Správa přístupu k aplikaci
Integrace aplikace do systému identit vaší organizace přináší problémy se správou přístupu, vyhodnocením využití a generováním sestav. Správci IT nebo pracovníci helpdesku obvykle potřebují dohlížet na přístup k aplikacím. Přiřazení přístupu může spadat do obecného nebo divizního IT týmu, ale v ideálním případě by měli být zapojeni pracovníci s rozhodovací pravomocí a před dokončením procesu by měli it pracovníci s rozhodovací pravomocí souhlasit.
Jiné organizace investují do integrace se stávajícím automatizovaným systémem správy identit a přístupu, jako je řízení přístupu na základě role (RBAC) nebo řízení přístupu na základě atributů (ABAC). Integrace i vývoj pravidel mají tendenci být specializované a nákladné. Monitorování nebo generování sestav o přístupu ke správě má svou vlastní samostatnou, nákladnou a složitou investici.
Jak microsoft Entra ID pomáhá?
Microsoft Entra ID podporuje rozsáhlou správu přístupu pro nakonfigurované aplikace, což organizacím umožňuje snadno dosáhnout správných zásad přístupu od automatického přiřazení na základě atributů (scénářů ABAC nebo RBAC) prostřednictvím delegování a včetně správy správců. S ID Microsoft Entra můžete snadno dosáhnout složitých zásad, kombinovat více modelů správy pro jednu aplikaci a dokonce opakovaně používat pravidla správy napříč aplikacemi se stejnými cílovými skupinami.
Díky ID Microsoft Entra je sestava využití a přiřazení plně integrovaná a umožňuje správcům snadno hlásit stav přiřazení, chyby přiřazení a dokonce i využití.
Přiřazení uživatelů a skupin k aplikaci
Přiřazení aplikace Microsoft Entra se zaměřuje na dva primární režimy přiřazení:
Individuální přiřazení Správce IT s oprávněními správce cloudových aplikací v adresáři může vybrat jednotlivé uživatelské účty a udělit jim přístup k aplikaci.
Přiřazení na základě skupin (vyžaduje Microsoft Entra ID P1 nebo P2) Správce IT s oprávněními cloudových aplikací adresáře může aplikaci přiřadit skupinu. Přístup konkrétních uživatelů se určuje podle toho, jestli jsou členy skupiny v době, kdy se pokusí o přístup k aplikaci. Jinými slovy, správce může efektivně vytvořit pravidlo přiřazení, které hlásí" jakýkoli aktuální člen přiřazené skupiny má přístup k aplikaci. Díky této možnosti přiřazení můžou správci využívat některou z možností správy skupin Microsoft Entra, včetně skupin dynamických členství založených na atributech, skupin externích systémů (například místní Active Directory nebo Workday) nebo skupin spravovaných správcem nebo samoobslužně spravovaných skupin. Jednu skupinu je možné snadno přiřadit k více aplikacím a zajistit tak, aby aplikace s přidružením přiřazení mohly sdílet pravidla přiřazení, což snižuje celkovou složitost správy.
Poznámka:
Vnořené členství ve skupinách se v současnosti nepodporuje pro přiřazování na základě skupin k aplikacím.
Díky těmto dvěma režimům přiřazení můžou správci dosáhnout libovolného žádoucího přístupu správy přiřazení.
Vyžadování přiřazení uživatele pro aplikaci
U určitých typů aplikací máte možnost vyžadovat, aby se k aplikaci přiřadili uživatelé. Tím zabráníte, aby se všichni přihlásili s výjimkou uživatelů, které explicitně přiřadíte k aplikaci. Tuto možnost podporují následující typy aplikací:
- Aplikace nakonfigurované pro federované jednotné přihlašování (SSO) s ověřováním založeným na SAML
- proxy aplikací aplikací, které používají předběžné ověřování Microsoft Entra
- Aplikace, které jsou založené na aplikační platformě Microsoft Entra, které používají ověřování OAuth 2.0 / OpenID Connect po souhlasu uživatele nebo správce s danou aplikací. Některé podnikové aplikace nabízejí větší kontrolu nad tím, kdo se může přihlásit.
Pokud se vyžaduje přiřazení uživatelů, mohou se přihlásit jenom ti uživatelé, které k aplikaci přiřadíte (buď přímým přiřazením uživatelů, nebo na základě členství ve skupinách). K aplikaci mají přístup na portálu Moje aplikace nebo pomocí přímého odkazu.
