O que é a gestão de candidaturas em Azure Ative Directory?

A gestão de aplicações em Azure Ative Directory (Azure AD) é o processo de criação, configuração, gestão e monitorização de aplicações na nuvem. Quando uma aplicação está registada num inquilino AZure AD, os utilizadores que lhe tenham sido atribuídos podem aceder-lhe de forma segura. Muitos tipos de aplicações podem ser registadas no Azure AD. Para obter mais informações, consulte os tipos de aplicações para a Plataforma de Identidade da Microsoft.

Neste artigo, aprende-se estes aspetos importantes da gestão do ciclo de vida de uma aplicação:

  • Desenvolver, adicionar ou ligar – Toma caminhos diferentes dependendo se está a desenvolver a sua própria aplicação, utilizando uma aplicação pré-integrada ou conectando-se a uma aplicação no local.
  • Gerir o acesso – O acesso pode ser gerido utilizando um único sign-on (SSO), atribuindo recursos, definindo a forma como o acesso é concedido e consentido, e usando o provisionamento automatizado.
  • Configure propriedades – Configure os requisitos para a assinatura da aplicação e como a aplicação está representada nos portais dos utilizadores.
  • Garantir a aplicação – Gerir a configuração de permissões, autenticação multifactor (MFA), acesso condicional, fichas e certificados.
  • Governar e monitorizar – Gerir a atividade de interação e revisão utilizando recursos de gestão e reporte e monitorização de direitos.
  • Limpeza – Quando a sua aplicação já não for necessária, limpe o seu inquilino removendo-lhe o acesso e eliminando-o.

Desenvolver, adicionar ou ligar

Existem várias formas de gerir aplicações no Azure AD. A forma mais fácil de começar a gerir uma aplicação é utilizar uma aplicação pré-integrada da galeria AZure AD. Desenvolver a sua própria aplicação e registá-la A Azure AD é uma opção, ou pode continuar a utilizar uma aplicação no local.

A imagem a seguir mostra como estas aplicações interagem com a Azure AD.

Diagrama mostrando como as suas próprias aplicações desenvolvidas, aplicações pré-integradas e aplicações no local podem ser usadas como aplicações empresariais.

Aplicações pré-integradas

Muitas aplicações já estão pré-integradas (mostradas como "aplicações cloud" na imagem acima) e podem ser configuradas com o mínimo de esforço. Cada aplicação na galeria AZure AD tem um artigo disponível que mostra os passos necessários para configurar a aplicação. Para um simples exemplo de como uma aplicação pode ser adicionada ao seu inquilino AD Azure da galeria, consulte Quickstart: Adicione uma aplicação de empresa.

As suas próprias aplicações

Se desenvolver a sua própria aplicação de negócio, pode registá-la com a Azure AD para tirar partido das funcionalidades de segurança que o arrendatário fornece. Pode registar a sua candidatura em Registos de Aplicações, ou pode registá-la utilizando o link de aplicação Criar o seu próprio link de aplicação ao adicionar uma nova aplicação em aplicações da Enterprise. Considere como a autenticação é implementada na sua aplicação para integração com a Azure AD.

Se quiser disponibilizar a sua candidatura através da galeria, pode submeter um pedido para que seja adicionado.

Aplicações no local

Se quiser continuar a utilizar uma aplicação no local, mas aproveite o que a AZure AD oferece, conecte-a com a Azure AD utilizando o Azure AD Application Proxy. O Application Proxy pode ser implementado quando pretender publicar aplicações no local externamente. Os utilizadores remotos que necessitem de acesso a aplicações internas podem então aceder-lhes de forma segura.

Gerir o acesso

Para gerir o acesso a uma aplicação, pretende responder às seguintes perguntas:

  • Como é concedido o acesso e consentido para o pedido?
  • A aplicação suporta SSO?
  • Que utilizadores, grupos e proprietários devem ser designados para a aplicação?
  • Existem outros fornecedores de identidade que apoiam a aplicação?
  • Será útil automatizar o fornecimento de identidades e funções dos utilizadores?

Pode gerir as definições de consentimento do utilizador para escolher se os utilizadores podem permitir que uma aplicação ou serviço aceda aos perfis dos utilizadores e aos dados organizacionais. Quando as aplicações têm acesso, os utilizadores podem iniciar sação em aplicações integradas com Azure AD, e a aplicação pode aceder aos dados da sua organização para fornecer experiências ricas baseadas em dados.

Os utilizadores muitas vezes não conseguem consentir com as permissões que uma aplicação está a solicitar. Configure o fluxo de trabalho de consentimento administrativo para permitir que os utilizadores forneçam uma justificação e solicitem a revisão e aprovação de uma aplicação por um administrador.

Como administrador, pode conceder o consentimento administrativo a um pedido. O consentimento administrativo em todo o inquilino é necessário quando uma aplicação requer permissões que os utilizadores regulares não estão autorizados a conceder, e permite que as organizações implementem os seus próprios processos de revisão. Reveja sempre cuidadosamente as permissões que o pedido do pedido solicita antes de conceder o consentimento. Quando um pedido tiver recebido o consentimento administrativo do arrendatário, todos os utilizadores podem assinar a aplicação a menos que tenha sido configurado para exigir a atribuição do utilizador.

Início de sessão único

Considere implementar sSO na sua aplicação. Pode configurar manualmente a maioria das aplicações para SSO. As opções mais populares em Azure AD são SSO baseado em SAML e OpenID Ligação SSO baseados em SSO. Antes de começar, certifique-se de que compreende os requisitos para o SSO e como planear a implantação. Para um simples exemplo de como configurar sSO baseado em SAML para uma aplicação de empresa no seu inquilino AZure AD, consulte Quickstart: Enable single sign-on for a enterprise application.

