Integrieren von Anwendungen mit Microsoft Entra ID und Einrichten eines Basisplans für überprüften Zugriff

Nachdem Sie die Richtlinien eingerichtet haben, die festlegen, wer Zugriff auf eine Anwendung haben soll, können Sie Ihre Anwendung mit Microsoft Entra ID verbinden und dann die Richtlinien bereitstellen, mit denen der Zugriff gesteuert werden kann.

Microsoft Entra ID Governance kann in viele Anwendungen integriert werden, darunter SAP R/3, SAP S/4HANA und solche, die Standards wie OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP und REST verwenden. Mithilfe dieser Standards können Sie Microsoft Entra ID mit vielen beliebten SaaS-Anwendungen und lokalen Anwendungen verwenden, einschließlich Anwendungen, die Ihre Organisation entwickelt hat. Dieser Bereitstellungsplan behandelt, wie Sie Ihre Anwendung mit Microsoft Entra ID verbinden und die Identitätsverwaltungsfunktionen für diese Anwendung aktivieren.

Damit Microsoft Entra ID Governance für eine Anwendung verwendet werden kann, muss die Anwendung zuerst in die Microsoft Entra-ID integriert und in Ihrem Verzeichnis dargestellt werden. Eine Anwendung, die in die Microsoft Entra-ID integriert wird, bedeutet, dass eine von zwei Anforderungen erfüllt sein muss:

• Die Anwendung basiert auf Microsoft Entra-ID für Verbund-SSO, und Microsoft Entra ID steuert die Ausstellung von Authentifizierungstoken. Wenn Microsoft Entra-ID der einzige Identitätsanbieter für die Anwendung ist, können sich nur Benutzer anmelden, die einer der Anwendungsrollen in der Microsoft Entra-ID zugewiesen sind. Benutzer, die ihre Anwendungsrollenzuweisung verlieren, können kein neues Token mehr erhalten, um sich bei der Anwendung anzumelden.
• Die Anwendung basiert auf Benutzer- oder Gruppenlisten, die der Anwendung über die Microsoft Entra-ID bereitgestellt werden. Diese Umsetzung kann über ein Bereitstellungsprotokoll wie SCIM erfolgen, indem die Anwendung Microsoft Entra ID über Microsoft Graph abfragt, oder indem die Anwendung AD Kerberos verwendet, um die Gruppenmitgliedschaften eines Benutzers abzurufen.

Wenn keine dieser Kriterien für eine Anwendung erfüllt ist, z. B. wenn die Anwendung nicht auf die Microsoft Entra-ID angewiesen ist, kann die Identitätsgovernance weiterhin verwendet werden. Es kann jedoch einige Einschränkungen bei der Verwendung von Identitätsgovernancen geben, ohne die Kriterien zu erfüllen. Benutzer, die sich nicht in Ihrer Microsoft Entra-ID befinden oder den Anwendungsrollen in der Microsoft Entra-ID nicht zugewiesen sind, werden nicht in Zugriffsüberprüfungen der Anwendung einbezogen, bis Sie sie den Anwendungsrollen zuweisen. Weitere Informationen finden Sie unter Vorbereiten einer Überprüfung des Benutzerzugriffs auf eine Anwendung.

Integrieren Sie die Anwendung in die Microsoft Entra-ID, um sicherzustellen, dass nur autorisierte Benutzer auf die Anwendung zugreifen können.

Die Integration eines Anwendungsprozesses beginnt, wenn Sie diese Anwendung so konfigurieren, dass sie sich auf die Microsoft Entra-ID für die Benutzerauthentifizierung, mit einer SSO-Protokollverbindung (Federated Single Sign-On) und anschließender Bereitstellung stützt. Die am häufigsten verwendeten Protokolle für SSO sind SAML und OpenID Connect. Hier erfahren Sie mehr über die Tools und den Prozess zur Erkennung und Migration der Anwendungsauthentifizierung nach Microsoft Entra ID.

Wenn die Anwendung ein Bereitstellungsprotokoll implementiert, sollten Sie dann Die Microsoft Entra-ID so konfigurieren, dass Benutzer für die Anwendung bereitgestellt werden, sodass die Microsoft Entra-ID der Anwendung signalisiert werden kann, wenn einem Benutzer Zugriff gewährt wurde oder der Zugriff eines Benutzers entfernt wurde. Diese Bereitstellungssignale ermöglichen es der Anwendung, automatische Korrekturen vorzunehmen, z. B. das Neuzuweisen von Inhalten, die von einem Mitarbeiter erstellt wurden, der seinen Vorgesetzten verlassen hat.

