Integrace aplikací s ID Microsoft Entra a vytvoření směrného plánu kontrolovaného přístupu

Jakmile vytvoříte zásady pro uživatele, kteří by měli mít přístup k aplikaci, můžete aplikaci připojit k Microsoft Entra ID a pak nasadit zásady pro řízení přístupu k nim.

Zásady správného řízení MICROSOFT Entra ID je možné integrovat s mnoha aplikacemi, včetně SAP R/3, SAP S/4HANA a těch, které používají standardy , jako jsou OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP a REST. Prostřednictvím těchto standardů můžete použít Microsoft Entra ID s mnoha oblíbenými aplikacemi SaaS a místními aplikacemi, včetně aplikací, které vaše organizace vyvinula. Tento plán nasazení popisuje, jak připojit aplikaci k ID Microsoft Entra a povolit pro tuto aplikaci funkce zásad správného řízení identit.

Aby se zásady správného řízení ID Microsoft Entra používaly pro aplikaci, musí být aplikace nejprve integrována s Microsoft Entra ID a reprezentována ve vašem adresáři. Aplikace integrovaná s ID Microsoft Entra znamená splnění jednoho ze dvou požadavků:

• Aplikace spoléhá na ID Microsoft Entra pro federované jednotné přihlašování a Microsoft Entra ID řídí vystavování ověřovacích tokenů. Pokud je MICROSOFT Entra ID jediným zprostředkovatelem identity pro aplikaci, můžou se k aplikaci přihlásit jenom uživatelé přiřazení k jedné z rolí aplikace v Microsoft Entra ID. Uživatelé, kteří ztratí přiřazení role aplikace, už nemůžou získat nový token pro přihlášení k aplikaci.
• Aplikace spoléhá na seznamy uživatelů nebo skupin, které jsou k aplikaci poskytovány pomocí Microsoft Entra ID. Toto plnění může být provedeno prostřednictvím zřizovacího protokolu, jako je SCIM, dotazováním Microsoft Entra ID skrze Microsoft Graph, nebo pomocí aplikace, která využívá AD Kerberos k získání členství uživatele ve skupinách.

Pokud se pro aplikaci nesplní žádná z těchto kritérií, například pokud aplikace nespoléhá na ID Microsoft Entra, můžete zásady správného řízení identit použít i nadále. Při používání zásad správného řízení identit však mohou existovat určitá omezení bez splnění kritérií. Například uživatelé, kteří nejsou ve vašem ID Microsoft Entra nebo nejsou přiřazeni k rolím aplikace v Microsoft Entra ID, nebudou zahrnuti do kontrol přístupu aplikace, dokud je nepřiřadíte k rolím aplikace. Další informace najdete v tématu Příprava na kontrolu přístupu uživatelů k aplikaci.

Integrujte aplikaci s Microsoft Entra ID, abyste měli jistotu, že k aplikaci mají přístup jenom autorizovaní uživatelé.

Zahájení procesu integrace aplikace začíná ve chvíli, kdy nakonfigurujete tuto aplikaci tak, aby se při ověřování uživatelů spoléhala na Microsoft Entra ID, s připojením pomocí federovaného protokolu jednotného přihlášení (SSO), a poté přidáte zřizování. Nejčastěji používané protokoly pro jednotné přihlašování jsou SAML a OpenID Connect. Další informace o nástrojích a procesu pro zjišťování a migraci ověřování aplikací na Microsoft Entra ID.

Pokud aplikace implementuje zřizovací protokol, měli byste nakonfigurovat Microsoft Entra ID tak, aby zřizovala uživatele pro aplikaci, aby Microsoft Entra ID mohla signalizovat aplikaci, když byl uživateli udělen přístup nebo byl odebrán přístup uživatele. Tyto signály zřizování umožňují aplikaci provádět automatické opravy, například změnit přiřazení obsahu vytvořeného zaměstnancem, který odešel, na jeho nadřízeného.

1. Zkontrolujte, jestli je vaše aplikace v seznamu podnikových aplikací nebo seznamu registrací aplikací. Pokud už aplikace ve vašem tenantovi existuje, přejděte ke kroku 5 v této části.

2. Pokud je vaše aplikace SaaS, která ještě není zaregistrovaná ve vašem tenantovi, zkontrolujte dostupné aplikace v galerii aplikací , které je možné integrovat pro federované jednotné přihlašování. Pokud je v galerii, použijte návody k integraci aplikace s ID Microsoft Entra.

   1. Podle kurzu nakonfigurujte aplikaci pro federované jednotné přihlašování pomocí Microsoft Entra ID.
   2. Pokud by aplikace podporovala zřizování, nakonfigurujte aplikaci pro zřizování.
   3. Po dokončení přejděte k další části tohoto článku. Pokud aplikace SaaS není v galerii, požádejte dodavatele SaaS o zapojení.

