Vad är programhantering i Azure Active Directory?

Programhantering i Azure Active Directory (Azure AD) är processen att skapa, konfigurera, hantera och övervaka program i molnet. När ett program registreras i en Azure AD klientorganisation kan användare som har tilldelats det på ett säkert sätt komma åt det. Många typer av program kan registreras i Azure AD. Mer information finns i Programtyper för Microsoft Identity Platform.

I den här artikeln får du lära dig följande viktiga aspekter av att hantera livscykeln för ett program:

  • Utveckla, lägga till eller ansluta – Du använder olika sökvägar beroende på om du utvecklar ett eget program, använder ett förintegreringsprogram eller ansluter till ett lokalt program.
  • Hantera åtkomst – Åtkomst kan hanteras med enkel inloggning (SSO), tilldela resurser, definiera hur åtkomst beviljas och samtycka till och använda automatisk etablering.
  • Konfigurera egenskaper – Konfigurera kraven för att logga in i programmet och hur programmet representeras i användarportaler.
  • Skydda programmet – Hantera konfiguration av behörigheter, multifaktorautentisering (MFA), villkorlig åtkomst, token och certifikat.
  • Styr och övervaka – Hantera interaktion och granska aktivitet med hjälp av berättigandehantering, rapportering och övervakning av resurser.
  • Rensa – När programmet inte längre behövs rensar du klientorganisationen genom att ta bort åtkomsten till den och ta bort den.

Utveckla, lägga till eller ansluta

Det finns flera sätt att hantera program i Azure AD. Det enklaste sättet att börja hantera ett program är att använda ett förintegrerade program från Azure AD-galleriet. Att utveckla ditt eget program och registrera det Azure AD är ett alternativ, eller så kan du fortsätta att använda ett lokalt program.

Följande bild visar hur dessa program interagerar med Azure AD.

Diagram showing how your own developed apps, pre-integrated apps, and on-premises apps can be used as enterprise apps.

Förintegrerade program

Många program är redan förintegrerade (visas som "molnprogram" i bilden ovan) och kan konfigureras med minimal ansträngning. Varje program i Azure AD galleri har en artikel tillgänglig som visar de steg som krävs för att konfigurera programmet. Ett enkelt exempel på hur ett program kan läggas till i din Azure AD klientorganisation från galleriet finns i Snabbstart: Lägg till ett företagsprogram.

Dina egna program

Om du utvecklar ett eget affärsprogram kan du registrera det med Azure AD för att dra nytta av de säkerhetsfunktioner som klientorganisationen tillhandahåller. Du kan registrera ditt program i appregistreringar eller registrera det med hjälp av länken Skapa ett eget program när du lägger till ett nytt program i Företagsprogram. Överväg hur autentisering implementeras i ditt program för integrering med Azure AD.

Om du vill göra ditt program tillgängligt via galleriet kan du skicka en begäran om att lägga till den.

Lokala program

Om du vill fortsätta använda ett lokalt program, men dra nytta av vad Azure AD erbjuder, ansluter du det med Azure AD med hjälp av Azure AD Programproxy. Programproxy kan implementeras när du vill publicera lokala program externt. Fjärranvändare som behöver åtkomst till interna program kan sedan komma åt dem på ett säkert sätt.

Hantera åtkomst

Om du vill hantera åtkomst för ett program vill du besvara följande frågor:

  • Hur beviljas och godkänns åtkomst för programmet?
  • Stöder programmet enkel inloggning?
  • Vilka användare, grupper och ägare ska tilldelas till programmet?
  • Finns det andra identitetsprovidrar som stöder programmet?
  • Är det bra att automatisera etableringen av användaridentiteter och roller?

Du kan hantera inställningar för användarmedgivande för att välja om användare kan tillåta att ett program eller en tjänst får åtkomst till användarprofiler och organisationsdata. När program beviljas åtkomst kan användarna logga in på program som är integrerade med Azure AD och programmet kan komma åt organisationens data för att leverera omfattande datadrivna upplevelser.

Användarna kan ofta inte godkänna de behörigheter som ett program begär. Konfigurera arbetsflödet för administratörsmedgivande så att användarna kan ange en motivering och begära en administratörs granskning och godkännande av ett program.

Som administratör kan du bevilja administratörsmedgivande för hela klientorganisationen till ett program. Administratörsmedgivande för hela klientorganisationen är nödvändigt när ett program kräver behörigheter som vanliga användare inte får bevilja och gör det möjligt för organisationer att implementera sina egna granskningsprocesser. Granska alltid noggrant de behörigheter som programmet begär innan du beviljar medgivande. När ett program har beviljats administratörsmedgivande för hela klientorganisationen kan alla användare logga in på programmet om det inte har konfigurerats för att kräva användartilldelning.

Enkel inloggning

Överväg att implementera enkel inloggning i ditt program. Du kan konfigurera de flesta program för enkel inloggning manuellt. De mest populära alternativen i Azure AD är SAML-baserad enkel inloggning och OpenID Anslut-baserad enkel inloggning. Innan du börjar bör du se till att du förstår kraven för enkel inloggning och hur du planerar för distribution. Ett enkelt exempel på hur du konfigurerar SAML-baserad enkel inloggning för ett företagsprogram i din Azure AD klient finns i Snabbstart: Aktivera enkel inloggning för ett företagsprogram.

