Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i ustanawianie punktu odniesienia przeglądanego dostępu

Po ustanowieniu zasad dla osób, które powinny mieć dostęp do aplikacji, możesz połączyć aplikację z identyfikatorem Entra firmy Microsoft, a następnie wdrożyć zasady zarządzania dostępem do nich.

Zarządzanie tożsamością Microsoft Entra można zintegrować z wieloma aplikacjami, w tym dobrze znanymi aplikacjami, takimi jak SAP R/3, SAP S/4HANA, oraz przy użyciu standardów, takich jak OpenID Połączenie, SAML, SCIM, SQL, LDAP, SOAP i REST. Za pomocą tych standardów można używać identyfikatora Entra firmy Microsoft z wieloma popularnymi aplikacjami SaaS i aplikacjami lokalnymi, w tym aplikacjami opracowanymi przez organizację. Ten plan wdrażania obejmuje sposób łączenia aplikacji z identyfikatorem Entra firmy Microsoft i włączania funkcji ładu tożsamości, które mają być używane dla tej aplikacji.

Aby można było używać Zarządzanie tożsamością Microsoft Entra dla aplikacji, należy najpierw zintegrować aplikację z identyfikatorem Entra firmy Microsoft i reprezentowanym w katalogu. Zintegrowanie aplikacji z identyfikatorem Entra firmy Microsoft oznacza, że należy spełnić jedno z dwóch wymagań:

• Aplikacja korzysta z identyfikatora Entra firmy Microsoft dla federacyjnego logowania jednokrotnego, a identyfikator Entra firmy Microsoft kontroluje wystawianie tokenu uwierzytelniania. Jeśli identyfikator Entra firmy Microsoft jest jedynym dostawcą tożsamości dla aplikacji, tylko użytkownicy przypisani do jednej z ról aplikacji w identyfikatorze Entra firmy Microsoft mogą zalogować się do aplikacji. Ci użytkownicy, którzy tracą przypisanie roli aplikacji, nie mogą już uzyskać nowego tokenu do zalogowania się do aplikacji.
• Aplikacja opiera się na listach użytkowników lub grup udostępnianych aplikacji przez identyfikator Entra firmy Microsoft. Wykonanie tej realizacji można wykonać za pomocą protokołu aprowizacji, takiego jak SCIM, przez aplikację wysyłającą zapytanie do identyfikatora Entra firmy Microsoft za pośrednictwem programu Microsoft Graph lub aplikację korzystającą z protokołu KERberos usługi AD w celu uzyskania członkostwa w grupach użytkownika.

Jeśli żadna z tych kryteriów nie zostanie spełnina dla aplikacji, na przykład gdy aplikacja nie korzysta z identyfikatora Entra firmy Microsoft, nadal można używać ładu tożsamości. Jednak mogą istnieć pewne ograniczenia dotyczące używania ładu tożsamości bez spełnienia kryteriów. Na przykład użytkownicy, którzy nie znajdują się w Identyfikatorze Entra firmy Microsoft lub nie są przypisani do ról aplikacji w identyfikatorze Entra firmy Microsoft, nie będą uwzględniani w przeglądach dostępu aplikacji, dopóki nie przypiszesz ich do ról aplikacji. Aby uzyskać więcej informacji, zobacz Przygotowywanie do przeglądu dostępu użytkowników dostępu do aplikacji.

Integracja aplikacji z identyfikatorem Entra firmy Microsoft w celu zapewnienia, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do aplikacji

Zazwyczaj ten proces integracji aplikacji rozpoczyna się po skonfigurowaniu tej aplikacji do polegania na identyfikatorze Microsoft Entra na potrzeby uwierzytelniania użytkowników z federacyjnym połączeniem protokołu logowania jednokrotnego (SSO), a następnie dodaj aprowizację. Najczęściej używane protokoły logowania jednokrotnego to SAML i OpenID Połączenie. Więcej informacji na temat narzędzi i procesów umożliwiających odnajdywanie i migrowanie uwierzytelniania aplikacji do identyfikatora Entra firmy Microsoft.