3. Pokud se jedná o soukromou nebo vlastní aplikaci, můžete také vybrat integraci jednotného přihlašování, která je nejvhodnější v závislosti na umístění a možnostech aplikace.

   • Pokud je tato aplikace v SAP BTP, nakonfigurujte integraci Microsoft Entra se službou SAP Cloud Identity Services. Další informace najdete v tématu Správa přístupu kSAP BTP .

   • Pokud je tato aplikace ve veřejném cloudu a podporuje jednotné přihlašování, nakonfigurujte jednotné přihlašování přímo z Microsoft Entra ID do aplikace.

     Aplikace podporuje	Další kroky
     OpenID Connect	Přidat aplikaci OpenID Connect OAuth
     SAML 2.0	Zaregistrujte aplikaci a nakonfigurujte aplikaci pomocí koncových bodů SAML a certifikátu Microsoft Entra ID.
     SAML 1.1	Přidejte aplikaci založenou na SAML

   • Pokud se jedná o aplikaci SAP, která používá grafické uživatelské rozhraní SAP, integrujte Microsoft Entra pro jednotné přihlašování pomocí integrace se službou SAP Secure Login Service nebo integraci s privátním přístupem Microsoft Entra.

   • V opačném případě, pokud se jedná o místní nebo hostované aplikace IaaS, která podporuje jednotné přihlašování, nakonfigurujte jednotné přihlašování z Microsoft Entra ID k aplikaci prostřednictvím proxy aplikace.

     Aplikace podporuje	Další kroky
     SAML 2.0	Nasazení proxy aplikací a konfigurace aplikace pro jednotného přihlašování SAML
     Integrované ověřování Windows (IWA)	Nasaďte aplikační proxypro , nakonfigurujte aplikaci pro integrované ověřování Windowspomocí a nastavte pravidla brány firewall, která zabrání přístupu ke koncovým bodům aplikace kromě přes proxy.
     Ověřování na základě hlaviček	Nasazení proxy aplikací a konfigurace aplikace pro jednotného přihlašování založeného na hlavičce

4. Pokud je vaše aplikace v SAP BTP, můžete pomocí skupin Microsoft Entra udržovat členství v jednotlivých rolích. Další informace o přiřazování skupin ke kolekcím rolí BTP najdete v tématu Správa přístupu kSAP BTP .

5. Pokud má vaše aplikace více rolí, má každý uživatel v aplikaci jenom jednu roli a aplikace spoléhá na Microsoft Entra ID k odeslání jedné role specifické pro aplikaci uživatele jako deklarace identity uživatele, který se k aplikaci přihlašuje, pak tyto role aplikace nakonfigurujte v Microsoft Entra ID vaší aplikace a pak každému uživateli přiřaďte roli aplikace. K přidání těchto rolí do manifestu aplikace můžete použít uživatelské rozhraní aplikačních rolí. Pokud používáte knihovny Microsoft Authentication Library, existuje ukázková kódu , jak používat role aplikací v aplikaci pro řízení přístupu. Pokud by uživatel mohl mít současně více rolí, můžete chtít aplikaci implementovat ke kontrole skupin zabezpečení, a to buď v deklarací identity tokenu, nebo dostupné prostřednictvím Microsoft Graphu, místo abyste k řízení přístupu používali role aplikací z manifestu aplikace.

6. Pokud aplikace podporuje zřizování, nakonfigurovat zřizování přiřazených uživatelů a skupin z Microsoft Entra ID této aplikace. Pokud se jedná o soukromou nebo vlastní aplikaci, můžete také vybrat nejvhodnější integraci na základě umístění a možností aplikace.

   • Pokud tato aplikace spoléhá na SAP Cloud Identity Services, nakonfigurujte zřizování uživatelů prostřednictvím SCIM do SAP Cloud Identity Services.

     Aplikace podporuje	Další kroky
     SAP Cloud Identity Services	konfigurace MICROSOFT Entra ID pro zřizování uživatelů do SAP Cloud Identity Services

   • Pokud je tato aplikace ve veřejném cloudu a podporuje SCIM, nakonfigurujte zřizování uživatelů přes SCIM.

     Aplikace podporuje	Další kroky
     SCIM	Nakonfigurujte aplikaci s SCIM pro zřizování uživatelů

   • Pokud tato aplikace používá AD, nakonfigurujte zpětný zápis skupiny a pak buď aplikaci aktualizujte tak, aby používala skupiny vytvořené ID Microsoft Entra, nebo vložit skupiny vytvořené ID Microsoft Entra do stávajících skupin zabezpečení AD aplikací.

     Aplikace podporuje	Další kroky
     Kerberos	Konfigurace zpětného zápisu skupiny Microsoft Entra Cloud Sync do služby AD, vytváření skupin v Microsoft Entra ID a zápis těchto skupin do služby AD

   • Jinak platí, že pokud se jedná o místní nebo hostované aplikaci IaaS a není integrovaná se službou AD, nakonfigurujte zřizování této aplikace buď přes SCIM, nebo do podkladové databáze nebo adresáře aplikace.