Pokud se přiřazení uživatele nevyžaduje, nepřiřazení uživatelé aplikaci na svém Moje aplikace nevidí, ale můžou se stále přihlásit k samotné aplikaci (označované také jako přihlášení iniciované pomocí sp) nebo můžou použít adresu URL přístupu uživatele na stránce Vlastnosti aplikace (označované také jako přihlášení iniciované protokolem IDP). Další informace o vyžadování konfigurací přiřazení uživatelů najdete v tématu Konfigurace aplikace.
Toto nastavení nemá vliv na to, jestli se aplikace zobrazuje na Moje aplikace. Po přiřazení uživatele nebo skupiny k aplikaci se aplikace zobrazí na portálu Moje aplikace uživatele.
Poznámka:
Pokud aplikace vyžaduje přiřazení, souhlas uživatele pro danou aplikaci není povolený. To platí i v případě, že by jinak byl souhlas uživatelů s touto aplikací povolený. Nezapomeňte udělit souhlas správce v rámci celého tenanta aplikacím, které vyžadují přiřazení.
U některých aplikací není možnost vyžadovat přiřazení uživatele ve vlastnostech aplikace k dispozici. V těchto případech můžete pomocí PowerShellu nastavit vlastnost appRoleAssignmentRequired instančního objektu.
Určení uživatelského prostředí pro přístup k aplikacím
Microsoft Entra ID poskytuje několik přizpůsobitelných způsobů nasazení aplikací koncovým uživatelům ve vaší organizaci:
- Microsoft Entra Moje aplikace
- Spouštěč aplikací Microsoft 365
- Přímé přihlašování k federovaným aplikacím (service-pr)
- Přímé odkazy na federované nebo existující aplikace či aplikace založené na hesle
Můžete určit, jestli ho uživatelé přiřazení k podnikové aplikaci uvidí v Moje aplikace a spouštěči aplikací Microsoftu 365.
Příklad: Komplexní přiřazení aplikace s ID Microsoft Entra
Představte si aplikaci, jako je Salesforce. V mnoha organizacích používá Salesforce primárně marketingové a prodejní týmy. Členové marketingového týmu mají často vysoce privilegovaný přístup k Salesforce, zatímco členové prodejního týmu získají omezený přístup. V mnoha případech získá široká populace informačních pracovníků omezený přístup k aplikaci. Výjimky z těchto pravidel komplikují záležitosti. Často se jedná o prerogativní týmy marketingového nebo prodejního vedení, které uživateli udělí přístup nebo změní jejich role nezávisle na těchto obecných pravidlech.
S ID Microsoft Entra je možné předkonfigurovat aplikace, jako je Salesforce, pro jednotné přihlašování a automatizované zřizování. Jakmile je aplikace nakonfigurovaná, může správce provést jednorázovou akci k vytvoření a přiřazení příslušných skupin. V tomto příkladu může správce provést následující přiřazení:
Dynamické skupiny je možné definovat tak, aby automaticky představovaly všechny členy marketingového a prodejního týmu pomocí atributů, jako je oddělení nebo role:
- Všichni členové marketingových skupin by se přiřadili k roli marketing v Salesforce.
- Všichni členové skupin prodejního týmu by se přiřadili k roli "prodej" v Salesforce. Další upřesnění může použít několik skupin, které představují regionální prodejní týmy přiřazené k různým rolím Salesforce.
Pokud chcete povolit mechanismus výjimek, může být pro každou roli vytvořena skupina samoobslužných služeb. Skupinu "Salesforce marketing exception" můžete například vytvořit jako samoobslužnou skupinu. Skupinu je možné přiřadit k marketingové roli Salesforce a tým marketingového vedení může být vlastníkem. Členové marketingového týmu vedení můžou přidávat nebo odebírat uživatele, nastavovat zásady připojení nebo dokonce schvalovat nebo odepřít žádosti jednotlivých uživatelů o připojení. Tento mechanismus se podporuje prostřednictvím vhodného prostředí informačního pracovníka, které nevyžaduje specializované školení pro vlastníky nebo členy.
V takovém případě se všichni přiřazení uživatelé automaticky zřídí pro Salesforce. Při přidání do různých skupin se jejich přiřazení role aktualizuje v Salesforce. Uživatelé můžou vyhledávat a přistupovat k Salesforce prostřednictvím Moje aplikace, webových klientů Office nebo přechodem na přihlašovací stránku Salesforce organizace. Správci můžou snadno zobrazit stav využití a přiřazení pomocí generování sestav MICROSOFT Entra ID.
Správci můžou použít podmíněný přístup Microsoft Entra k nastavení zásad přístupu pro konkrétní role. Tyto zásady můžou zahrnovat, jestli je přístup povolený mimo podnikové prostředí, a dokonce i požadavky na vícefaktorové ověřování nebo zařízení, aby bylo možné dosáhnout přístupu v různých případech.