Następnie, jeśli aplikacja implementuje protokół aprowizacji, należy skonfigurować identyfikator Entra firmy Microsoft, aby aprowizować użytkowników w aplikacji, aby identyfikator Entra firmy Microsoft mógł sygnalizować aplikację po udzieleniu dostępu użytkownikowi lub usunięciu dostępu użytkownika. Te sygnały aprowizacji umożliwiają aplikacji wprowadzanie automatycznych poprawek, takich jak ponowne przypisywanie zawartości utworzonej przez pracownika, który opuścił menedżera.

1. Sprawdź, czy aplikacja znajduje się na liście aplikacji dla przedsiębiorstw lub listy rejestracji aplikacji. Jeśli aplikacja jest już obecna w dzierżawie, przejdź do kroku 5 w tej sekcji.

2. Jeśli aplikacja jest aplikacją SaaS, która nie jest jeszcze zarejestrowana w dzierżawie, sprawdź, czy aplikacja jest dostępna w galerii aplikacji dla aplikacji, które można zintegrować z federacyjnym logowaniem jednokrotnym. Jeśli znajduje się ona w galerii, skorzystaj z samouczków, aby zintegrować aplikację z identyfikatorem Entra firmy Microsoft.

   1. Postępuj zgodnie z samouczkiem, aby skonfigurować aplikację na potrzeby federacyjnego logowania jednokrotnego przy użyciu identyfikatora Entra firmy Microsoft.
   2. jeśli aplikacja obsługuje aprowizację, skonfiguruj aplikację do aprowizacji.
   3. Po zakończeniu przejdź do następnej sekcji w tym artykule. Jeśli aplikacja SaaS nie znajduje się w galerii, poproś dostawcę SaaS o dołączenie.

3. Jeśli jest to aplikacja prywatna lub niestandardowa, możesz również wybrać najbardziej odpowiednią integrację logowania jednokrotnego na podstawie lokalizacji i możliwości aplikacji.

   • Jeśli ta aplikacja znajduje się w chmurze publicznej i obsługuje logowanie jednokrotne, skonfiguruj logowanie jednokrotne bezpośrednio z usługi Microsoft Entra ID do aplikacji.

     Aplikacja obsługuje	Następne kroki
     OpenID Connect	Dodawanie aplikacji OpenID Połączenie OAuth
     SAML 2.0	Rejestrowanie aplikacji i konfigurowanie aplikacji przy użyciu punktów końcowych SAML i certyfikatu identyfikatora Entra firmy Microsoft
     SAML 1.1	Dodawanie aplikacji opartej na protokole SAML

   • W przeciwnym razie, jeśli jest to aplikacja lokalna lub hostowana w usłudze IaaS, która obsługuje logowanie jednokrotne, skonfiguruj logowanie jednokrotne z usługi Microsoft Entra ID do aplikacji za pośrednictwem serwera proxy aplikacji.

     Aplikacja obsługuje	Następne kroki
     SAML 2.0	Wdrażanie serwera proxy aplikacji i konfigurowanie aplikacji na potrzeby logowania jednokrotnego SAML
     Zintegrowane uwierzytelnianie systemu Windows (IWA)	Wdróż serwer proxy aplikacji, skonfiguruj aplikację na potrzeby zintegrowanego logowania jednokrotnego uwierzytelniania systemu Windows i ustaw reguły zapory, aby uniemożliwić dostęp do punktów końcowych aplikacji z wyjątkiem za pośrednictwem serwera proxy.
     Uwierzytelnianie oparte na nagłówku	Wdrażanie serwera proxy aplikacji i konfigurowanie aplikacji na potrzeby logowania jednokrotnego opartego na nagłówku

