rencana penyebaran ini mencakup cara menghubungkan aplikasi Anda ke ID Microsoft Entra dan mengaktifkan fitur tata kelola identitas yang akan digunakan untuk aplikasi tersebut.
Agar Tata Kelola ID Microsoft Entra digunakan untuk aplikasi, aplikasi harus terlebih dahulu diintegrasikan dengan MICROSOFT Entra ID dan diwakili dalam direktori Anda. Aplikasi yang terintegrasi dengan ID Microsoft Entra berarti salah satu dari dua persyaratan harus dipenuhi:
- Aplikasi ini bergantung pada ID Microsoft Entra untuk SSO federasi, dan ID Microsoft Entra mengontrol penerbitan token autentikasi. Jika ID Microsoft Entra adalah satu-satunya penyedia identitas untuk aplikasi, maka hanya pengguna yang ditetapkan ke salah satu peran aplikasi di ID Microsoft Entra yang dapat masuk ke aplikasi. Pengguna yang kehilangan penetapan peran aplikasinya tidak bisa lagi mendapatkan token baru untuk masuk ke aplikasi.
- Aplikasi bergantung pada daftar pengguna atau grup yang disediakan untuk aplikasi oleh ID Microsoft Entra. Pemenuhan ini dapat dilakukan melalui protokol provisi seperti SCIM, oleh aplikasi yang mengkueri ID Microsoft Entra melalui Microsoft Graph, atau aplikasi yang menggunakan AD Kerberos untuk mendapatkan keanggotaan grup pengguna.
Jika tidak satu pun dari kriteria tersebut terpenuhi untuk aplikasi, misalnya ketika aplikasi tidak mengandalkan ID Microsoft Entra, maka tata kelola identitas masih dapat digunakan. Namun, mungkin ada beberapa batasan dalam menggunakan tata kelola identitas tanpa memenuhi kriteria. Misalnya, pengguna yang tidak berada di ID Microsoft Entra Anda, atau tidak ditetapkan ke peran aplikasi di ID Microsoft Entra, tidak akan disertakan dalam tinjauan akses aplikasi, hingga Anda menetapkannya ke peran aplikasi. Untuk informasi selengkapnya, lihat Mempersiapkan tinjauan akses pengguna ke aplikasi.
Mengintegrasikan aplikasi dengan ID Microsoft Entra untuk memastikan hanya pengguna yang berwenang yang dapat mengakses aplikasi
Biasanya proses mengintegrasikan aplikasi ini dimulai ketika Anda mengonfigurasi aplikasi tersebut untuk mengandalkan ID Microsoft Entra untuk autentikasi pengguna, dengan koneksi protokol akses menyeluruh (SSO) federasi, lalu menambahkan provisi. Protokol yang paling umum digunakan untuk SSO adalah SAML dan OpenID Connect. Anda dapat membaca selengkapnya tentang alat dan proses untuk menemukan dan memigrasikan autentikasi aplikasi ke ID Microsoft Entra.
Selanjutnya, jika aplikasi menerapkan protokol provisi, maka Anda harus mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke aplikasi, sehingga ID Microsoft Entra dapat memberi sinyal ke aplikasi ketika pengguna telah diberikan akses atau akses pengguna telah dihapus. Sinyal provisi ini memungkinkan aplikasi untuk melakukan koreksi otomatis, seperti menetapkan ulang konten yang dibuat oleh karyawan yang telah meninggalkan manajer mereka.
Periksa apakah aplikasi Anda ada dalam daftar aplikasi perusahaan atau daftar pendaftaran aplikasi. Jika aplikasi sudah ada di penyewa Anda, lewati ke langkah 5 di bagian ini.
Jika aplikasi Anda adalah aplikasi SaaS yang belum terdaftar di penyewa Anda, maka periksa apakah aplikasi tersedia di galeri aplikasi dalam aplikasi yang dapat diintegrasikan dengan SSO federasi. Jika ada di galeri, gunakan tutorial untuk mengintegrasikan aplikasi dengan ID Microsoft Entra.
- Ikuti tutorial untuk mengonfigurasi aplikasi untuk SSO federasi dengan MICROSOFT Entra ID.
- Jika ini adalah aplikasi galeri yang mendukung provisi, konfigurasikan aplikasi untuk provisi.
- Setelah selesai, lewati ke bagian berikutnya dalam artikel ini. Jika aplikasi SaaS tidak ada di galeri, minta vendor SaaS untuk melakukan onboard.
