Wat is toepassingsbeheer in Azure Active Directory?
Toepassingsbeheer in Azure Active Directory (Azure AD) is het proces van het maken, configureren, beheren en bewaken van toepassingen in de cloud. Wanneer een toepassing is geregistreerd in een Azure AD-tenant, hebben gebruikers die er aan zijn toegewezen, veilig toegang tot de toepassing. Er kunnen veel soorten toepassingen worden geregistreerd in Azure AD. Zie Toepassingstypen voor het Microsoft Identity Platform voor meer informatie.
In dit artikel leert u de volgende belangrijke aspecten van het beheren van de levenscyclus van een toepassing:
- Ontwikkelen, toevoegen of verbinden: u kunt verschillende paden volgen, afhankelijk van of u uw eigen toepassing ontwikkelt, een vooraf geïntegreerde toepassing gebruikt of verbinding maakt met een on-premises toepassing.
- Toegang beheren: toegang kan worden beheerd met behulp van eenmalige aanmelding (SSO), het toewijzen van resources, het definiëren van de manier waarop toegang wordt verleend en verleend, en het gebruik van geautomatiseerde inrichting.
- Eigenschappen configureren: configureer de vereisten voor het aanmelden bij de toepassing en hoe de toepassing wordt weergegeven in gebruikersportals.
- De toepassing beveiligen: beheer de configuratie van machtigingen, meervoudige verificatie (MFA), voorwaardelijke toegang, tokens en certificaten.
- Beheren en bewaken: interactie- en controleactiviteiten beheren met rechtenbeheer en rapportage- en bewakingsbronnen.
- Ops schonen: wanneer uw toepassing niet meer nodig is, schoont u uw tenant op door de toegang tot de toepassing te verwijderen en te verwijderen.
Ontwikkelen, toevoegen of verbinding maken
Er zijn verschillende manieren waarop u toepassingen in Azure AD kunt beheren. De eenvoudigste manier om te beginnen met het beheren van een toepassing is door een vooraf geïntegreerde toepassing uit de Azure AD-galerie te gebruiken. Het ontwikkelen van uw eigen toepassing en het registreren van Azure AD is een optie, of u kunt een on-premises toepassing blijven gebruiken.
In de volgende afbeelding ziet u hoe deze toepassingen communiceren met Azure AD.
Vooraf geïntegreerde toepassingen
Veel toepassingen zijn al vooraf geïntegreerd (weergegeven als 'Cloudtoepassingen' in de bovenstaande afbeelding) en kunnen met minimale inspanning worden ingesteld. Elke toepassing in de Azure AD-galerie heeft een artikel dat u de stappen laat zien die nodig zijn om de toepassing te configureren. Zie Quickstart: Eenbedrijfstoepassing toevoegen voor een eenvoudig voorbeeld van hoe een toepassing vanuit de galerie kan worden toegevoegd aan uw Azure AD-tenant.
Uw eigen toepassingen
Als u uw eigen zakelijke toepassing ontwikkelt, kunt u deze registreren bij Azure AD om te profiteren van de beveiligingsfuncties die de tenant biedt. U kunt uw toepassing registreren in App-registraties of u kunt deze registreren met behulp van de koppeling Uw eigen toepassing maken wanneer u een nieuwe toepassing toevoegt in Bedrijfstoepassingen. Bedenk hoe verificatie wordt geïmplementeerd in uw toepassing voor integratie met Azure AD.
Als u uw toepassing beschikbaar wilt maken via de galerie, kunt u een aanvraag indienen om deze toe te voegen.
On-premises toepassingen
Als u een on-premises toepassing wilt blijven gebruiken, maar wilt profiteren van wat Azure AD te bieden heeft, verbindt u deze met Azure AD met behulp van Azure AD toepassingsproxy. toepassingsproxy kunnen worden geïmplementeerd wanneer u on-premises toepassingen extern wilt publiceren. Externe gebruikers die toegang tot interne toepassingen nodig hebben, hebben vervolgens op een veilige manier toegang tot deze toepassingen.
Toegang beheren
Als u de toegang voor een toepassing wilt beheren, moet u de volgende vragen beantwoorden:
- Hoe wordt toegang verleend en toestemming gegeven voor de toepassing?
- Ondersteunt de toepassing eenmalige aanmelding?
- Welke gebruikers, groepen en eigenaren moeten worden toegewezen aan de toepassing?
- Zijn er andere id-providers die ondersteuning bieden voor de toepassing?
