Uygulamaya erişimi yönetme

Sürekli erişim yönetimi, kullanım değerlendirmesi ve raporlama, bir uygulama, kuruluşun kimlik sistemiyle tümleştirildikten sonra da zor olmaya devam eder. Çoğu durumda, UYGULAMALARınıza erişimi yönetmek için, IT Yöneticilerinin veya yardım masasının sürekli etkin bir rol oynaması gerekir. Bazen atama, genel veya bölümsel bir IT ekibi tarafından gerçekleştirilir. Atama kararının genellikle iş kararı verene devredilerek, ATAMAyı yapana kadar onaylarının gerekli olması amaçlandı.

Diğer kuruluşlar, Role-Based Access Control (RBAC) veya Attribute-Based Access Control (ABAC) gibi mevcut bir otomatik kimlik ve erişim yönetim sistemiyle tümleştirmeye yatırımlar. Hem tümleştirme hem de kural geliştirme özel ve pahalıdır. Yönetim yaklaşımını izlemek veya raporlamak kendi ayrı, maliyetli ve karmaşık yatırımlarıdır.

Bu Azure Active Directory yardımcı olur?

Azure AD, yapılandırılmış uygulamalar için kapsamlı erişim yönetimini destekler ve kuruluşların temsilci seçme ve yönetici yönetimi dahil olmak üzere otomatik, öznitelik tabanlı atamadan (ABAC veya RBAC senaryoları) doğru erişim ilkelerini kolayca elde edebiliyor. Azure AD ile kolayca karmaşık ilkeler elde edilebilir, tek bir uygulama için birden çok yönetim modeli bir araya toplayabilirsiniz ve hatta yönetim kurallarını aynı hedef kitleye sahip uygulamalar arasında yeniden kullanabilirsiniz.

Azure AD ile kullanım ve atama raporlama tamamen tümleşiktir ve yöneticilerin atama durumunu, atama hatalarını ve hatta kullanımı kolayca raporlamalarına olanak sağlar.

Uygulamaya kullanıcı ve grup atama

Azure AD'nin uygulama ataması iki birincil atama moduna odaklanır:

  • Bireysel atama Dizin Genel Yönetici izinlerine sahip bir IT yöneticisi, tek tek kullanıcı hesaplarını seçerek uygulamaya erişim izni veebilir.

  • Grup tabanlı atama (Azure AD Premium P1 veya P2 gerektirir) Dizin Genel Yönetici izinlerine sahip bir IT yöneticisi uygulamaya bir grup atayabilirsiniz. Belirli kullanıcıların erişimi, uygulamaya erişmeye çalışma zamanında grubun üyesi olup olmadığı tarafından belirlenir. Başka bir deyişle, yönetici etkin bir şekilde "atanan grubun geçerli herhangi bir üyesinin uygulamaya erişimi vardır" şeklinde bir atama kuralı oluşturabilir. Yöneticiler bu atama seçeneğini kullanarak öznitelik tabanlı dinamik gruplar,dış sistem grupları (örneğin, şirket içi Active Directory veya Workday) ya da Yönetici tarafından yönetilen ya da self servis yönetilen gruplar da dahil olmak üzere Azure AD grup yönetim seçeneklerinden herhangi birini kullanabilir. Tek bir grup birden çok uygulamaya kolayca atanabilir ve atama benzeşİmİne sahip uygulamaların atama kurallarını paylaşamalarını sağlar ve bu da yönetim karmaşıklığını azaltır.

Not

Grup üyelikleri şu anda uygulamalara grup tabanlı atama için desteklenemektedir.

Yöneticiler bu iki atama modlarını kullanarak istenen atama yönetimi yaklaşımlarını gerçekleştirebilir.

Uygulama için kullanıcı ataması gerektirme

Belirli uygulama türleriyle kullanıcıların uygulamaya atanmalarını gerektirme seçeneğiniz vardır. Bunu yaparak, uygulamaya açıkça atadığınız kullanıcılar dışında herkesin oturum açmasını önlersiniz. Aşağıdaki uygulama türleri bu seçeneği destekler:

  • SAML tabanlı kimlik doğrulaması ile federasyon çoklu oturum açma (SSO) için yapılandırılmış uygulamalar
  • Uygulama Ara Sunucusu Ön Kimlik Doğrulaması Azure Active Directory uygulamaları kullanma
  • Bir kullanıcı veya yönetici bu uygulamayı onay verdikten sonra OAuth 2.0 / OpenID Bağlan Kimlik Doğrulaması kullanan Azure AD uygulama platformu üzerinde yerleşik uygulamalar. Bazı kurumsal uygulamalar, kimlerin oturum açmasına izin verilenler üzerinde daha fazla denetim sunar.