Jika ini merupakan aplikasi privat atau kustom, Anda juga dapat memilih integrasi akses menyeluruh yang paling tepat, berdasarkan lokasi dan kemampuan aplikasi.
Jika aplikasi ini berada di cloud publik, dan mendukung akses menyeluruh, konfigurasikan akses menyeluruh langsung dari MICROSOFT Entra ID ke aplikasi.
Aplikasi yang mendukung Langkah berikutnya OpenID Connect Menambahkan aplikasi OAuth OpenID Connect SAML 2.0 Daftarkan aplikasi dan konfigurasikan aplikasi dengan titik akhir SAML dan sertifikat ID Microsoft Entra SAML 1.1 Menambahkan aplikasi berbasis SAML Jika tidak, jika ini adalah aplikasi lokal atau yang dihosting IaaS yang mendukung akses menyeluruh, maka konfigurasikan akses menyeluruh dari ID Microsoft Entra ke aplikasi melalui proksi aplikasi.
Aplikasi yang mendukung Langkah berikutnya SAML 2.0 Menyebarkan proksi aplikasi dan mengonfigurasi aplikasi untuk SSO SAML Otorisasi Windows Terpadu (IWA) Sebarkan proksi aplikasi, konfigurasikan aplikasi untuk SSO autentikasi Windows terintegrasi, dan tetapkan aturan firewall untuk mencegah akses ke titik akhir aplikasi kecuali melalui proxy. autentikasi berbasis header Menyebarkan proksi aplikasi dan mengonfigurasikan aplikasi untuk SSO berbasis header
Jika aplikasi Anda memiliki beberapa peran, setiap pengguna hanya memiliki satu peran dalam aplikasi, dan aplikasi bergantung pada ID Microsoft Entra untuk mengirim peran khusus aplikasi tunggal pengguna sebagai klaim pengguna yang masuk ke aplikasi, lalu mengonfigurasi peran aplikasi tersebut di ID Microsoft Entra pada aplikasi Anda, lalu menetapkan setiap pengguna ke peran aplikasi. Anda dapat menggunakan UI peran aplikasi untuk menambahkan peran tersebut ke manifes aplikasi. Jika Anda menggunakan Microsoft Authentication Libraries, ada sampel kode tentang cara menggunakan peran aplikasi di dalam aplikasi Anda untuk kontrol akses. Jika pengguna dapat memiliki beberapa peran secara bersamaan, maka Anda mungkin ingin menerapkan aplikasi untuk memeriksa grup keamanan, baik dalam klaim token atau tersedia melalui Microsoft Graph, alih-alih menggunakan peran aplikasi dari manifes aplikasi untuk kontrol akses.
Jika aplikasi mendukung provisi, konfigurasikan provisi pengguna dan grup yang ditetapkan dari ID Microsoft Entra ke aplikasi tersebut. Jika ini adalah aplikasi privat atau kustom, Anda juga dapat memilih integrasi yang paling tepat, berdasarkan lokasi dan kemampuan aplikasi.
Jika aplikasi ini bergantung pada SAP Cloud Identity Services, konfigurasikan provisi pengguna melalui SCIM ke SAP Cloud Identity Services.
Aplikasi yang mendukung Langkah berikutnya SAP Cloud Identity Services Mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke SAP Cloud Identity Services Jika aplikasi ini berada di cloud publik dan mendukung SCIM, konfigurasikan provisi pengguna melalui SCIM.
Aplikasi yang mendukung Langkah berikutnya SCIM Mengonfigurasikan aplikasi dengan SCIM untuk provisi pengguna Jika aplikasi ini menggunakan AD, konfigurasikan tulis balik grup, dan perbarui aplikasi untuk menggunakan grup yang dibuat ID Microsoft Entra, atau menumpuk grup yang dibuat ID Microsoft Entra ke dalam grup keamanan AD aplikasi yang ada.
Aplikasi yang mendukung Langkah berikutnya Kerberos Mengonfigurasi tulis balik grup Microsoft Entra Cloud Sync ke AD, membuat grup di ID Microsoft Entra dan menulis grup tersebut ke AD Jika tidak, jika ini adalah aplikasi lokal atau yang dihosting IaaS, dan tidak terintegrasi dengan AD, maka konfigurasikan provisi ke aplikasi tersebut, baik melalui SCIM atau ke database atau direktori aplikasi yang mendasar.
