Zarządzanie dostępem do aplikacji

Ciągłe zarządzanie dostępem, ocena użycia i raportowanie nadal stanowi wyzwanie po zintegrowaniu aplikacji z systemem tożsamości organizacji. W wielu przypadkach administratorzy IT lub dział pomocy technicznej muszą podjąć stałą aktywną rolę w zarządzaniu dostępem do aplikacji. Czasami przypisanie jest wykonywane przez ogólny lub dzieleniowy zespół IT. Często decyzja o przypisaniu jest przeznaczona do delegowania do podmiotu podejmującego decyzje biznesowe, wymagając zatwierdzenia, zanim it dokona przypisania.

Inne organizacje inwestują w integrację z istniejącym zautomatyzowanym systemem zarządzania tożsamościami i dostępem, takimi jak Role-Based Kontrola dostępu (RBAC) lub kontrola dostępu Attribute-Based (ABAC). Zarówno integracja, jak i opracowywanie reguł wydają się być wyspecjalizowane i kosztowne. Monitorowanie lub raportowanie podejścia do zarządzania jest własne, kosztowne i złożone inwestycje.

Jak pomaga usługa Azure Active Directory?

Usługa Azure AD obsługuje rozbudowane zarządzanie dostępem dla skonfigurowanych aplikacji, umożliwiając organizacjom łatwe osiągnięcie odpowiednich zasad dostępu, począwszy od automatycznego przypisywania opartego na atrybutach (scenariuszy ABAC lub RBAC) za pośrednictwem delegowania i zarządzania administratorami. Dzięki usłudze Azure AD można łatwo osiągnąć złożone zasady, łącząc wiele modeli zarządzania dla jednej aplikacji, a nawet ponownie używać reguł zarządzania w aplikacjach z tymi samymi odbiorcami.

Dzięki usłudze Azure AD raportowanie użycia i przypisania jest w pełni zintegrowane, dzięki czemu administratorzy mogą łatwo zgłaszać stan przypisania, błędy przypisania, a nawet użycie.

Przypisywanie użytkowników i grup do aplikacji

Przypisanie aplikacji usługi Azure AD koncentruje się na dwóch trybach przypisania podstawowego:

  • Przypisanie indywidualne Administrator IT z uprawnieniami administratora globalnego katalogu może wybrać poszczególne konta użytkowników i udzielić im dostępu do aplikacji.

  • Przypisanie oparte na grupach (wymaga usługi Azure AD — wersja Premium P1 lub P2) Administrator IT z uprawnieniami administratora globalnego katalogu może przypisać grupę do aplikacji. Określony dostęp użytkowników zależy od tego, czy są członkami grupy w momencie próby uzyskania dostępu do aplikacji. Innymi słowy, administrator może skutecznie utworzyć regułę przypisania z informacją "każdy bieżący członek przypisanej grupy ma dostęp do aplikacji". Korzystając z tej opcji przypisania, administratorzy mogą korzystać z dowolnej opcji zarządzania grupami usługi Azure AD, w tym grup dynamicznych opartych na atrybutach, grup systemu zewnętrznego (na przykład lokalnej usługi Active Directory lub Workday), grup zarządzanych przez administratora lub grup zarządzanych przez administratora. Pojedyncza grupa może być łatwo przypisana do wielu aplikacji, upewniając się, że aplikacje z koligacją przypisania mogą współdzielić reguły przypisywania, zmniejszając ogólną złożoność zarządzania.

Uwaga

Członkostwo w grupach nie jest obecnie obsługiwane w przypadku przypisywania opartego na grupach do aplikacji.

Korzystając z tych dwóch trybów przypisywania, administratorzy mogą osiągnąć dowolne pożądane podejście do zarządzania przypisaniami.

Wymaganie przypisania użytkownika dla aplikacji

W przypadku niektórych typów aplikacji istnieje możliwość przypisania użytkowników do aplikacji. Dzięki temu wszyscy użytkownicy nie mogą się logować, z wyjątkiem tych użytkowników, którym jawnie przypisujesz się do aplikacji. Następujące typy aplikacji obsługują tę opcję:

  • Aplikacje skonfigurowane na potrzeby federacyjnego logowania jednokrotnego (SSO) z uwierzytelnianiem opartym na protokole SAML
  • Aplikacje serwera proxy aplikacji korzystające z uwierzytelniania wstępnego usługi Azure Active Directory
  • Aplikacje, które są oparte na platformie aplikacji usługi Azure AD korzystającej z uwierzytelniania OAuth 2.0 / OpenID Connect po tym, jak użytkownik lub administrator wyraził zgodę na korzystanie z tej aplikacji. Niektóre aplikacje dla przedsiębiorstw oferują większą kontrolę nad tym, kto może się zalogować.