1. Überprüfen Sie, ob Ihre Anwendung in der Liste der Unternehmensanwendungen oder der Liste der App-Registrierungenist. Wenn die Anwendung bereits in Ihrem Mandanten vorhanden ist, fahren Sie mit Schritt 5 in diesem Abschnitt fort.

2. Wenn Ihre Anwendung eine SaaS-Anwendung ist, die noch nicht in Ihrem Mandanten registriert ist, suchen Sie im Anwendungskatalog nach verfügbaren Anwendungen, die für Verbund-SSO integriert werden können. Wenn es sich in der Galerie befindet, verwenden Sie die Tutorials, um die Anwendung in Microsoft Entra ID zu integrieren.

   1. Folgen Sie dem Lernprogramm, um die Anwendung für Verbund-SSO mit Microsoft Entra ID zu konfigurieren.
   2. Wenn die Anwendung die Bereitstellung unterstützt, konfigurieren Sie die Anwendung für die Bereitstellung.
   3. Wenn Sie fertig sind, fahren Sie mit dem nächsten Abschnitt in diesem Artikel fort. Wenn sich die SaaS-Anwendung nicht im Katalog befindet, bitten Sie den SaaS-Anbieter zum Onboarding.

3. Wenn es sich um eine private oder benutzerdefinierte Anwendung handelt, können Sie auch eine Single Sign-On-Integration auswählen, die am besten geeignet ist, basierend auf dem Standort und den Funktionen der Anwendung.

   • Wenn sich diese Anwendung auf der SAP Business Technology Platform (BTP) befindet, konfigurieren Sie die Microsoft Entra-Integration mit SAP Cloud Identity Services. Weitere Informationen finden Sie unter Microsoft Entra SSO-Integration mit SAP BTP- und Verwalten des Zugriffs auf SAP BTP-.

   • Wenn sich diese Anwendung in der öffentlichen Cloud befindet und einmaliges Anmelden unterstützt, konfigurieren Sie einmaliges Anmelden direkt von Microsoft Entra-ID in die Anwendung.

     Anwendung unterstützt	Nächste Schritte
     OpenID Connect	Hinzufügen einer OpenID Connect OAuth-Anwendung
     SAML 2.0	Registrieren Sie die Anwendung, und konfigurieren Sie die Anwendung mit den SAML-Endpunkten und dem Zertifikat von Microsoft Entra ID
     SAML 1.1	Hinzufügen einer SAML-basierten Anwendung

   • Wenn es sich um eine SAP-Anwendung handelt, die die SAP-GUI verwendet, integrieren Sie Microsoft Entra für einmaliges Anmelden mithilfe der Integration in SAP Secure Login Service oder Integration mit Microsoft Entra Private Access.

   • Wenn dies jedoch eine lokale oder IaaS gehostete Anwendung ist, die einmalige Anmeldung unterstützt, dann konfigurieren Sie einmaliges Anmelden von Microsoft Entra ID in die Anwendung über den Anwendungsproxy.

     Anwendung unterstützt	Nächste Schritte
     SAML 2.0	Bereitstellen des -Anwendungsproxys und Konfigurieren einer Anwendung für -SAML-SSO
     Integrierte Windows-Authentifizierung (IWA)	Stellen Sie den Anwendungsproxy bereit, konfigurieren Sie eine Anwendung für integrierte Windows-Authentifizierung SSO, und legen Sie Firewallregeln fest, um den Zugriff auf die Endpunkte der Anwendung außer über den Proxy zu verhindern.
     Headerbasierte Authentifizierung	Bereitstellung des -Anwendungsproxys und Konfigurieren einer Anwendung für headerbasierte SSO

4. Wenn Ihre Anwendung auf SAP BTP installiert ist, können Sie Microsoft Entra-Gruppen verwenden, um die Mitgliedschaft jeder Rolle beizubehalten. Weitere Informationen zum Zuweisen der Gruppen zu den BTP-Rollensammlungen finden Sie unter Verwalten des Zugriffs auf SAP BTP-.

