Apa itu manajemen aplikasi di Azure Active Directory?

  • Artikel
  • 7 menit untuk membaca

Manajemen aplikasi dalam Azure Active Directory (AAD) adalah proses membuat, mengonfigurasi, mengelola, dan memantau aplikasi di cloud. Ketika aplikasi terdaftar di penyewa Azure Active Directory, pengguna yang telah ditugaskan dapat mengaksesnya dengan aman. Banyak jenis aplikasi yang dapat didaftarkan di Azure Active Directory. Untuk informasi selengkapnya, lihat Jenis aplikasi dengan Platform Identitas Microsoft.

Dalam artikel ini, Anda mempelajari aspek-aspek penting dalam mengelola siklus hidup aplikasi:

  • Kembangkan, tambahkan, atau sambungkan – Anda mengambil jalur yang berbeda bergantung pada apakah Anda sedang mengembangkan aplikasi Anda sendiri, menggunakan aplikasi praintegrasi, atau menyambung ke aplikasi lokal.
  • Mengelola akses – Akses dapat dikelola dengan menggunakan akses menyeluruh (SSO), menetapkan sumber daya, menentukan cara akses diberikan dan disetujui, serta menggunakan provisi otomatis.
  • Mengonfigurasikan properti – Konfigurasikan persyaratan untuk masuk ke aplikasi dan cara aplikasi direpresentasikan dalam portal pengguna.
  • Mengamankan aplikasi - Kelola konfigurasi izin, autentikasi multifaktor (MFA), akses bersyarat, token, dan sertifikat.
  • Mengelola dan memantau - Kelola aktivitas interaksi dan ulasan menggunakan pengelolaan pemberian hak serta pelaporan dan pemantauan sumber daya.
  • Membersihkan – Ketika aplikasi Anda tidak lagi diperlukan, bersihkan penyewa Anda dengan menghapus akses ke sana dan menghapusnya.

Mengembangkan, menambahkan, atau menghubungkan

Ada beberapa cara agar Anda dapat mengelola aplikasi di Azure Active Directory. Cara termudah untuk mulai mengelola aplikasi adalah dengan menggunakan aplikasi yang telah terintegrasi dari galeri Azure Active Directory. Mengembangkan aplikasi Anda sendiri dan mendaftarkannya Azure Active Directory dapat menjadi pilihan, atau Anda dapat terus menggunakan aplikasi lokal.

Gambar berikut menampilkan cara aplikasi ini berinteraksi dengan Azure Active Directory.

Diagram showing how your own developed apps, pre-integrated apps, and on-premises apps can be used as enterprise apps.

Aplikasi yang telah terintegrasi

Banyak aplikasi yang telah terintegrasi (ditampilkan sebagai "Aplikasi cloud" pada gambar di atas) dan dapat disiapkan dengan mudah. Setiap aplikasi di galeri Azure Active Directory memiliki artikel yang tersedia yang menunjukkan kepada Anda langkah-langkah yang diperlukan untuk mengonfigurasi aplikasi. Untuk contoh sederhana tentang cara aplikasi ditambahkan ke penyewa Azure Active Directory dari galeri, lihat Mulai Cepat: Menambahkan aplikasi perusahaan.

Aplikasi Anda sendiri

Jika mengembangkan aplikasi bisnis Anda sendiri, Anda dapat mendaftarkannya dengan Azure Active Directory untuk memanfaatkan fitur keamanan yang disediakan penyewa. Anda dapat mendaftarkan aplikasi di Pendaftaran Aplikasi, atau Anda dapat mendaftarkannya menggunakan tautan Buat aplikasi Anda sendiri saat menambahkan aplikasi baru di Aplikasi Enterprise. Pertimbangkan cara autentikasi diimplementasikan dalam aplikasi Anda untuk integrasi dengan Azure Active Directory.

Jika ingin membuat aplikasi tersedia melalui galeri, Anda dapat mengajukan permintaan untuk menambahkannya.

Aplikasi lokal

Jika Anda ingin terus menggunakan aplikasi lokal, tetapi manfaatkan penawaran Azure Active Directory, hubungkan aplikasi lokal dengan Azure Active Directory menggunakan Proksi Aplikasi Azure Active Directory. Proksi Aplikasi dapat diimplementasikan ketika Anda ingin memublikasikan aplikasi lokal secara eksternal. Pengguna jarak jauh yang memerlukan akses ke aplikasi internal dapat mengaksesnya dengan cara yang aman.

