Gestione dell'accesso alle appManaging access to apps

La gestione dell'accesso, la valutazione dell'utilizzo e la creazione di report durante l'utilizzo continuano a rappresentare una sfida dopo l'integrazione di un'app nel sistema di identità dell'organizzazione.Ongoing access management, usage evaluation, and reporting continue to be a challenge after an app is integrated into your organization's identity system. Nella maggior parte dei casi, gli amministratori IT o l'helpdesk devono assumere un ruolo attivo nella gestione dell'accesso alle app.In many cases, IT Administrators or helpdesk have to take an ongoing active role in managing access to your apps. In alcuni casi, l'assegnazione viene eseguita da un team IT generale o di reparto.Sometimes, assignment is performed by a general or divisional IT team. Spesso, la decisione di assegnazione deve essere delegata al responsabile aziendale, di cui è richiesta l'approvazione prima che l'IT esegua l'assegnazione.Often, the assignment decision is intended to be delegated to the business decision maker, requiring their approval before IT makes the assignment. Altre organizzazioni investono nell'integrazione mediante sistemi automatizzati esistenti di gestione dell'accesso e dell'identità, quali il controllo degli accessi in base al ruolo (RBAC) o il controllo degli accessi in base all'attributo (ABAC).Other organizations invest in integration with an existing automated identity and access management system, like Role-Based Access Control (RBAC) or Attribute-Based Access Control (ABAC). Lo sviluppo mediante integrazione e regole tende a essere specializzato e costoso.Both the integration and rule development tend to be specialized and expensive. Il monitoraggio o la creazione di report in entrambi gli approcci di gestione è di per sé un investimento isolato, complesso e costoso.Monitoring or reporting on either management approach is its own separate, costly, and complex investment.

Quale contributo può offrire Azure Active Directory?How does Azure Active Directory help?

Azure AD supporta la gestione estesa degli accessi per le applicazioni configurate, consentendo alle organizzazioni di ottenere facilmente gli opportuni criteri di accesso: dall'assegnazione automatica o in base agli attributi (scenari ABAC o RBAC), alla delega, inclusa la gestione degli amministratori.Azure AD supports extensive access management for configured applications, enabling organizations to easily achieve the right access policies ranging from automatic, attribute-based assignment (ABAC or RBAC scenarios) through delegation and including administrator management. Con Azure AD si possono facilmente ottenere criteri complessi, mediante la combinazione di più modelli di gestione per una singola applicazione, e si possono anche riutilizzare regole di gestione nelle applicazioni con gli stessi destinatari.With Azure AD you can easily achieve complex policies, combining multiple management models for a single application and can even re-use management rules across applications with the same audiences.

  • Aggiunta di applicazioni nuove o esistentiAdding new or existing applications

    L’assegnazione dell’applicazione di Azure AD riguarda due modalità di assegnazione primaria:Azure AD's application assignment focuses on two primary assignment modes:

  • Singola assegnazione : un amministratore IT con autorizzazioni di amministratore globale di directory può selezionare singoli account utente e concedere loro l'accesso all'applicazione.Individual assignment An IT admin with directory Global Administrator permissions can select individual user accounts and grant them access to the application.

  • Assegnazione basata su gruppo (con solo il pagamento di Azure AD) : un amministratore IT con autorizzazioni di amministratore globale di directory può assegnare un gruppo all'applicazione.Group-based assignment (paid Azure AD only) An IT admin with directory Global Administrator permissions can assign a group to the application. L'accesso utente specifico è determinato dall'appartenenza al gruppo al momento dell'accesso all'applicazione.Specific users' access is determined by whether they are members of the group at the time they attempt to access the application. In altri termini, un amministratore può in pratica creare una regola di assegnazione che indica che tutti i membri del gruppo assegnato hanno accesso all'applicazione.In other words, an administrator can effectively create an assignment rule stating "any current member of the assigned group has access to the application". Con questa opzione di assegnazione, gli amministratori possono sfruttare le opzioni di gestione dei gruppi di Azure AD, tra cui gruppi dinamici basati sugli attributi, gruppi di sistema esterno (ad esempio, Active Directory locale o Workday), gruppi gestiti dall'amministratore o in modalità self-service.Using this assignment option, administrators can benefit from any of Azure AD group management options, including attribute-based dynamic groups, external system groups (for example, on-premises Active Directory or Workday), or Administrator-managed or self-service-managed groups. Un singolo gruppo può essere facilmente assegnato a più app, garantendo che le applicazioni con affinità di assegnazione condividano le regole di assegnazione, riducendo la complessità di gestione complessiva.A single group can be easily assigned to multiple apps, ensuring that applications with assignment affinity can share assignment rules, reducing the overall management complexity. Tenere presente che, in questo momento, le appartenenze ai gruppi annidati non sono supportate per l'assegnazione alle applicazioni in base al gruppo.Please note that nested group memberships are not supported for group-based assignment to applications at this time.

Mediante queste due modalità di assegnazione, gli amministratori possono ottenere qualsiasi approccio di gestione delle assegnazioni.Using these two assignment modes, administrators can achieve any desirable assignment management approach.

Con Azure AD, le funzionalità di utilizzo e creazione di report di assegnazione sono completamente integrate e consentono agli amministratori di creare facilmente report su stato dell'assegnazione, errori di assegnazione e utilizzo.With Azure AD, usage and assignment reporting is fully integrated, enabling administrators to easily report on assignment state, assignment errors, and even usage.