5. Wenn Ihre Anwendung über mehrere Rollen verfügt, hat jeder Benutzer nur eine Rolle in der Anwendung, und die Anwendung basiert auf der Microsoft Entra-ID, um die einzelanwendungsspezifische Rolle eines Benutzers als Anspruch eines Benutzers zu senden, der sich bei der Anwendung anmeldet, und konfigurieren Sie diese App-Rollen in Microsoft Entra-ID für Ihre Anwendung, und weisen Sie dann jedem Benutzer die Anwendungsrolle zu. Sie können die App-Rollen UI verwenden, um diese Rollen dem Anwendungsmanifest hinzuzufügen. Wenn Sie die Microsoft-Authentifizierungsbibliotheken verwenden, gibt es ein Codebeispiel zum Verwenden von App-Rollen in Ihrer Anwendung für die Zugriffssteuerung. Wenn eine benutzene Person mehrere Rollen gleichzeitig haben könnte, können Sie die Anwendung so implementieren, dass sie Sicherheitsgruppen überprüft, die entweder in den Token-Ansprüchen enthalten oder über Microsoft Graph verfügbar sind, anstatt Anwendungsrollen aus dem App-Manifest für die Zugriffskontrolle zu verwenden.

6. Wenn die Anwendung die Bereitstellung unterstützt, konfigurieren Sie die Bereitstellung von zugewiesenen Benutzenden und Gruppen aus Microsoft Entra ID für diese Anwendung. Wenn es sich um eine private oder benutzerdefinierte Anwendung handelt, können Sie auch die am besten geeignete Integration basierend auf dem Standort und den Funktionen der Anwendung auswählen.

   • Wenn diese Anwendung auf SAP Cloud Identity Services basiert, konfigurieren Sie die Bereitstellung von Benutzern über SCIM in SAP Cloud Identity Services.

     Anwendung unterstützt	Nächste Schritte
     SAP Cloud Identity Services	Konfigurieren der Microsoft Entra-ID für die Bereitstellung von Benutzern in SAP Cloud Identity Services

   • Wenn sich diese Anwendung in der öffentlichen Cloud befindet und SCIM unterstützt, konfigurieren Sie die Bereitstellung von Benutzern über SCIM.

     Anwendung unterstützt	Nächste Schritte
     SCIM	Konfigurieren einer Anwendung mit SCIM-für die Benutzerbereitstellung

   • Wenn diese Anwendung AD verwendet, konfigurieren Sie gruppenrückschreiben, und aktualisieren Sie entweder die Anwendung so, dass sie die von Microsoft Entra ID erstellten Gruppen verwendet, oder schachteln Sie die von Microsoft Entra ID erstellten Gruppen in die vorhandenen AD-Sicherheitsgruppen der Anwendungen.

     Anwendung unterstützt	Nächste Schritte
     Kerberos	Konfigurieren des Microsoft Entra Cloud Sync-Gruppenrückschreibens in AD, Erstellen von Gruppen in Microsoft Entra ID und Schreiben dieser Gruppen in AD

   • Wenn dies eine lokale oder iaaS gehostete Anwendung ist und nicht in AD integriert ist, konfigurieren Sie die Bereitstellung für diese Anwendung entweder über SCIM oder die zugrunde liegende Datenbank oder das Verzeichnis der Anwendung.

     Anwendung unterstützt	Nächste Schritte
     SCIM	Konfigurieren einer Anwendung mit dem Bereitstellungs-Agent für lokale SCIM-basierte Apps
     lokale Benutzerkonten, die in einer SQL-Datenbank gespeichert sind	Konfigurieren einer Anwendung mit dem Bereitstellungs-Agent für lokale SQL-basierte Anwendungen
     lokale Benutzerkonten, die in einem LDAP-Verzeichnis gespeichert sind	Konfigurieren einer Anwendung mit dem Bereitstellungs-Agent für lokale LDAP-basierte Anwendungen
     lokale Benutzerkonten, verwaltet über eine SOAP- oder REST-API	Konfigurieren einer Anwendung mit dem Bereitstellungsagenten und dem Webdienst-Connector.
     lokale Benutzerkonten, verwaltet über einen MIM-Connector	Konfigurieren einer Anwendung mit dem Bereitstellungsagent und einem benutzerdefinierten Connector
     SAP ECC mit NetWeaver AS ABAP 7.0 oder höher	Konfigurieren einer Anwendung mit dem Bereitstellungs-Agent und einem für SAP ECC konfigurierten Webdienst-Connector

7. Wenn Ihre Anwendung Microsoft Graph zum Abfragen von Gruppen aus Microsoft Entra ID verwendet, stimmen Sie den Anwendungen zu, um die entsprechenden Berechtigungen zum Lesen von Ihrem Mandanten zu haben.