4. Jeśli aplikacja ma wiele ról, każdy użytkownik ma tylko jedną rolę w aplikacji, a aplikacja opiera się na identyfikatorze Firmy Microsoft Entra, aby wysłać jedną rolę specyficzną dla aplikacji użytkownika jako oświadczenie użytkownika logującego się do aplikacji, a następnie skonfigurować te role aplikacji w identyfikatorze Entra firmy Microsoft w aplikacji, a następnie przypisać każdego użytkownika do roli aplikacji. Możesz użyć interfejsu użytkownika ról aplikacji, aby dodać te role do manifestu aplikacji. Jeśli używasz bibliotek uwierzytelniania firmy Microsoft, istnieje przykładowy kod dotyczący używania ról aplikacji w aplikacji na potrzeby kontroli dostępu. Jeśli użytkownik może mieć wiele ról jednocześnie, możesz zaimplementować aplikację w celu sprawdzenia grup zabezpieczeń w oświadczeniach tokenów lub dostępnych za pośrednictwem programu Microsoft Graph, zamiast używać ról aplikacji z manifestu aplikacji na potrzeby kontroli dostępu.

5. Jeśli aplikacja obsługuje aprowizowanie, skonfiguruj aprowizację przypisanych użytkowników i grup z identyfikatora Entra firmy Microsoft do tej aplikacji. Jeśli jest to aplikacja prywatna lub niestandardowa, możesz również wybrać najbardziej odpowiednią integrację na podstawie lokalizacji i możliwości aplikacji.

   • Jeśli ta aplikacja korzysta z usług SAP Cloud Identity Services, skonfiguruj aprowizację użytkowników za pośrednictwem programu SCIM w usługach SAP Cloud Identity Services.

     Aplikacja obsługuje	Następne kroki
     SAP Cloud Identity Services	Konfigurowanie identyfikatora Entra firmy Microsoft w celu aprowizacji użytkowników w usługach SAP Cloud Identity Services

   • Jeśli ta aplikacja znajduje się w chmurze publicznej i obsługuje protokół SCIM, skonfiguruj aprowizację użytkowników za pośrednictwem rozwiązania SCIM.

     Aplikacja obsługuje	Następne kroki
     SCIM	Konfigurowanie aplikacji przy użyciu interfejsu SCIM na potrzeby aprowizacji użytkowników

   • Jeśli ta aplikacja używa usługi AD, skonfiguruj zapisywanie zwrotne grup i zaktualizuj aplikację tak, aby korzystała z grup utworzonych przez identyfikator firmy Microsoft, lub zagnieżdżała grupy utworzone przez firmę Microsoft Entra do istniejących grup zabezpieczeń usługi AD aplikacji.

     Aplikacja obsługuje	Następne kroki
     Kerberos	Konfigurowanie zapisywania zwrotnego grup synchronizacji aplikacji Microsoft Entra Cloud w usłudze AD, tworzenie grup w identyfikatorze Entra firmy Microsoft i zapisywanie tych grup w usłudze AD

   • W przeciwnym razie, jeśli jest to lokalna lub hostowana aplikacja IaaS i nie jest zintegrowana z usługą AD, skonfiguruj aprowizację dla tej aplikacji za pośrednictwem protokołu SCIM lub bazowej bazy danych lub katalogu aplikacji.

     Aplikacja obsługuje	Następne kroki
     SCIM	Konfigurowanie aplikacji przy użyciu agenta aprowizacji dla lokalnych aplikacji opartych na protokole SCIM
     konta użytkowników lokalnych przechowywane w bazie danych SQL	Konfigurowanie aplikacji przy użyciu agenta aprowizacji dla lokalnych aplikacji opartych na języku SQL
     lokalne konta użytkowników przechowywane w katalogu LDAP	konfigurowanie aplikacji przy użyciu agenta aprowizacji dla lokalnych aplikacji opartych na protokole LDAP
     konta użytkowników lokalnych zarządzane za pośrednictwem protokołu SOAP lub interfejsu API REST	konfigurowanie aplikacji za pomocą agenta aprowizacji za pomocą łącznika usług internetowych
     konta użytkowników lokalnych zarządzane za pośrednictwem łącznika programu MIM	konfigurowanie aplikacji przy użyciu agenta aprowizacji za pomocą łącznika niestandardowego
     Oprogramowanie SAP ECC z oprogramowaniem NetWeaver AS ABAP 7.0 lub nowszym	konfigurowanie aplikacji za pomocą agenta aprowizacji za pomocą łącznika usług internetowych skonfigurowanych przez usługę SAP ECC

6. Jeśli aplikacja używa programu Microsoft Graph do wykonywania zapytań dotyczących grup z identyfikatora Entra firmy Microsoft, wyrażasz zgodę na aplikacje, aby mieć odpowiednie uprawnienia do odczytu z dzierżawy.

