Что такое управление приложениями в Azure Active Directory?

Управление приложениями в Azure Active Directory (Azure AD) — это процесс создания и настройки приложений, а также управления ими и наблюдения за ними в облаке. Если приложение зарегистрировано в арендаторе Azure AD, пользователи, которым оно назначено, могут получить безопасный доступ к нему. В Azure AD можно зарегистрировать приложения различных типов. Дополнительные сведения см. в статье Типы приложений для платформы удостоверений Майкрософт.

В этой статье объясняются эти важные аспекты управления жизненным циклом приложения:

  • Разработка, добавление или подключение. Вы прибегаете к разным подходам в зависимости от того, разрабатываете ли вы собственное приложение, используете предварительно интегрированное приложение или подключаетесь к локальному приложению.
  • Управление доступом. Доступом можно управлять с помощью единого входа, назначения ресурсов, определения способа предоставления доступа и разрешения, а также с помощью автоматической подготовки.
  • Настройка свойств. Настройте требования для входа в приложение и представления приложения на порталах пользователей.
  • Обеспечьте безопасность приложения. Управление конфигурацией разрешений, многофакторной проверки подлинности (MFA), условного доступа, токенов и сертификатов.
  • Управление и мониторинг. Управление взаимодействием и действием проверки с помощью управления правами, формирования отчетов и мониторинга ресурсов.
  • Очистка. Если приложение больше не требуется, очистите арендатор, удалив доступ к нему и удалив его.

Разработка, добавление или подключение

В Azure AD предусмотрено несколько способов управления приложениями. Самый простой способ начать управление приложением — использовать предварительно интегрированное приложение из коллекции Azure AD. Вы можете разработать собственное приложение и зарегистрировать его в Azure AD или же можете продолжать использовать локальное приложение.

На следующем изображении показано, как эти приложения взаимодействуют с Azure AD.

Diagram showing how your own developed apps, pre-integrated apps, and on-premises apps can be used as enterprise apps.

Предварительно интегрированные приложения

Многие приложения уже предварительно интегрированы (отображаются как "облачные приложения" на приведенном выше изображении) и их можно настроить, приложив минимум усилий. Для каждого приложения в коллекции Azure AD доступна статья, в которой показаны шаги, необходимые для настройки приложения. Простой пример того, как приложение можно добавить в арендатор Azure AD из коллекции, см. в статье Краткое руководство. Добавление корпоративного приложения в Azure Active Directory.

Собственные приложения

Если вы разрабатываете собственное бизнес-приложение, вы можете зарегистрировать его в Azure AD, чтобы воспользоваться преимуществами функций безопасности, предоставляемых арендатором. Вы можете зарегистрировать свое приложение в разделе Регистрация приложений либо зарегистрировать его, используя ссылку Создайте собственное приложение при добавлении нового приложения на странице Корпоративные приложения. Рассмотрите способ реализации проверки подлинности в приложении для интеграции с Azure AD.

Если вы хотите сделать приложение доступным в коллекции, можно отправить запрос на его добавление.

Локальные приложения.

Если вы хотите продолжить использовать локальное приложение, но воспользоваться преимуществами Azure AD, подключите его к Azure AD с помощью Azure AD Application Proxy. Application Proxy можно реализовать, если требуется опубликовать локальные приложения во внешнем ресурсе. В этом случае удаленные пользователи, которым требуется доступ к внутренним приложениям, смогут получить к ним безопасный доступ.

Управление доступом

Для управления доступом к приложению необходимо ответить на следующие вопросы:

  • Как предоставляется доступ и согласие для приложения?
  • Поддерживает ли приложение единый вход?
  • Каких пользователей, групп и владельцев следует назначить приложению?
  • Существуют ли другие поставщики удостоверений, поддерживающие приложение?
  • Будет ли полезно автоматизировать подготовку удостоверений и ролей пользователей?

Вы можете управлять параметрами предоставления согласия пользователя, чтобы выбрать, могут ли пользователи разрешить приложению или службе доступ к профилям пользователей и данным организации. Когда приложениям предоставляется доступ, пользователи могут входить в приложения, интегрированные с Azure AD, и приложение может получить доступ к данным вашей организации, чтобы обеспечить широкие возможности взаимодействия на основе данных.

Пользователям часто не удается предоставить согласие на разрешения, запрашиваемые приложением. Настройте рабочий процесс для предоставления согласия администратора, чтобы разрешить пользователям предоставлять обоснование, а также запросить проверку и утверждение приложения администратором.

Как администратор, вы можете предоставить приложению согласие администратора на уровне арендатора. Разрешение администратора на уровне клиента необходимо, если приложению требуются разрешения, которые обычные пользователи не могут предоставить и позволяют организациям реализовывать собственные процессы проверки. Внимательно проверяйте разрешения, запрашиваемые приложением, прежде чем предоставлять согласие. Как только приложению будет предоставлено согласие администратора на уровне арендатора, все пользователи смогут войти в приложение, если только оно не было настроено так, чтобы требовать назначения пользователя.

Единый вход

Рассмотрите возможность реализации единого входа в вашем приложении. Большинство приложений можно настроить для единого входа вручную. Наиболее популярные параметры в Azure AD — единый вход на основе SAML и единый вход на основе OpenID Connect. Прежде чем начать, внимательно изучите требования для единого входа и планирование развертывания. Простой пример настройки единого входа на основе SAML для корпоративного приложения в арендаторе Azure AD см. в статье Краткое руководство. Включение единого входа для корпоративного приложения в Azure Active Directory.