Přístup k aplikacím Microsoftu
Aplikace Microsoftu (například Exchange, SharePoint, Yammer atd.) se přiřazují a spravují trochu jinak než aplikace SaaS jiné společnosti než Microsoft nebo jiné aplikace, které integrujete s Microsoft Entra ID pro jednotné přihlašování.
Existují tři hlavní způsoby, jak může uživatel získat přístup k publikované aplikaci Microsoftu.
Pro aplikace v Microsoftu 365 nebo jiných placených sadách mají uživatelé udělený přístup prostřednictvím přiřazení licencí buď přímo ke svému uživatelskému účtu, nebo prostřednictvím skupiny, která používá naši funkci přiřazení licencí na základě skupin.
Pro aplikace, které společnost Microsoft nebo jiná organizace než Microsoft publikuje volně pro všechny uživatele, mohou být uživatelům udělen přístup prostřednictvím souhlasu uživatele. Uživatelé se přihlásí k aplikaci pomocí svého pracovního nebo školního účtu Microsoft Entra a umožní mu přístup k určité omezené sadě dat na svém účtu.
U aplikací, které společnost Microsoft nebo jiná organizace než Microsoft publikuje volně pro každého, kdo může používat, je možné uživatelům udělit přístup také prostřednictvím souhlasu správce. To znamená, že správce určil, že aplikaci můžou používat všichni uživatelé v organizaci, aby se přihlásili k aplikaci pomocí role Správce privilegovaných rolí a udělili přístup všem uživatelům v organizaci.
Některé aplikace tyto metody kombinují. Některé aplikace Microsoftu jsou například součástí předplatného Microsoftu 365, ale přesto vyžadují souhlas.
Uživatelé mají přístup k aplikacím Microsoft 365 prostřednictvím svých portálů Office 365. Aplikace Microsoft 365 můžete také zobrazit nebo skrýt v Moje aplikace s přepínačem viditelnosti Office 365 v uživatelských nastaveních vašeho adresáře.
Stejně jako u podnikových aplikací můžete uživatele přiřadit k určitým aplikacím Microsoftu prostřednictvím Centra pro správu Microsoft Entra nebo pomocí PowerShellu.
Zabránění přístupu k aplikacím prostřednictvím místních účtů
Microsoft Entra ID umožňuje vaší organizaci nastavit jednotné přihlašování k ochraně způsobu ověřování uživatelů v aplikacích pomocí podmíněného přístupu, vícefaktorového ověřování atd. Některé aplikace mají historicky vlastní místní úložiště uživatelů a umožňují uživatelům přihlásit se k aplikaci pomocí místních přihlašovacích údajů nebo metody ověřování zálohování specifické pro aplikaci místo jednotného přihlašování. Tyto možnosti aplikace by mohly být zneužity a umožnit uživatelům zachovat přístup k aplikacím i po tom, co už nejsou přiřazené k aplikaci v Microsoft Entra ID nebo se už nemůžou přihlásit k Microsoft Entra ID a umožnit útočníkům, aby se pokusili o ohrožení aplikace bez zobrazení v protokolech ID Microsoft Entra. Pokud chcete zajistit, aby přihlášení k těmto aplikacím byla chráněna id Microsoft Entra:
- Určete, které aplikace připojené k vašemu adresáři pro jednotné přihlašování umožňují koncovým uživatelům obejít jednotné přihlašování pomocí přihlašovacích údajů místní aplikace nebo metody ověřování zálohování. Budete si muset projít dokumentaci od poskytovatele aplikace, abyste pochopili, jestli je to možné, a jaká nastavení jsou k dispozici. Pak v těchto aplikacích zakažte nastavení, která koncovým uživatelům umožňují obejít jednotné přihlašování. Otestujte, jestli je prostředí koncového uživatele zabezpečené otevřením prohlížeče v InPrivate, připojením ke přihlašovací stránce aplikace, poskytnutím identity uživatele ve vašem tenantovi a ověřením, že není možné se přihlásit jinak než přes Microsoft Entra.
- Pokud vaše aplikace poskytuje rozhraní API pro správu hesel uživatelů, odeberte místní hesla nebo nastavte jedinečné heslo pro každého uživatele pomocí rozhraní API. Koncovým uživatelům tak zabráníte v přihlášení k aplikaci pomocí místních přihlašovacích údajů.
- Pokud vaše aplikace poskytuje rozhraní API pro správu uživatelů, nakonfigurujte zřizování uživatelů Microsoft Entra pro tuto aplikaci tak, aby zakázalo nebo odstranilo uživatelské účty, pokud uživatelé už nejsou v oboru aplikace nebo tenanta.