Gerir o acesso a uma aplicação

A gestão contínua de acessos, a avaliação de utilização e os relatórios continuam a ser um desafio depois de uma aplicação ser integrada no sistema de identidade da sua organização. Em muitos casos, os administradores de TI ou o help desk têm de assumir um papel ativo contínuo na gestão do acesso às suas apps. Às vezes, a atribuição é realizada por uma equipa de TI geral ou divisional. Muitas vezes, a decisão de atribuição destina-se a ser delegada no decisor do negócio, exigindo a sua aprovação antes de a TI fazer a atribuição.

Outras organizações investem na integração com um sistema de gestão de identidade e acesso automatizado existente, como Role-Based Access Control (RBAC) ou Attribute-Based Access Control (ABAC). Tanto a integração como o desenvolvimento de regras tendem a ser especializados e dispendiosos. O acompanhamento ou a comunicação de qualquer uma das abordagens de gestão é o seu próprio investimento separado, dispendioso e complexo.

Como é que Azure Ative Directory ajuda?

A Azure AD suporta uma gestão extensiva do acesso para aplicações configuradas, permitindo que as organizações consigam facilmente as políticas de acesso certas que vão desde a atribuição automática, baseada em atributos (cenários ABAC ou RBAC) através de delegação e incluindo a gestão de administradores. Com o Azure AD, você pode facilmente alcançar políticas complexas, combinando vários modelos de gestão para uma única aplicação e pode até reutilizar regras de gestão através de aplicações com o mesmo público.

Com o Azure AD, o relatório de utilização e atribuição está totalmente integrado, permitindo aos administradores reportar facilmente sobre o estado de atribuição, erros de atribuição e até mesmo o uso.

Atribuir utilizadores e grupos a uma aplicação

A atribuição de candidaturas da AZure AD centra-se em dois modos de atribuição primária:

  • Atribuição individual Um administrador de TI com permissões de Administrador Global pode selecionar contas individuais de utilizador e conceder-lhes acesso à aplicação.

  • A atribuição baseada em grupo (requer Azure AD Premium P1 ou P2) Um administrador de TI com permissões de Administrador Global pode atribuir um grupo à aplicação. O acesso específico dos utilizadores é determinado se são membros do grupo no momento em que tentam aceder à aplicação. Por outras palavras, um administrador pode efetivamente criar uma regra de atribuição indicando que "qualquer membro atual do grupo designado tem acesso à aplicação". Utilizando esta opção de atribuição, os administradores podem beneficiar de qualquer uma das opções de gestão do grupo AZure AD, incluindo grupos dinâmicos baseados em atributos,grupos de sistema externos (por exemplo, no local Ative Directy ou Workday), ou grupos geridos por administradores ou geridos por autosserviço. Um único grupo pode ser facilmente designado para várias aplicações, certificando-se de que aplicações com afinidade de atribuição podem partilhar regras de atribuição, reduzindo a complexidade geral da gestão.

Nota

Os membros do grupo não são apoiados para atribuição baseada em grupo para candidaturas neste momento.

Utilizando estes dois modos de atribuição, os administradores podem alcançar qualquer abordagem desejável de gestão de atribuição.

Requerendo a atribuição do utilizador para uma aplicação

Com certos tipos de aplicações, tem a opção de exigir que os utilizadores sejam designados para a aplicação. Ao fazê-lo, impede que todos entrem em ações, exceto os utilizadores que atribuem explicitamente à aplicação. Os seguintes tipos de aplicações suportam esta opção:

  • Aplicações configuradas para um único sign-on federado (SSO) com autenticação baseada em SAML
  • Aplicações Proxy que usam Azure Ative Directory Pré-Autenticação
  • Aplicações, que são construídas na plataforma de aplicação AD AZure que utilizam OAuth 2.0 / OpenID Ligação Autenticação depois de um utilizador ou administrador ter consentido com essa aplicação. Algumas aplicações da empresa oferecem mais controlo sobre quem é autorizado a entrar.

Quando a atribuição do utilizador é necessária, apenas os utilizadores que atribua à aplicação (seja através da atribuição direta do utilizador ou com base na adesão ao grupo) podem iniciar sessão. Podem aceder à aplicação no portal My Apps ou através de um link direto.

Quando a atribuição do utilizador não é necessária, os utilizadores não designados não vêem a aplicação nas suas Aplicações, mas ainda podem iniciar sessão na própria aplicação (também conhecida como sessão iniciada pelo SP) ou podem utilizar o URL de Acesso ao Utilizador na página Propriedades da aplicação (também conhecida como placa iniciada pelo IDP). Para obter mais informações sobre a necessidade de configurações de atribuição de utilizadores, consulte uma aplicação

Esta definição não afeta se uma aplicação aparece ou não nas Minhas Apps. As aplicações aparecem nos painéis de acesso my apps dos utilizadores depois de ter atribuído um utilizador ou grupo à aplicação.

Nota

Quando uma aplicação requer atribuição, o consentimento do utilizador para essa aplicação não é permitido. Isto é verdade mesmo que os utilizadores consentam que a aplicação tivesse sido permitida de outra forma. Certifique-se de conceder consentimento administrativo ao arrendatário para apps que requerem atribuição.

Para algumas aplicações, a opção de exigir a atribuição do utilizador não está disponível nas propriedades da aplicação. Nestes casos, pode utilizar o PowerShell para definir a propriedade appRoleAssignmentRequired no principal serviço.