     Aplikace podporuje	Další kroky
     SCIM	Nakonfigurujte aplikaci pomocí provisioningového agenta pro místní aplikace založené na SCIM
     místní uživatelské účty uložené v databázi SQL	konfigurace aplikace s agentem zřizování pro místní aplikace založené na SQL
     místní uživatelské účty uložené v adresáři LDAP	konfigurace aplikace s agentem zřizování pro místní aplikace založené na protokolu LDAP
     místní uživatelské účty spravované prostřednictvím rozhraní SOAP nebo REST API	nakonfigurujte aplikaci s agentem zřizování pomocí konektoru webových služeb
     místní uživatelské účty spravované prostřednictvím konektoru MIM	nakonfigurujte aplikaci s agentem zřizování s použitím vlastního konektoru
     SAP ECC s NetWeaver AS ABAP 7.0 nebo novějším	konfigurace aplikace s provisioning agentem a konektorem webových služeb nakonfigurovaným pro SAP ECC

7. Pokud vaše aplikace používá Microsoft Graph k dotazování skupin z Microsoft Entra ID, udělte souhlas aplikacím, aby získaly příslušná oprávnění ke čtení z vašeho tenant.

8. Nastavte, aby přístup k aplikaci byl povolen pouze pro uživatele přiřazené k aplikaci. Toto nastavení zabrání uživatelům neúmyslně zobrazit aplikaci v Aplikaci MyApps a pokusu o přihlášení k aplikaci před povolením zásad podmíněného přístupu.

Provedení počáteční kontroly přístupu

Pokud se jedná o novou aplikaci, kterou vaše organizace předtím nepoužila, a proto nikdo nemá již existující přístup nebo pokud už provádíte kontroly přístupu pro tuto aplikaci, přejděte k další části.

Pokud ale aplikace už byla ve vašem prostředí, uživatelé mohli v minulosti získat přístup prostřednictvím ručních nebo alternativních procesů. Měli byste zkontrolovat tyto uživatele a ověřit, že jejich přístup je stále nezbytný a vhodný. Před povolením zásad, které umožní více uživatelům žádat o přístup k aplikaci, doporučujeme provést kontrolu přístupu pro uživatele, kteří již mají k aplikaci přístup. Tato kontrola stanoví základní úroveň, kde jsou všichni uživatelé zkontrolováni alespoň jednou, aby bylo zajištěno jejich oprávnění k trvalému přístupu.

1. Postupujte podle kroků v Příprava na kontrolu přístupu uživatelů k aplikaci.
2. Pokud aplikace nepoužívala Microsoft Entra ID nebo AD, ale podporuje zřizovací protokol nebo má podkladovou databázi SQL nebo LDAP, přineste pro ně jakékoli stávající uživatele a vytvořte pro ně přiřazení rolí aplikace.
3. Pokud aplikace nepoužívala Microsoft Entra ID nebo AD a nepodporuje zřizovací protokol, získat seznam uživatelů z aplikace a vytvořit přiřazení rolí aplikace pro každého z nich.
4. Pokud aplikace používala skupiny zabezpečení AD, musíte zkontrolovat členství těchto skupin zabezpečení.
5. Pokud aplikace měla svůj vlastní adresář nebo databázi a nebyla integrovaná pro zřizování, budete po dokončení kontroly možná muset ručně aktualizovat interní databázi nebo adresář aplikace a odebrat uživatele, kteří byli odepřeni.
6. Pokud aplikace používala skupiny zabezpečení SLUŽBY AD a tyto skupiny byly vytvořeny v AD, po dokončení kontroly je potřeba skupiny AD ručně aktualizovat, abyste odebrali členství uživatelů, kteří byli odepřeni. Po provedení těchto úkonů, pokud chcete, aby byla přístupová práva automaticky odebrána, můžete buď aktualizovat aplikaci tak, aby používala skupinu AD vytvořenou v Microsoft Entra ID a zpětně zapsanou do Microsoft Entra ID, nebo přesunout členství ze skupiny AD do skupiny Microsoft Entra a tuto zpětně zapsanou skupinu vložit jako jediného člena skupiny AD.
7. Po dokončení kontroly a aktualizaci přístupu k aplikaci nebo v případě, že k aplikaci nemají přístup žádní uživatelé, pokračujte k dalším krokům nasazení zásad podmíněného přístupu a správy nároků pro aplikaci.

Teď, když máte standardní hodnoty, které zajistí, že se zkontroluje stávající přístup, můžete nasadit zásady organizace pro průběžný přístup a všechny nové žádosti o přístup.

Další kroky

• Nasazení zásad správného řízení