Aplikasi yang mendukung Langkah berikutnya SCIM mengonfigurasi aplikasi dengan agen provisi untuk aplikasi berbasis SCIM lokal akun pengguna lokal, disimpan dalam database SQL mengonfigurasi aplikasi dengan agen provisi untuk aplikasi berbasis SQL lokal akun pengguna lokal, disimpan dalam direktori LDAP mengonfigurasi aplikasi dengan agen provisi untuk aplikasi berbasis LDAP lokal akun pengguna lokal, dikelola melalui SOAP atau REST API mengonfigurasi aplikasi dengan agen provisi dengan konektor layanan web akun pengguna lokal, dikelola melalui konektor MIM mengonfigurasi aplikasi dengan agen provisi dengan konektor kustom SAP ECC dengan NetWeaver AS ABAP 7.0 atau yang lebih baru mengonfigurasi aplikasi dengan agen provisi dengan konektor layanan web yang dikonfigurasi SAP ECC
Jika aplikasi Anda menggunakan Microsoft Graph untuk mengkueri grup dari ID Microsoft Entra, maka setujui aplikasi untuk memiliki izin yang sesuai untuk dibaca dari penyewa Anda.
Atur akses tersebut ke aplikasi hanya diizinkan untuk pengguna yang ditetapkan ke aplikasi. Pengaturan ini mencegah pengguna secara tidak sengaja melihat aplikasi di MyApps, dan mencoba masuk ke aplikasi, sebelum kebijakan Akses Bersyarat diaktifkan.
Melakukan tinjauan akses awal
Jika ini adalah aplikasi baru yang belum pernah digunakan oleh organisasi Anda, yang otomatis belum memiliki akses sebelumnya, atau jika Anda telah melakukan tinjauan akses untuk aplikasi ini, lewati ke bagian berikutnya.
Namun, jika aplikasi sudah ada di lingkungan Anda, maka mungkin saja pengguna telah mendapatkan akses di masa lalu melalui proses manual atau out-of-band, dan pengguna tersebut sekarang harus ditinjau untuk mendapatkan konfirmasi bahwa akses mereka masih sesuai dan diperlukan untuk ke depannya. Sebaiknya tinjau akses pengguna yang sudah memiliki akses ke aplikasi sebelum mengaktifkan kebijakan agar lebih banyak pengguna yang dapat meminta akses. Tinjauan ini menetapkan garis besar semua pengguna yang telah ditinjau setidaknya sekali, untuk memastikan bahwa pengguna tersebut berwenang untuk akses berkelanjutan.
- Ikuti langkah-langkah dalam Mempersiapkan tinjauan akses terhadap akses pengguna ke aplikasi.
- Jika aplikasi tidak menggunakan MICROSOFT Entra ID atau AD, tetapi mendukung protokol provisi atau memiliki database SQL atau LDAP yang mendasar, bawa pengguna yang ada dan buat penetapan peran aplikasi untuk mereka.
- Jika aplikasi tidak menggunakan MICROSOFT Entra ID atau AD, dan tidak mendukung protokol provisi, maka dapatkan daftar pengguna dari aplikasi dan buat penetapan peran aplikasi untuk masing-masing.
- Jika aplikasi menggunakan grup keamanan AD, maka Anda perlu meninjau keanggotaan grup keamanan tersebut.
- Jika aplikasi memiliki direktori atau database sendiri dan tidak terintegrasi untuk penyediaan, maka setelah peninjauan selesai, Anda mungkin perlu memperbarui database atau direktori internal aplikasi secara manual untuk menghapus pengguna yang ditolak.
- Jika aplikasi menggunakan grup keamanan AD, dan grup tersebut dibuat di AD, maka setelah peninjauan selesai, Anda perlu memperbarui grup AD secara manual untuk menghapus keanggotaan pengguna yang ditolak. Selanjutnya, untuk menolak hak akses dihapus secara otomatis, Anda dapat memperbarui aplikasi untuk menggunakan grup AD yang dibuat di ID Microsoft Entra dan ditulis kembali ke ID Microsoft Entra, atau memindahkan keanggotaan dari grup AD ke grup Microsoft Entra, dan menumpuk grup yang ditulis kembali sebagai satu-satunya anggota grup AD.
- Setelah peninjauan selesai dan akses aplikasi diperbarui, atau jika tidak ada pengguna yang memiliki akses, lanjutkan ke langkah berikutnya untuk menyebarkan akses bersyar dan kebijakan pengelolaan pemberian hak untuk aplikasi.
Sekarang setelah Anda memiliki garis besar yang memastikan akses yang ada telah ditinjau, maka Anda dapat menyebarkan kebijakan organisasi untuk akses yang sedang berlangsung dan permintaan akses baru apa pun.