- Is het handig om het inrichten van gebruikersidentiteiten en -rollen te automatiseren?
Toegang en toestemming
U kunt toestemmingsinstellingen voor gebruikers beheren om te kiezen of gebruikers een toepassing of service toegang mogen geven tot gebruikersprofielen en organisatiegegevens. Wanneer toepassingen toegang krijgen, kunnen gebruikers zich aanmelden bij toepassingen die zijn geïntegreerd met Azure AD en heeft de toepassing toegang tot de gegevens van uw organisatie om rijke gegevensgestuurde ervaringen te bieden.
Gebruikers kunnen vaak geen toestemming geven voor de machtigingen die een toepassing aanvraagt. Configureer de werkstroom voor beheerdersgoedkeuring zodat gebruikers een reden kunnen verstrekken en de controle en goedkeuring van een toepassing door een beheerder kunnen aanvragen.
Als beheerder kunt u tenantbrede beheerders toestemming verlenen voor een toepassing. Toestemming voor de hele tenant is nodig wanneer een toepassing machtigingen vereist die gewone gebruikers niet mogen verlenen en organisaties in staat stelt hun eigen beoordelingsprocessen te implementeren. Controleer altijd zorgvuldig de machtigingen die de toepassing aanvraagt voordat u toestemming verleent. Wanneer aan een toepassing beheerderstoewijzing voor de hele tenant is verleend, kunnen alle gebruikers zich aanmelden bij de toepassing, tenzij deze is geconfigureerd om gebruikerstoewijzing te vereisen.
Eenmalige aanmelding
Overweeg het implementeren van eenmalige aanmelding in uw toepassing. U kunt de meeste toepassingen handmatig configureren voor eenmalige aanmelding. De populairste opties in Azure AD zijn eenmalige aanmelding op basis van SAML en OpenID Verbinding maken op basis van SSO. Voordat u begint, moet u ervoor zorgen dat u de vereisten voor eenmalige aanmelding begrijpt en hoe u de implementatie kunt plannen. Zie Quickstart: Eenmaligeaanmelding inschakelen voor een bedrijfstoepassing voor een eenvoudig voorbeeld van het configureren van eenmalige aanmelding op basis van SAML voor een bedrijfstoepassing in uw Azure AD-tenant.
Toewijzing van gebruiker, groep en eigenaar
Standaard hebben alle gebruikers toegang tot uw bedrijfstoepassingen zonder er aan te zijn toegewezen. Als u de toepassing echter wilt toewijzen aan een set gebruikers, moet uw toepassing de gebruiker toewijzen. Zie Quickstart: Een gebruikersaccount maken en toewijzen voor een eenvoudig voorbeeld van het maken en toewijzen van een gebruikersaccount aan een toepassing.
Als deze zijn opgenomen in uw abonnement, wijst u groepen toe aan een toepassing, zodat u doorlopend toegangsbeheer kunt delegeren aan de groepseigenaar.
Het toewijzen van eigenaren is een eenvoudige manier om de mogelijkheid te verlenen om alle aspecten van de Azure AD-configuratie voor een toepassing te beheren. Als eigenaar kan een gebruiker de organisatiespecifieke configuratie van de toepassing beheren.
Inrichting automatiseren
Toepassings inrichting verwijst naar het automatisch maken van gebruikersidentiteiten en -rollen in de toepassingen die gebruikers moeten openen. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen.
Id-providers
Hebt u een id-provider die azure AD moet gebruiken? Home Realm Discovery biedt een configuratie waarmee Azure AD kan bepalen bij welke id-provider een gebruiker zich moet verifiëren wanneer deze zich aanmelden.
Gebruikersportals
Azure AD biedt aanpasbare manieren om toepassingen te implementeren voor gebruikers in uw organisatie. Bijvoorbeeld de Mijn apps portal of het Microsoft 365 start programma voor toepassingen. Mijn apps biedt gebruikers één plek om hun werk te starten en alle toepassingen te vinden waarvoor ze toegang hebben. Als beheerder van een toepassing moet u plannen hoe de gebruikers in uw organisatie deze Mijn apps.
Eigenschappen configureren
Wanneer u een toepassing toevoegt aan uw Azure AD-tenant, hebt u de mogelijkheid om eigenschappen te configureren die van invloed zijn op de manier waarop gebruikers zich kunnen aanmelden. U kunt de mogelijkheid om u aan te melden in- of uitschakelen en gebruikerstoewijzing kan vereist zijn. U kunt ook de zichtbaarheid van de toepassing bepalen, welk logo de toepassing vertegenwoordigt en eventuele opmerkingen over de toepassing.