Assegnazione di applicazioni complesse con Azure ADComplex application assignment with Azure AD

Si tenga in considerazione un'applicazione come Salesforce.Consider an application like Salesforce. In molte organizzazioni, Salesforce viene principalmente usata dai reparti di vendita e marketing.In many organizations, Salesforce is primarily used by the marketing and sales organizations. Spesso, i membri del team di marketing dispongono di privilegi elevati per l'accesso a Salesforce, mentre i membri del team di vendita ha accesso limitato.Often, members of the marketing team have highly privileged access to Salesforce, while members of the sales team have limited access. In molti casi, numerosi information worker hanno accesso limitato all'applicazioneIn many cases, a broad population of information workers have restricted access to the application. ed eventuali eccezioni a tale regola rendono la questione più complessa.Exceptions to these rules complicate matters. Spesso è prerogativa dei team responsabili del marketing o delle vendite concedere a un utente l'accesso o modificare i ruoli indipendentemente da queste regole generiche.It is often the prerogative of the marketing or sales leadership teams to grant a user access or change their roles independently of these generic rules.

Con Azure AD, applicazioni come Salesforce possono essere preconfigurate per l'accesso Single Sign-On e il provisioning automatizzato.With Azure AD, applications like Salesforce can be pre-configured for single sign-on (SSO) and automated provisioning. Dopo aver configurato l'applicazione, un amministratore può intraprendere l'azione singola di creazione e assegnazione ai gruppi appropriati.Once the application is configured, an Administrator can take the one-time action to create and assign the appropriate groups. In questo esempio un amministratore può eseguire le assegnazioni seguenti:In this example, an administrator could execute the following assignments:

  • gruppi dinamici possono essere definiti in modo da rappresentare automaticamente tutti i membri dei team di marketing e vendita mediante attributi quali reparto o ruolo:Dynamic groups can be defined to automatically represent all members of the marketing and sales teams using attributes like department or role:

    • In Salesforce, tutti i membri dei gruppi di marketing verrebbero assegnati al ruolo "marketing".All members of marketing groups would be assigned to the "marketing" role in Salesforce
    • In Salesforce, tutti i membri dei gruppi di vendita verrebbero assegnati al ruolo "sales".All members of sales team groups would be assigned to the "sales" role in Salesforce. Un'ulteriore perfezionamento potrebbe prevedere l'utilizzo di più gruppi che rappresentino i team di vendita suddivisi per area assegnati a diversi ruoli in Salesforce.A further refinement could use multiple groups that represent regional sales teams assigned to different Salesforce roles.
  • Per abilitare il meccanismo delle eccezioni, è possibile creare un gruppo self-service per ogni ruolo.To enable the exception mechanism, a self-service group could be created for each role. Ad esempio, è possibile creare come gruppo self-service il gruppo "Eccezione marketing Salesforce".For example, the "Salesforce marketing exception" group can be created as a self-service group. Il gruppo può essere assegnato al ruolo marketing in Salesforce e il team responsabile del marketing può essere definito come proprietario.The group can be assigned to the Salesforce marketing role and the marketing leadership team can be made owners. I membri del team responsabile del marketing potrebbero aggiungere o rimuovere utenti, impostare criteri di join o addirittura approvare o negare le richieste di join dei singoli utenti.Members of the marketing leadership team could add or remove users, set a join policy, or even approve or deny individual users' requests to join. Questa opzione è supportata tramite un'appropriata esperienza di un information worker che non richiede una formazione specifica per proprietari o membri.This is supported through an information worker appropriate experience that does not require specialized training for owners or members.

In questo caso, per tutti gli utenti assegnati viene eseguito il provisioning automatico in Salesforce e, mentre vengono aggiunti a gruppi diversi, in Salesforce viene aggiornata la relativa assegnazione al ruolo.In this case, all assigned users would be automatically provisioned to Salesforce, as they are added to different groups their role assignment would be updated in Salesforce. Gli utenti potranno individuare e accedere a Salesforce tramite il pannello di accesso dell'applicazione Microsoft, i client Web di Office, o anche passando alla pagina di accesso aziendale di Salesforce.Users would be able to discover and access Salesforce through the Microsoft application access panel, Office web clients, or even by navigating to their organizational Salesforce login page. Gli amministratori potranno visualizzare facilmente lo stato di assegnazione e utilizzo mediante la funzionalità di creazione di report di Azure AD.Administrators would be able to easily view usage and assignment status using Azure AD reporting.

Gli amministratori possono utilizzare l' accesso condizionale di Azure AD per impostare criteri di accesso per ruoli specifici.Administrators can employ Azure AD conditional access to set access policies for specific roles. Tali criteri possono includere la possibilità di accedere all'esterno dell'ambiente aziendale e anche i requisiti di dispositivo o autenticazione a più fattori per ottenere l'accesso in più situazioni.These policies can include whether access is permitted outside the corporate environment and even Multi-Factor Authentication or device requirements to achieve access in various cases.

Operazioni inizialiHow can I get started?

Innanzitutto, un amministratore IT che non usa già Azure AD:First, if you aren't already using Azure AD and you are an IT admin:

  • Versione di valutazioneTry it out! : è possibile ottenere subito gratuitamente una versione di valutazione di 30 giorni e distribuire la prima soluzione cloud in meno di 5 minuti, usando il collegamento seguente- you can sign up for a free 30-day trial today and deploy your first cloud solution in under 5 minutes using this link

Le funzionalità di Azure AD che consentono la condivisione di account includono:Azure AD features that enable account sharing include:

Altre informazioniWhere can I learn more?