Jeśli wymagane jest przypisanie użytkownika, będą mogli się zalogować tylko użytkownicy przypisani do aplikacji (przez bezpośrednie przypisanie użytkownika lub na podstawie członkostwa w grupie). Mogą oni uzyskać dostęp do aplikacji w portalu Moje aplikacje lub za pomocą linku bezpośredniego.

Jeśli przypisanie użytkownika nie jest wymagane, nieprzypisane użytkownicy nie widzą aplikacji w aplikacjach Moje aplikacje, ale nadal mogą logować się do samej aplikacji (znanej również jako logowanie inicjowane przez dostawcę usługi) lub mogą używać adresu URL dostępu użytkowników na stronie Właściwości aplikacji (znanej również jako logowanie inicjowane przez dostawcę tożsamości). Aby uzyskać więcej informacji na temat wymagania konfiguracji przypisania użytkownika, zobacz Konfigurowanie aplikacji

To ustawienie nie ma wpływu na to, czy aplikacja jest wyświetlana w usłudze Moje aplikacje. Aplikacje są wyświetlane na panelach dostępu moje aplikacje użytkowników po przypisaniu użytkownika lub grupy do aplikacji.

Uwaga

Gdy aplikacja wymaga przypisania, zgoda użytkownika dla tej aplikacji nie jest dozwolona. Jest to prawdą, nawet jeśli użytkownicy wyraziliby zgodę na tę aplikację. Pamiętaj, aby udzielić zgody administratora dla całej dzierżawy na aplikacje, które wymagają przypisania.

W przypadku niektórych aplikacji opcja wymagania przypisania użytkownika nie jest dostępna we właściwościach aplikacji. W takich przypadkach można użyć programu PowerShell, aby ustawić właściwość appRoleAssignmentRequired w jednostce usługi.

Określanie środowiska użytkownika na potrzeby uzyskiwania dostępu do aplikacji

Usługa Azure AD oferuje kilka możliwych do dostosowania sposobów wdrażania aplikacji dla użytkowników końcowych w organizacji:

  • Moje aplikacje w usłudze Azure AD
  • Uruchamianie aplikacji platformy Microsoft 365
  • Bezpośrednie logowanie do aplikacji federacyjnych (service-pr)
  • Linki bezpośrednie do federacyjnych, opartych na hasłach lub istniejących aplikacjach

Możesz określić, czy użytkownicy przypisani do aplikacji dla przedsiębiorstw widzą ją w obszarze Moje aplikacje i uruchamianie aplikacji platformy Microsoft 365.

Przykład: złożone przypisanie aplikacji przy użyciu usługi Azure AD

Rozważ aplikację, na przykład Salesforce. W wielu organizacjach usługa Salesforce jest używana głównie przez zespoły ds. marketingu i sprzedaży. Często członkowie zespołu ds. marketingu mają wysoce uprzywilejowany dostęp do usługi Salesforce, podczas gdy członkowie zespołu ds. sprzedaży mają ograniczony dostęp. W wielu przypadkach szeroka populacja pracowników przetwarzających informacje ma ograniczony dostęp do aplikacji. Wyjątki od tych reguł komplikują sprawy. Często jest to prerogatywą zespołów kierowniczych ds. marketingu lub sprzedaży, aby udzielić użytkownikowi dostępu lub zmienić ich role niezależnie od tych ogólnych reguł.

W usłudze Azure AD aplikacje, takie jak Salesforce, można wstępnie skonfigurować na potrzeby logowania jednokrotnego i automatycznej aprowizacji. Po skonfigurowaniu aplikacji administrator może wykonać jednorazową akcję w celu utworzenia i przypisania odpowiednich grup. W tym przykładzie administrator może wykonać następujące przypisania:

  • Grupy dynamiczne można zdefiniować tak, aby automatycznie reprezentować wszystkich członków zespołów ds. marketingu i sprzedaży przy użyciu atrybutów, takich jak dział lub rola:

    • Wszyscy członkowie grup marketingowych zostaną przypisani do roli "marketing" w usłudze Salesforce
    • Wszyscy członkowie grup zespołu sprzedaży zostaną przypisani do roli "sales" w usłudze Salesforce. Dalsze uściślenie może użyć wielu grup reprezentujących regionalne zespoły sprzedaży przypisane do różnych ról usługi Salesforce.
  • Aby włączyć mechanizm wyjątków, można utworzyć grupę samoobsługową dla każdej roli. Na przykład grupę "Wyjątek marketingowy usługi Salesforce" można utworzyć jako grupę samoobsługową. Grupę można przypisać do roli marketingu usługi Salesforce, a zespół kierowniczy ds. marketingu może być właścicielem. Członkowie zespołu kierowniczego ds. marketingu mogą dodawać lub usuwać użytkowników, ustawiać zasady dołączania, a nawet zatwierdzać lub odrzucać żądania poszczególnych użytkowników do dołączenia. Ten mechanizm jest obsługiwany za pośrednictwem odpowiedniego środowiska procesów roboczych informacji, które nie wymagają specjalistycznego szkolenia dla właścicieli lub członków.

W takim przypadku wszyscy przypisani użytkownicy zostaną automatycznie aprowizowani w usłudze Salesforce. W miarę dodawania ich do różnych grup ich przypisanie roli zostanie zaktualizowane w usłudze Salesforce. Użytkownicy mogą odnajdywać i uzyskiwać dostęp do usługi Salesforce za pośrednictwem pozycji Moje aplikacje, klienci sieci Web pakietu Office lub przechodząc do swojej organizacyjnej strony logowania w usłudze Salesforce. Administratorzy mogą łatwo wyświetlać stan użycia i przypisania przy użyciu raportowania usługi Azure AD.

Administratorzy mogą stosować dostęp warunkowy usługi Azure AD , aby ustawić zasady dostępu dla określonych ról. Te zasady mogą obejmować, czy dostęp jest dozwolony poza środowiskiem firmowym, a nawet uwierzytelnianie wieloskładnikowe lub wymagania dotyczące urządzeń w celu uzyskania dostępu w różnych przypadkach.

Dostęp do aplikacji firmy Microsoft

Aplikacje firmy Microsoft (takie jak Exchange, SharePoint, Yammer itp.) są przypisywane i zarządzane nieco inaczej niż aplikacje SaaS innych firm lub inne aplikacje integrowane z usługą Azure AD na potrzeby logowania jednokrotnego.

Istnieją trzy główne sposoby uzyskiwania dostępu przez użytkownika do aplikacji opublikowanej przez firmę Microsoft.

  • W przypadku aplikacji w ramach platformy Microsoft 365 lub innych płatnych zestawów użytkownicy otrzymują dostęp za pośrednictwem przypisania licencji bezpośrednio do konta użytkownika lub za pośrednictwem grupy korzystającej z możliwości przypisywania licencji opartej na grupie.

  • W przypadku aplikacji, które firma Microsoft lub inna firma publikuje bezpłatnie dla każdego, kto będzie mógł korzystać, użytkownicy mogą mieć dostęp za pośrednictwem zgody użytkownika. Użytkownicy logują się do aplikacji przy użyciu konta służbowego usługi Azure AD i zezwalają na dostęp do niektórych ograniczonych zestawów danych na swoim koncie.

  • W przypadku aplikacji, które firma Microsoft lub inna firma publikuje bezpłatnie dla każdego, kto ma być używany, użytkownicy mogą również uzyskać dostęp za pośrednictwem zgody administratora. Oznacza to, że administrator ustalił, że aplikacja może być używana przez wszystkich użytkowników w organizacji, dlatego logują się do aplikacji przy użyciu konta administratora globalnego i udzielają dostępu wszystkim osobom w organizacji.

Niektóre aplikacje łączą te metody. Na przykład niektóre aplikacje firmy Microsoft są częścią subskrypcji platformy Microsoft 365, ale nadal wymagają zgody.

Użytkownicy mogą uzyskiwać dostęp do aplikacji platformy Microsoft 365 za pośrednictwem portali usługi Office 365. Aplikacje platformy Microsoft 365 można również pokazać lub ukryć w obszarze Moje aplikacje za pomocą przełącznika widoczności usługi Office 365 w ustawieniach użytkownika katalogu.

Podobnie jak w przypadku aplikacji dla przedsiębiorstw, można przypisać użytkowników do niektórych aplikacji firmy Microsoft za pośrednictwem witryny Azure Portal lub, jeśli opcja portalu jest niedostępna, przy użyciu programu PowerShell.

Następne kroki