Mengelola akses

Untuk mengelola akses aplikasi, Anda perlu menjawab pertanyaan-pertanyaan berikut:

  • Bagaimana cara akses diberikan dan disetujui untuk aplikasi?
  • Apakah aplikasi mendukung SSO?
  • Mana saja pengguna, grup, dan pemilik yang harus ditugaskan ke aplikasi?
  • Apakah ada penyedia identitas lain yang mendukung aplikasi?
  • Apakah akan membantu untuk mengotomatisasi provisi identitas dan peran pengguna?

Anda dapat mengelola pengaturan persetujuan pengguna untuk memilih apakah pengguna dapat mengizinkan aplikasi atau layanan untuk mengakses profil pengguna dan data organisasi. Ketika aplikasi diberikan akses, pengguna dapat masuk ke aplikasi yang terintegrasi dengan Azure Active Directory, dan aplikasi dapat mengakses data organisasi Anda untuk memberikan pengalaman berbasis data yang kaya.

Pengguna sering kali tidak dapat menyetujui izin yang diminta aplikasi. Konfigurasikan alur kerja persetujuan admin untuk mengizinkan pengguna memberikan pembenaran serta meminta peninjauan dan persetujuan administrator aplikasi.

Sebagai administrator, Anda dapat memberikan izin admin untuk seluruh penyewa ke aplikasi. Persetujuan admin untuk seluruh penyewa diperlukan ketika aplikasi memerlukan izin yang tidak dapat diberikan oleh pengguna reguler, dan memungkinkan organisasi untuk menerapkan proses peninjauan mereka sendiri. Selalu tinjau dengan cermat izin yang diminta aplikasi sebelum memberikan persetujuan. Saat aplikasi telah diberikan persetujuan admin untuk seluruh penyewa, semua pengguna akan dapat masuk ke aplikasi kecuali jika telah dikonfigurasi untuk memerlukan penugasan pengguna.

Akses menyeluruh

Pertimbangkan untuk menerapkan SSO dalam aplikasi Anda. Anda dapat mengonfigurasi sebagian besar aplikasi secara manual untuk SSO. Pilihan paling populer di Azure Active Directory adalah SSO berbasis SAML dan SSO berbasis OpenID Connect. Sebelum memulai, pastikan Anda memahami persyaratan untuk SSO dan cara merencanakan penyebaran. Untuk pelatihan yang terkait dengan mengonfigurasi akses menyeluruh berbasis SAML untuk aplikasi perusahaan di penyewa Azure AD Anda, lihat Aktifkan akses menyeluruh untuk aplikasi dengan menggunakan Azure Active Directory.

Penugasan pengguna, grup, dan pemilik

Secara default, semua pengguna dapat mengakses aplikasi perusahaan Anda tanpa perlu ditetapkan kepada mereka. Namun, jika ingin menetapkan aplikasi ke sekumpulan pengguna, aplikasi Anda memerlukan penugasan pengguna. Untuk contoh sederhana tentang cara membuat dan menugaskan akun pengguna ke aplikasi, lihat Mulai Cepat: Membuat dan menetapkan akun pengguna.

Jika disertakan dalam langganan Anda, tetapkan grup ke aplikasi agar Anda dapat mendelegasikan manajemen akses berkelanjutan ke pemilik grup.

Menetapkan pemilik adalah cara sederhana untuk memberi seseorang kemampuan mengelola semua aspek konfigurasi Azure Active Directory untuk aplikasi. Sebagai pemilik, pengguna dapat mengelola konfigurasi khusus organisasi pada aplikasi.

Mengotomatiskan penyediaan

Provisi aplikasi mengacu pada pembuatan identitas dan peran pengguna secara otomatis di aplikasi yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah.

IdP

Apakah Anda memiliki penyedia identitas yang Anda inginkan untuk berinteraksi dengan Azure Active Directory? Home Realm Discovery menyediakan konfigurasi yang memungkinkan Azure Active Directory menentukan penyedia identitas yang perlu diautentikasi oleh pengguna saat mereka masuk.

Portal pengguna

Azure Active Directory menyediakan beberapa cara yang dapat disesuaikan untuk menyebarkan aplikasi ke pengguna di organisasi Anda. Misalnya, portal Aplikasi Saya atau peluncur aplikasi Microsoft 365. Aplikasi Saya memberi pengguna satu tempat untuk memulai pekerjaan mereka dan menemukan semua aplikasi yang dapat mereka akses. Sebagai administrator aplikasi, Anda harus merencanakan cara pengguna di organisasi Anda menggunakan Aplikasi Saya.