De toepassing beveiligen
Er zijn verschillende methoden beschikbaar om uw bedrijfstoepassingen veilig te houden. U kunt bijvoorbeeld tenanttoegang beperken, zichtbaarheid, gegevensen analyses beheren en mogelijk hybride toegang bieden. Het beveiligen van uw bedrijfstoepassingen omvat ook het beheren van de configuratie van machtigingen, MFA, voorwaardelijke toegang, tokens en certificaten.
Machtigingen
Het is belangrijk om de machtigingen die zijn verleend aan een toepassing of service regelmatig te controleren en, indien nodig, te beheren. Zorg ervoor dat u alleen de juiste toegang tot uw toepassingen toestaat door regelmatig te evalueren of er verdachte activiteiten bestaan.
Met machtigingsclassificaties kunt u het effect van verschillende machtigingen identificeren op basis van het beleid en de risico-evaluaties van uw organisatie. U kunt bijvoorbeeld machtigingsclassificaties gebruiken in toestemmingsbeleid om de set machtigingen te identificeren waar gebruikers toestemming voor mogen geven.
Meervoudige verificatie en voorwaardelijke toegang
Azure AD MFA helpt de toegang tot gegevens en toepassingen te beveiligen en biedt een andere beveiligingslaag door een tweede vorm van verificatie te gebruiken. Er zijn veel methoden die kunnen worden gebruikt voor een verificatie met een tweede factor. Plan voordat u begint de implementatie van MFA voor uw toepassing in uw organisatie.
Organisaties kunnen MFA met voorwaardelijke toegang inschakelen om ervoor te zorgen dat de oplossing aan hun specifieke behoeften kan voldoen. Met beleid voor voorwaardelijke toegang kunnen beheerders besturingselementen toewijzen aan specifieke toepassingen, acties of verificatiecontext.
Tokens en certificaten
Er worden verschillende soorten beveiligingstokens gebruikt in een verificatiestroom in Azure AD, afhankelijk van het gebruikte protocol. SAML-tokens worden bijvoorbeeld gebruikt voor het SAML-protocol en id-tokens en toegangstokens worden gebruikt voor het OpenID Verbinding maken protocol. Tokens worden ondertekend met het unieke certificaat dat wordt gegenereerd in Azure AD en door specifieke standaardalgoritmen.
U kunt meer beveiliging bieden door het token te versleutelen. U kunt ook de informatie in een token beheren, inclusief de rollen die zijn toegestaan voor de toepassing.
Azure AD gebruikt het SHA-256-algoritme standaard om het SAML-antwoord te ondertekenen. Gebruik SHA-256, tenzij sha-1 is vereist voor de toepassing. Stel een proces in voor het beheren van de levensduur van het certificaat. De maximale levensduur van een handtekeningcertificaat is drie jaar. Als u uitval wilt voorkomen of minimaliseren als gevolg van het verlopen van een certificaat, gebruikt u rollen en e-maildistributielijsten om ervoor te zorgen dat aan certificaten gerelateerde wijzigingsmeldingen nauwkeurig worden bewaakt.
Bepalen en bewaken
Met rechtenbeheer in Azure AD kunt u interactie beheren tussen toepassingen en beheerders, cataloguseigenaren, toegangspakketbeheerders, fiatteurs en aanvragende bedrijven.
Uw Azure AD-rapportage- en bewakingsoplossing is afhankelijk van uw juridische, beveiligings- en operationele vereisten en uw bestaande omgeving en processen. Er zijn verschillende logboeken die worden onderhouden in Azure AD en u moet de rapportage- en bewakingsimplementatie plannen om de best mogelijke ervaring voor uw toepassing te behouden.
Opschonen
U kunt de toegang tot toepassingen ops schonen. Bijvoorbeeld het verwijderen van de toegang van een gebruiker. U kunt ook uitschakelen hoe een gebruiker zich meldt. En ten slotte kunt u de toepassing verwijderen als deze niet meer nodig is voor de organisatie. Zie Quickstart: Eenbedrijfstoepassing verwijderen voor een eenvoudig voorbeeld van het verwijderen van een bedrijfstoepassing uit uw Azure AD-tenant.
Volgende stappen
- Ga aan de slag door uw eerste bedrijfstoepassing toe te voegen met de snelstart: Een bedrijfstoepassing toevoegen.