Назначение пользователей, групп и владельцев

По умолчанию все пользователи могут получать доступ к корпоративным приложениям без назначения. Однако если вы хотите назначить приложение набору пользователей, для приложения требуется назначение пользователей. Простой пример создания и назначения учетной записи пользователя для приложения см. в статье Краткое руководство по созданию и назначению учетной записи пользователя в Azure Active Directory.

Если эта функция входит в вашу подписку, назначьте приложению группы, чтобы можно было делегировать текущее управление доступом владельцу группы.

Назначение владельцев позволяет легко предоставлять возможность управления всеми аспектами конфигурации Azure AD для приложения. В роли владельца пользователь может управлять конфигурацией приложения, зависящей от организации приложения.

Автоматизация подготовки

Подготовка приложений означает автоматическое создание удостоверений и ролей пользователя в приложениях, к которым пользователям нужно получить доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей.

Поставщики удостоверений

У вас есть поставщик удостоверений, с которым Azure AD будет взаимодействовать? Обнаружение домашней области предоставляет конфигурацию, позволяющую Azure AD определить, с помощью какого поставщика удостоверений пользователю необходимо пройти проверку подлинности при входе в систему.

Порталы пользователей

Azure AD предоставляет настраиваемые способы для развертывания приложений пользователям в организации. Например, "Мои приложения" или средство запуска приложения Microsoft 365. Портал "Мои приложения" предоставляет пользователям единое место для начала работы и поиска всех приложений, к которым у них есть доступ. Как администратору приложения, вам необходимо спланировать использование портала "Мои приложения" пользователями в вашей организации.

Настройка свойств

При добавлении приложения в арендатор Azure AD вы можете настроить свойства, влияющие на способ входа пользователей в систему. Можно включить или отключить возможность входа в систему, а также может потребовать назначение пользователей. Можно также определить видимость приложения, логотип, представляющий приложение, и любые заметки о приложении.

Защита приложения

Предусмотрено несколько способов обеспечения безопасности корпоративных приложений. Например, можно ограничить доступ арендатора, управлять видимостью, данными и аналитикой, а также, возможно, предоставить гибридный доступ. Обеспечение безопасности ваших корпоративных приложений также включает в себя управление конфигурацией разрешений, MFA, условного доступа, маркеров и сертификатов.

Разрешения

Важно периодически проверять разрешения, предоставленные приложению или службе, и при необходимости управлять ими. Убедитесь, что вы разрешаете только соответствующий доступ к приложениям, регулярно оценивая наличие подозрительных действий.

Классификация разрешений позволяет определить влияние различных разрешений в соответствии с политиками и оценками рисков вашей организации. Например, можно использовать классификацию разрешений в политиках согласия, чтобы определить набор разрешений, на которые пользователи могут предоставлять согласие.

Многофакторная проверка подлинности и условный доступ

Azure AD MFA позволяет защитить доступ к данным и приложениям, обеспечивая дополнительный уровень безопасности с помощью второго метода проверки подлинности. Существует множество методов, которые можно использовать для добавления второго уровня проверки подлинности. Прежде чем начать, запланируйте развертывание MFA для вашего приложения в вашей организации.

Организации могут включить MFA с условным доступом, чтобы решение соответствовало их нуждам. Политики условного доступа позволяют администраторам назначать элементы управления конкретным приложениям, действиям или контексту проверки подлинности.

Токены и сертификаты

В потоке проверки подлинности в Azure AD используются различные типы маркеров безопасности в зависимости от используемого протокола. Например, токены SAML используются для протокола SAML, а токены идентификации и маркеры доступа используются для протокола OpenID Connect. Токены подписываются с помощью уникального сертификата, который создается в Azure AD, а также определенных стандартных алгоритмов.

Вы можете повысить уровень безопасности, шифруя токен. Можно также управлять сведениями в токене, включая роли, разрешенные для приложения.

Azure AD по умолчанию использует алгоритм SHA-256 для подписания ответа SAML. Используйте SHA-256, если приложению не требуется SHA-1. Установите процесс управления жизненным циклом сертификата. Максимальное время существования сертификата для подписи составляет три года. Чтобы предотвратить или свести к минимуму сбои из-за окончания срока действия сертификата, используйте роли и списки рассылки электронной почты, чтобы обеспечить тщательное отслеживание уведомлений об изменениях, связанных с сертификатами.

Управление и мониторинг

Управление правами в Azure AD позволяет управлять взаимодействием между приложениями и администраторами, владельцами каталогов, диспетчерами пакетов для доступа, утверждающими и запросившими сторонами.

Решение для создания отчетов и мониторинга Azure AD зависит от действующих требований законодательства, безопасности и эксплуатации, а также от имеющихся окружений и процессов. В Azure AD есть несколько журналов, и вам следует спланировать развертывание отчетов и мониторинга, чтобы обеспечить оптимальную работу приложения.

Очистка

Вы можете очистить доступ к приложениям. Например, удаление доступа пользователя. Можно также отключить способ входа пользователя. И, наконец, можно удалить приложение, если оно больше не требуется для организации. Простой пример удаления корпоративного приложения из арендатора Azure AD см. в статье Краткое руководство. Удаление корпоративного приложения в Azure Active Directory.

Дальнейшие действия