Mengonfigurasikan properti

Saat menambahkan aplikasi ke penyewa Azure AD, Anda memiliki peluang untuk mengonfigurasi properti yang memengaruhi cara pengguna dapat berinteraksi dengan aplikasi. Anda dapat mengaktifkan atau menonaktifkan kemampuan untuk masuk dan penugasan pengguna dapat diperlukan. Anda juga dapat menentukan visibilitas aplikasi, logo yang mewakili aplikasi, dan catatan apa pun tentang aplikasi. Untuk informasi selengkapnya tentang properti yang dapat dikonfigurasi, lihat Properti aplikasi perusahaan.

Mengamankan aplikasi

Ada beberapa metode yang tersedia untuk membantu Anda menjaga aplikasi perusahaan tetap aman. Misalnya, Anda dapat membatasi akses penyewa, mengelola visibilitas, data, dan analitik, serta mungkin menyediakan akses hibrida. Menjaga aplikasi perusahaan Anda tetap aman juga melibatkan konfigurasi pengelolaan izin, MFA, akses bersyarat, token, dan sertifikat.

Izin

Sangat penting untuk meninjau secara berkala dan, jika perlu, mengelola izin yang diberikan kepada aplikasi atau layanan. Pastikan bahwa Anda hanya mengizinkan akses yang sesuai ke aplikasi dengan secara teratur mengevaluasi apakah ada aktivitas yang mencurigakan.

Klasifikasi izin memungkinkan Anda mengidentifikasi dampak yang ditimbulkan oleh berbagai izin sesuai dengan kebijakan dan evaluasi risiko organisasi Anda. Misalnya, Anda dapat menggunakan klasifikasi izin dalam kebijakan persetujuan untuk mengidentifikasi kumpulan izin yang diizinkan untuk disetujui oleh pengguna.

Autentikasi multifaktor dan akses bersyarat

Azure Active Directory Multifactor Authentication membantu menjaga akses ke data dan aplikasi, menyediakan lapisan keamanan lain dengan menggunakan autentikasi bentuk kedua. Ada banyak metode yang dapat digunakan untuk autentikasi faktor kedua. Sebelum memulai, rencanakan penyebaran MFA untuk aplikasi di dalam organisasi Anda.

Organisasi dapat mengaktifkan MFA dengan akses bersyarat untuk menyesuaikan solusi dengan kebutuhan spesifik mereka. Kebijakan akses bersyarat memungkinkan administrator menetapkan kontrol ke aplikasi, tindakan, atau konteks autentikasi tertentu.

Token dan sertifikat

Berbagai jenis token keamanan digunakan dalam alur autentikasi di Azure Active Directory tergantung pada protokol yang digunakan. Misalnya, token SAML digunakan untuk protokol SAML, lalu token ID dan token akses digunakan untuk protokol OpenID Connect. Token SAML ini ditandatangani dengan sertifikat unik yang dihasilkan di Azure Active Directory dan dengan algoritma standar tertentu.

Anda dapat menyediakan lebih banyak keamanan dengan mengenkripsi token. Anda juga dapat mengelola informasi dalam token termasuk peran yang diizinkan untuk aplikasi.

Azure Active Directory menggunakan algoritma SHA-256 secara default untuk menandatangani respons SAML. Gunakan SHA-256 kecuali aplikasi memerlukan SHA-1. Buat proses untuk mengelola masa pakai sertifikat. Masa guna maksimum sertifikat penandatanganan adalah tiga tahun. Untuk mencegah atau meminimalkan ketidaktersediaan karena sertifikat kedaluwarsa, gunakan peran dan daftar distribusi email untuk memastikan bahwa pemberitahuan perubahan terkait sertifikat dipantau dengan ketat.

Mengelola dan memantau

Pengelolaan pemberian hak di Azure Active Directory memungkinkan Anda mengelola interaksi antara aplikasi dan administrator, pemilik katalog, manajer paket akses, pemberi izin, dan pemohon.

Solusi pelaporan dan pemantauan Azure Active Directory bergantung pada persyaratan hukum, keamanan, dan operasional Anda serta lingkungan juga proses yang sudah ada. Ada beberapa log yang dipertahankan di Azure Active Directory dan Anda harus merencanakan pelaporan dan pemantauan penyebaran untuk mempertahankan pengalaman terbaik untuk aplikasi Anda.

Pembersihan

Anda dapat membersihkan akses ke aplikasi. Misalnya, menghapus akses pengguna. Anda juga dapat menonaktifkan cara pengguna masuk. Dan terakhir, Anda dapat menghapus aplikasi jika tidak lagi diperlukan oleh organisasi. Untuk contoh sederhana tentang cara menghapus aplikasi perusahaan dari penyewa Azure Active Directory, lihat Mulai Cepat: Menghapus aplikasi perusahaan.

Langkah berikutnya