Kullanıcı ataması gerekli olduğunda, yalnızca uygulamaya atadığınız kullanıcılar (doğrudan kullanıcı ataması aracılığıyla veya grup üyeliğine bağlı olarak) oturum atayabilecektir. Uygulamaya portaldan Uygulamalarım doğrudan bağlantı kullanarak erişebilirsiniz.

Kullanıcı ataması gerekli değilken, atanmamış kullanıcılar uygulamayı Uygulamalarım'lerinde görmüyor ancak uygulamanın kendisinde oturum açmaya devam eder (SP tarafından başlatılan oturum açma olarak da bilinir) veya uygulamanın Özellikler sayfasındaki Kullanıcı Erişimi URL'sini (IDP tarafından başlatılan oturum açma olarak da bilinir) kullanabilirler. Kullanıcı atama yapılandırmalarını gerektirme hakkında daha fazla bilgi için bkz. Uygulama yapılandırma

Bu ayar, uygulamanın uygulamada görüntülendiğinden veya Uygulamalarım. Uygulamalar, uygulamaya Uygulamalarım veya grup atadıktan sonra kullanıcıların erişim panelleri üzerinde görünür.

Not

Bir uygulamanın atama gerektirdiği zaman, bu uygulama için kullanıcı onayına izin verilmez. Bu durum, kullanıcıların bu uygulamaya onay verse bile buna izin verilmiyor olabilir. Atama gerektiren uygulamalara kiracı genelinde yönetici onayı verin.

Bazı uygulamalar için kullanıcı ataması gerektirme seçeneği uygulamanın özelliklerinde kullanılamaz. Bu durumlarda, hizmet sorumlusunda appRoleAssignmentRequired özelliğini ayarlamak için PowerShell kullanabilirsiniz.

Uygulamalara erişim için kullanıcı deneyimini belirleme

Azure AD, uygulamaları kuruluşta son kullanıcılara dağıtmak için birkaç özelleştirilebilir yol sağlar:

  • Azure AD Uygulamalarım
  • Microsoft 365 başlatıcısı
  • Federasyon uygulamalarına doğrudan oturum açma (service-pr)
  • Birleştirilmiş, parola tabanlı veya var olan uygulamalara yönelik ayrıntılı bağlantılar

Bir kuruluş uygulamasına atanan kullanıcıların uygulamayı uygulama başlatıcısı'Uygulamalarım Microsoft 365 belirleyebilirsiniz.

Örnek: Azure AD ile karmaşık uygulama ataması

Salesforce gibi bir uygulamayı düşünün. Birçok kuruluşta Salesforce öncelikli olarak pazarlama ve satış ekipleri tarafından kullanılır. Genellikle, pazarlama ekibinin üyeleri Salesforce'a yüksek ayrıcalıklı erişime sahipken satış ekibinin üyeleri sınırlı erişime sahip olur. Çoğu durumda, bilgi çalışanlarının geniş bir popülasyonu uygulamaya erişimi kısıtlar. Bu kuralların özel durumları önemlidir. Genellikle pazarlama veya satış liderliği ekiplerinin bir kullanıcıya bu genel kurallardan bağımsız olarak erişim izni vermek veya rollerini değiştirmek için önceden sorgulaması gerekir.

Azure AD ile Salesforce gibi uygulamalar çoklu oturum açma (SSO) ve otomatik sağlama için önceden yalıtabilirsiniz. Uygulama yapılandırıldığında, bir Yönetici uygun grupları oluşturmak ve atamak için tek bir eylemde olabilir. Bu örnekte, bir yönetici aşağıdaki atamaları yürüter:

  • Dinamik gruplar departman veya rol gibi öznitelikler kullanılarak pazarlama ve satış ekiplerinin tüm üyelerini otomatik olarak temsil edecek şekilde tanımlanabilir:

    • Pazarlama gruplarının tüm üyeleri Salesforce'ta "pazarlama" rolüne atanabilir
    • Satış ekibi gruplarının tüm üyeleri Salesforce'ta "satış" rolüne atanır. Daha fazla iyileştirme, farklı Salesforce rollerine atanan bölgesel satış ekiplerini temsil eden birden çok grup kullanabilir.
  • Özel durum mekanizmasını etkinleştirmek için her rol için bir self servis grubu oluşturulabilir. Örneğin, "Salesforce pazarlama özel durumu" grubu bir self servis grubu olarak oluşturulabilir. Grup Salesforce pazarlama rolüne atanabilir ve pazarlama liderlik ekibi sahip olabilir. Pazarlama liderlik ekibinin üyeleri kullanıcıları ekleyebilir veya kaldırabilir, bir katılma ilkesi ayarlıyor, hatta tek tek kullanıcıların katılma isteklerini onaylıyor veya reddeder. Bu mekanizma, sahipler veya üyeler için özelleştirilmiş eğitim gerektirmeyen uygun bir bilgi çalışanı deneyimi aracılığıyla de destek sunar.

Bu durumda, atanan tüm kullanıcılar Otomatik olarak Salesforce'a sağlandı. Farklı gruplara eklendiklerinde rol atamaları Salesforce'ta güncelleştirilir. Kullanıcılar Salesforce'ı Uygulamalarım, Office web istemcileri aracılığıyla veya salesforce kuruluş oturum açma sayfasına giderek keşfederek erişebilirsiniz. Yöneticiler, Azure AD raporlamayı kullanarak kullanım ve atama durumunu kolayca görüntülemenizi sağlar.

Yöneticiler, belirli rollere yönelik erişim ilkelerini ayarlamak için Azure AD Koşullu Erişim'i kullanabilir. Bu ilkeler, çeşitli durumlarda erişim elde etmek için şirket ortamı dışından erişime izin verili olup olmadığını ve hatta çok faktörlü kimlik doğrulaması veya cihaz gereksinimlerini içerebilir.

Microsoft uygulamalarına erişim

Microsoft Uygulamaları (Exchange, SharePoint, Yammer vb.) üçüncü taraf SaaS uygulamalarından veya çoklu oturum açma için Azure AD ile tümleştirilen diğer uygulamalardan biraz farklı olarak atanır ve yönetilir.

Bir kullanıcının Microsoft tarafından yayımlanan bir uygulamaya erişmesi için üç ana yol vardır.

  • Microsoft 365 veya diğer ücretli paketlerin uygulamaları için, kullanıcılara lisans ataması aracılığıyla doğrudan kendi kullanıcı hesaplarına veya grup tabanlı lisans atama özelliğimizi kullanan bir grup aracılığıyla erişim izni verildi.

  • Microsoft veya üçüncü taraf tarafından herkesin kullanımına ücretsiz olarak yayımlayan uygulamalar için, kullanıcılara kullanıcı onayı aracılığıyla erişim izni ve olabilir. Kullanıcılar, Azure AD İş veya Okul hesabıyla uygulamada oturum açın ve hesaplarında bazı sınırlı veri kümelerine erişmesini sağlar.

  • Microsoft veya bir üçüncü taraf tarafından herkesin kullanımına açık bir şekilde yayımlayan uygulamalar için, kullanıcılara yönetici onayı aracılığıyla da erişim izni ve olabilir. Bu, bir yöneticinin uygulamanın kuruluşta herkes tarafından kullanılal olduğunu belirlediği, bu nedenle genel yönetici hesabıyla uygulamada oturum açması ve kuruluşta herkese erişim izni vermek olduğu anlamına gelir.

Bazı uygulamalar bu yöntemleri birleştirir. Örneğin, bazı Microsoft uygulamaları bir Microsoft 365 parçasıdır, ancak yine de onay gerektirir.

Kullanıcılar uygulama Microsoft 365 portalları üzerinden Office 365 olabilir. Ayrıca, dizininizin Kullanıcı Microsoft 365'Uygulamalarım görünürlüğü Office 365 ile Office 365 uygulamaları gösterebilir veya gizleyebilirsiniz.

Kurumsal uygulamalarda olduğu gibi, PowerShell kullanarak kullanıcıları Azure portal veya portal seçeneği kullanılamıyorsa belirli Microsoft uygulamalarına atabilirsiniz.

Sonraki adımlar