Tilldelning av användare, grupp och ägare

Som standard kan alla användare komma åt dina företagsprogram utan att tilldelas dem. Men om du vill tilldela programmet till en uppsättning användare kräver ditt program användartilldelning. Ett enkelt exempel på hur du skapar och tilldelar ett användarkonto till ett program finns i Snabbstart: Skapa och tilldela ett användarkonto.

Om det ingår i din prenumeration tilldelar du grupper till ett program så att du kan delegera löpande åtkomsthantering till gruppägaren.

Att tilldela ägare är ett enkelt sätt att ge möjlighet att hantera alla aspekter av Azure AD konfiguration för ett program. Som ägare kan en användare hantera den organisationsspecifika konfigurationen av programmet.

Automatisera etablering

Programetablering syftar på att automatiskt skapa användaridentiteter och roller i de program som användarna behöver åtkomst till. Förutom att skapa användaridentiteter omfattar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras.

Identitetsprovidrar

Har du en identitetsprovider som du vill att Azure AD ska interagera med? Identifiering av hemsfär ger en konfiguration som gör att Azure AD kan avgöra vilken identitetsprovider en användare behöver autentisera med när de loggar in.

Användarportaler

Azure AD tillhandahåller anpassningsbara sätt att distribuera program till användare i din organisation. Till exempel Mina appar-portalen eller Microsoft 365 programstartaren. Mina appar ger användarna en enda plats där de kan börja arbeta och hitta alla program som de har åtkomst till. Som administratör för ett program bör du planera hur användarna i din organisation ska använda Mina appar.

Konfigurera egenskaper

När du lägger till ett program i din Azure AD klientorganisation har du möjlighet att konfigurera egenskaper som påverkar hur användare kan interagera med programmet. Du kan aktivera eller inaktivera möjligheten att logga in och användartilldelning kan krävas. Du kan också fastställa programmets synlighet, vilken logotyp som representerar programmet och eventuella anteckningar om programmet. Mer information om de egenskaper som kan konfigureras finns i Egenskaper för ett företagsprogram.

Skydda programmet

Det finns flera tillgängliga metoder som hjälper dig att skydda dina företagsprogram. Du kan till exempel begränsa klientåtkomsten, hantera synlighet, data och analys och eventuellt ge hybridåtkomst. Att skydda dina företagsprogram omfattar även hantering av konfiguration av behörigheter, MFA, villkorlig åtkomst, token och certifikat.

Behörigheter

Det är viktigt att regelbundet granska och, om det behövs, hantera de behörigheter som beviljats till ett program eller en tjänst. Se till att du endast tillåter lämplig åtkomst till dina program genom att regelbundet utvärdera om misstänkt aktivitet finns.

Med behörighetsklassificeringar kan du identifiera effekten av olika behörigheter enligt organisationens principer och riskutvärderingar. Du kan till exempel använda behörighetsklassificeringar i medgivandeprinciper för att identifiera den uppsättning behörigheter som användarna får samtycka till.

Multifaktorautentisering och villkorlig åtkomst

Azure AD MFA hjälper till att skydda åtkomsten till data och program, vilket ger ett annat säkerhetslager med hjälp av en andra form av autentisering. Det finns många metoder som kan användas för en andrafaktorautentisering. Innan du börjar planerar du distributionen av MFA för ditt program i din organisation.

Organisationer kan aktivera MFA med villkorlig åtkomst för att få lösningen att passa deras specifika behov. Med principer för villkorlig åtkomst kan administratörer tilldela kontroller till specifika program, åtgärder eller autentiseringskontexter.

Token och certifikat

Olika typer av säkerhetstoken används i ett autentiseringsflöde i Azure AD beroende på vilket protokoll som används. Till exempel används SAML-token för SAML-protokollet, och ID-token och åtkomsttoken används för OpenID Anslut-protokollet. Token signeras med det unika certifikat som genereras i Azure AD och av specifika standardalgoritmer.

Du kan ge mer säkerhet genom att kryptera token. Du kan också hantera informationen i en token, inklusive de roller som tillåts för programmet.

Azure AD använder SHA-256-algoritmen som standard för att signera SAML-svaret. Använd SHA-256 om inte programmet kräver SHA-1. Upprätta en process för att hantera certifikatets livslängd. Den maximala livslängden för ett signeringscertifikat är tre år. Om du vill förhindra eller minimera avbrott på grund av att ett certifikat upphör att gälla kan du använda roller och distributionslistor för e-post för att säkerställa att meddelanden om certifikatrelaterade ändringar övervakas noggrant.

Styra och övervaka

Berättigandehantering i Azure AD gör att du kan hantera interaktion mellan program och administratörer, katalogägare, åtkomstpakethanterare, godkännare och beställare.

Din Azure AD rapporterings- och övervakningslösning beror på dina juridiska krav, säkerhet och driftskrav samt din befintliga miljö och dina processer. Det finns flera loggar som underhålls i Azure AD och du bör planera för rapportering och övervakning av distribution för att upprätthålla bästa möjliga upplevelse för ditt program.

Rensa

Du kan rensa åtkomsten till program. Till exempel att ta bort en användares åtkomst. Du kan också inaktivera hur en användare loggar in. Slutligen kan du ta bort programmet om det inte längre behövs för organisationen. Ett enkelt exempel på hur du tar bort ett företagsprogram från din Azure AD klient finns i Snabbstart: Ta bort ett företagsprogram.

Nästa steg