Atribuição de utilizadores, grupos e proprietários

Por padrão, todos os utilizadores podem aceder às suas aplicações da empresa sem serem atribuídos às mesmos. No entanto, se pretender atribuir a aplicação a um conjunto de utilizadores, a sua aplicação requer a atribuição do utilizador. Para um simples exemplo de como criar e atribuir uma conta de utilizador a uma aplicação, consulte Quickstart: Criar e atribuir uma conta de utilizador.

Se incluído na sua subscrição, atribua grupos a uma aplicação para que possa delegar a gestão de acesso contínua ao proprietário do grupo.

Atribuir os proprietários é uma forma simples de conceder a capacidade de gerir todos os aspetos da configuração AD Azure para uma aplicação. Como proprietário, um utilizador pode gerir a configuração específica da organização da aplicação.

Automatizar o provisionamento

O provisionamento de aplicações refere-se à criação automática de identidades e funções dos utilizadores nas aplicações a que os utilizadores precisam de aceder. Além da criação de identidades de utilizador, o fornecimento automático inclui a manutenção e remoção das identidades dos utilizadores como alteração de estatuto ou de funções.

Fornecedores de identidade

Tem um fornecedor de identidade com o que quer que o Azure AD interaja? Home Realm Discovery fornece uma configuração que permite ao Azure AD determinar com que fornecedor de identidade um utilizador precisa de autenticar quando iniciar sedutar.

Portais de utilizador

A Azure AD fornece formas personalizáveis de implementar aplicações para utilizadores na sua organização. Por exemplo, o portal My Apps ou o lançador de aplicações Microsoft 365. As minhas Apps dão aos utilizadores um único lugar para iniciarem o seu trabalho e encontrarem todas as aplicações a que têm acesso. Como administrador de uma aplicação, deve planear como os utilizadores da sua organização utilizarão as Minhas Apps.

Configure propriedades

Ao adicionar uma aplicação ao seu inquilino Azure AD, tem a oportunidade de configurar propriedades que afetam a forma como os utilizadores podem iniciar sação. Pode ativar ou desativar a capacidade de iniciar sessão e a atribuição do utilizador pode ser necessária. Também pode determinar a visibilidade da aplicação, qual o logótipo que representa a aplicação, e quaisquer notas sobre a aplicação.

Garantir a aplicação

Existem vários métodos disponíveis para ajudá-lo a manter as suas aplicações de empresa seguras. Por exemplo, pode restringir o acesso ao inquilino,gerir visibilidade, dados e análises,e possivelmente fornecer acesso híbrido. Manter as suas aplicações empresariais seguras também envolve gerir a configuração de permissões, MFA, acesso condicional, fichas e certificados.

Permissões

É importante rever periodicamente e, se necessário, gerir as permissões concedidas a uma aplicação ou serviço. Certifique-se de que apenas permite o acesso adequado às suas aplicações, avaliando regularmente se existe atividade suspeita.

As classificações de permissão permitem identificar o efeito de diferentes permissões de acordo com as políticas da sua organização e avaliações de risco. Por exemplo, pode utilizar classificações de permissão em políticas de consentimento para identificar o conjunto de permissões a que os utilizadores estão autorizados a consentir.

Autenticação multifactor e acesso condicional

O Azure AD MFA ajuda a salvaguardar o acesso a dados e aplicações, proporcionando outra camada de segurança utilizando uma segunda forma de autenticação. Existem muitos métodos que podem ser usados para uma autenticação de segundo fator. Antes de começar, planeie a implantação de MFA para a sua aplicação na sua organização.

As organizações podem permitir que o MFA tenha acesso condicional para que a solução se adapte às suas necessidades específicas. As políticas de acesso condicional permitem aos administradores atribuir controlos a aplicações, ações ou contexto de autenticaçãoespecíficos.

Fichas e certificados

Diferentes tipos de fichas de segurança são utilizados num fluxo de autenticação em Azure AD, dependendo do protocolo utilizado. Por exemplo, os tokens SAML são usados para o protocolo SAML, e tokens de ID e fichas de acesso são usados para o protocolo openID Ligação. Os tokens são assinados com o certificado único que é gerado em Azure AD e por algoritmos padrão específicos.

Pode fornecer mais segurança encriptando o token. Também pode gerir a informação num token, incluindo as funções que são permitidas para a aplicação.

A Azure AD utiliza o algoritmo SHA-256 por padrão para assinar a resposta SAML. Utilize SHA-256 a menos que a aplicação exija SHA-1. Estabelecer um processo de gestão da vida útil do certificado. O prazo máximo de vida de um certificado de assinatura é de três anos. Para prevenir ou minimizar a interrupção devido à expiração de um certificado, utilize funções e listas de distribuição de e-mails para garantir que as notificações de alteração relacionadas com certificados são monitorizadas de perto.

Governar e monitorizar

A gestão de direitos em Azure AD permite-lhe gerir a interação entre aplicações e administradores, proprietários de catálogos, gestores de pacotes de acesso, aprovadores e solicitadores.

A sua solução de reporte e monitorização da Azure AD depende dos seus requisitos legais, de segurança e operacionais e do ambiente e processos existentes. Existem vários registos que são mantidos no Azure AD e você deve planejar para reportar e monitorizar a implementação para manter a melhor experiência possível para a sua aplicação.

Limpeza

Pode limpar o acesso às aplicações. Por exemplo, remover o acesso de um utilizador. Também pode desativar a forma como um utilizador se inscreve em. E, finalmente, pode apagar a aplicação se já não for necessária para a organização. Para um simples exemplo de como eliminar uma aplicação da empresa do seu inquilino AZure AD, consulte Quickstart: Elimine uma aplicação de empresa.

Passos seguintes