Determinar a experiência do utilizador para aceder a apps

A Azure AD fornece várias formas personalizáveis de implementar aplicações para utilizadores finais na sua organização:

  • Azure AD My Apps
  • Microsoft 365 lançador de aplicações
  • Acesso direto a aplicações federadas (service-pr)
  • Ligações avançadas para aplicações federadas, baseadas em palavras-passe ou existentes

Pode determinar se os utilizadores designados para uma aplicação empresarial podem vê-la nas Minhas Apps e Microsoft 365 lançador de aplicações.

Exemplo: Atribuição complexa de aplicações com Azure AD

Considere uma aplicação como a Salesforce. Em muitas organizações, a Salesforce é usada principalmente pelas equipas de marketing e vendas. Muitas vezes, os membros da equipa de marketing têm acesso altamente privilegiado à Salesforce, enquanto os membros da equipa de vendas têm acesso limitado. Em muitos casos, uma vasta população de trabalhadores da informação restringiu o acesso à aplicação. Exceções a estas regras complicam as coisas. Muitas vezes é prerrogativa das equipas de marketing ou de liderança de vendas conceder a um utilizador acesso ou alterar as suas funções independentemente destas regras genéricas.

Com o Azure AD, aplicações como a Salesforce podem ser pré-configuradas para um único sign-on (SSO) e provisão automatizada. Uma vez configurado o pedido, um Administrador pode tomar a ação única para criar e atribuir os grupos apropriados. Neste exemplo, um administrador poderia executar as seguintes atribuições:

  • Os grupos dinâmicos podem ser definidos para representar automaticamente todos os membros das equipas de marketing e vendas utilizando atributos como departamento ou papel:

    • Todos os membros de grupos de marketing seriam designados para o papel de "marketing" na Salesforce
    • Todos os membros de grupos de equipas de vendas seriam designados para o papel de "vendas" na Salesforce. Um novo refinamento poderia utilizar vários grupos que representam equipas de vendas regionais atribuídas a diferentes funções da Salesforce.
  • Para permitir o mecanismo de exceção, um grupo de self-service poderia ser criado para cada papel. Por exemplo, o grupo "Salesforce marketing exception" pode ser criado como um grupo de self-service. O grupo pode ser designado para o papel de marketing da Salesforce e a equipa de liderança de marketing pode ser nomeada proprietária. Os membros da equipa de liderança de marketing poderiam adicionar ou remover utilizadores, definir uma política de união, ou mesmo aprovar ou negar os pedidos de aderião de utilizadores individuais. Este mecanismo é suportado através de uma experiência adequada do trabalhador da informação que não requer formação especializada para proprietários ou membros.

Neste caso, todos os utilizadores designados seriam automaticamente a provisionados à Salesforce. À medida que são adicionados a diferentes grupos, a sua atribuição de funções seria atualizada na Salesforce. Os utilizadores podem descobrir e aceder ao Salesforce através das Minhas Apps, Office clientes web ou navegando para o seu signo organizacional Salesforce na página. Os administradores podem facilmente visualizar o estado de utilização e atribuição utilizando relatórios AD Azure.

Os administradores podem empregar acesso condicional Azure AD para definir políticas de acesso para funções específicas. Estas políticas podem incluir se o acesso é permitido fora do ambiente corporativo e até mesmo a autenticação multifactor ou requisitos do dispositivo para obter acesso em vários casos.

Acesso às aplicações da Microsoft

As aplicações da Microsoft (como Exchange, SharePoint, Yammer, etc.) são atribuídas e geridas de forma um pouco diferente das aplicações SaaS de terceiros ou outras aplicações que integra com a Azure AD para um único sessão de sessão.

Existem três formas principais de um utilizador ter acesso a uma aplicação publicada pela Microsoft.

  • Para aplicações nas Microsoft 365 ou outras suites pagas, os utilizadores têm acesso através da atribuição de licenças diretamente à sua conta de utilizador, ou através de um grupo que utiliza a nossa capacidade de atribuição de licenças baseada no grupo.

  • Para aplicações que a Microsoft ou um terceiro publiquem livremente para qualquer pessoa utilizar, os utilizadores podem ter acesso através do consentimento do utilizador. Os utilizadores inscrevem-se na aplicação com a sua conta Azure AD Work ou School e permitem-lhe ter acesso a algum conjunto limitado de dados na sua conta.

  • Para aplicações que a Microsoft ou um terceiro publica livremente para qualquer pessoa utilizar, os utilizadores também podem ter acesso através do consentimento do administrador. Isto significa que um administrador determinou que o pedido pode ser usado por todos na organização, por isso eles assinam o pedido com uma conta de Administrador Global e concedem acesso a todos na organização.

Algumas aplicações combinam estes métodos. Por exemplo, certas aplicações da Microsoft fazem parte de uma subscrição Microsoft 365, mas ainda requerem consentimento.

Os utilizadores podem aceder Microsoft 365 aplicações através dos seus Office 365 portais. Também pode apresentar ou ocultar aplicações Microsoft 365 nas Minhas Aplicações com a visibilidade Office 365 alternar nas definições do utilizador do seu diretório.

Tal como acontece com as aplicações empresariais, é possível atribuir utilizadores a determinadas aplicações da Microsoft através do portal Azure ou, se a opção do portal não estiver disponível, utilizando o PowerShell.

Passos seguintes