7. Ustaw dostęp do aplikacji jest dozwolony tylko dla użytkowników przypisanych do aplikacji. To ustawienie uniemożliwia użytkownikom niezamierzone wyświetlanie aplikacji w usłudze MyApps i próbę zalogowania się do aplikacji przed włączeniem zasad dostępu warunkowego.

Przeprowadzanie przeglądu dostępu początkowego

Jeśli jest to nowa aplikacja, której organizacja nie użyła wcześniej i dlatego nikt nie ma wstępnie istniejącego dostępu lub jeśli już przeprowadzasz przeglądy dostępu dla tej aplikacji, przejdź do następnej sekcji.

Jeśli jednak aplikacja już istniała w twoim środowisku, możliwe jest, że użytkownicy mogą uzyskać dostęp w przeszłości za pośrednictwem procesów ręcznych lub poza pasmem, a użytkownicy powinni teraz zostać przejrzeni, aby potwierdzić, że ich dostęp jest nadal potrzebny i odpowiedni w przyszłości. Zalecamy przeprowadzenie przeglądu dostępu użytkowników, którzy mają już dostęp do aplikacji, przed włączeniem zasad dla większej liczby użytkowników, aby mogli żądać dostępu. Ten przegląd określa plan bazowy wszystkich użytkowników, którzy zostali przejrzeni co najmniej raz, aby upewnić się, że ci użytkownicy mają uprawnienia do dalszego dostępu.

1. Wykonaj kroki opisane w artykule Przygotowywanie do przeglądu dostępu użytkowników dostępu do aplikacji.
2. Jeśli aplikacja nie używała identyfikatora entra firmy Microsoft lub usługi AD, ale obsługuje protokół aprowizacji lub bazową bazę danych SQL lub LDAP, wprowadź istniejących użytkowników i utwórz dla nich przypisania ról aplikacji.
3. Jeśli aplikacja nie używała identyfikatora Entra firmy Microsoft lub usługi AD i nie obsługuje protokołu aprowizacji, uzyskaj listę użytkowników z aplikacji i utwórz przypisania ról aplikacji dla każdego z nich.
4. Jeśli aplikacja używała grup zabezpieczeń usługi AD, należy przejrzeć członkostwo w tych grupach zabezpieczeń.
5. Jeśli aplikacja ma własny katalog lub bazę danych i nie została zintegrowana z aprowizowaniem, po zakończeniu przeglądu może być konieczne ręczne zaktualizowanie wewnętrznej bazy danych lub katalogu aplikacji, aby usunąć tych użytkowników, którzy zostali odmowieni.
6. Jeśli aplikacja używała grup zabezpieczeń usługi AD, a te grupy zostały utworzone w usłudze AD, po zakończeniu przeglądu należy ręcznie zaktualizować grupy usługi AD, aby usunąć członkostwa tych użytkowników, którzy zostali odmowieni. Następnie, aby uniemożliwić automatyczne usunięcie praw dostępu, można zaktualizować aplikację, aby użyć grupy usługi AD utworzonej w usłudze Microsoft Entra ID i zapisanej z powrotem do identyfikatora Entra firmy Microsoft lub przenieść członkostwo z grupy usługi AD do grupy Microsoft Entra i zagnieżdżać zapisaną grupę jako jedyny członek grupy usługi AD.
7. Po zakończeniu przeglądu i zaktualizowaniu dostępu do aplikacji lub jeśli żaden użytkownik nie ma dostępu, przejdź do następnych kroków, aby wdrożyć zasady dostępu warunkowego i zarządzania upoważnieniami dla aplikacji.

Teraz, gdy masz plan bazowy zapewniający przegląd istniejącego dostępu, możesz wdrożyć zasady organizacji na potrzeby ciągłego dostępu i wszelkich nowych żądań dostępu.

Następne kroki

• Wdrażanie zasad ładu