8. Legen Sie fest, dass der Zugriff auf die Anwendung nur für Benutzer zulässig ist, die der Anwendungzugewiesen sind. Diese Einstellung verhindert, dass Benutzer versehentlich die Anwendung in MyApps sehen und versuchen, sich bei der Anwendung anzumelden, bevor Richtlinien für den bedingten Zugriff aktiviert werden.

Durchführen einer anfänglichen Zugriffsüberprüfung

Wenn es sich um eine neue Anwendung handelt, die Ihre Organisation noch nicht verwendet hat, und daher niemand bereits Zugriff hat, oder wenn Sie bereits Zugriffsüberprüfungen für diese Anwendung durchgeführt haben, dann fahren Sie mit dem nächsten Abschnitt fort.

Wenn sich die Anwendung jedoch bereits in Ihrer Umgebung befand, haben Benutzer möglicherweise über manuelle oder out-of-band-Prozesse Zugriff in der Vergangenheit erhalten. Sie sollten diese Benutzer überprüfen, um zu bestätigen, dass ihr Zugriff immer noch erforderlich und angemessen ist. Es wird empfohlen, eine Zugriffsüberprüfung der Benutzer durchzuführen, die bereits Zugriff auf die Anwendung haben, bevor Richtlinien aktiviert werden, die es weiteren Benutzern ermöglichen, Zugriff anzufordern. Diese Überprüfung legt einen Basisplan fest, in dem alle Benutzer mindestens einmal überprüft werden, um sicherzustellen, dass sie für den fortgesetzten Zugriff autorisiert sind.

1. Führen Sie die Schritte unter Vorbereitung einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung – Azure AD aus.
2. Wenn die Anwendung nicht Microsoft Entra ID oder AD verwendet, aber ein Bereitstellungsprotokoll unterstützt oder über eine zugrunde liegende SQL- oder LDAP-Datenbank verfügt, binden Sie vorhandene Benutzende ein, und erstellen Sie Anwendungsrollenzuweisungen für sie.
3. Wenn die Anwendung nicht Microsoft Entra ID oder AD verwendet und kein Bereitstellungsprotokoll unterstützt, rufen Sie eine Liste der Benutzenden aus der Anwendung ab, und erstellen Sie Anwendungsrollenzuweisungen für die einzelnen Benutzenden.
4. Wenn die Anwendung AD-Sicherheitsgruppen verwendet hat, müssen Sie die Mitgliedschaft dieser Sicherheitsgruppen überprüfen.
5. Wenn die Anwendung über ein eigenes Verzeichnis oder eine eigene Datenbank verfügte und nicht für die Bereitstellung integriert wurde, müssen Sie möglicherweise nach Abschluss der Überprüfung die interne Datenbank oder das Verzeichnis der Anwendung manuell aktualisieren, um die Benutzer zu entfernen, die verweigert wurden.
6. Wenn die Anwendung AD-Sicherheitsgruppen verwendet hat und diese Gruppen in AD erstellt wurden, müssen Sie nach Abschluss der Überprüfung die AD-Gruppen manuell aktualisieren, um Mitgliedschaften dieser Benutzer zu entfernen, die verweigert wurden. Damit verweigerte Zugriffsrechte automatisch entfernt werden, können Sie anschließend die Anwendung entweder aktualisieren, um eine AD-Gruppe zu verwenden, die in Microsoft Entra ID erstellt und zurück in Microsoft Entra ID geschrieben wurde, oder die Mitgliedschaft aus der AD-Gruppe in die Microsoft Entra-Gruppe verschieben und die zurückgeschriebene Gruppe als einziges Mitglied der AD-Gruppe schachteln.
7. Nachdem die Überprüfung abgeschlossen wurde und der Anwendungszugriff aktualisiert wurde, oder wenn keine Benutzer Zugriff haben, fahren Sie mit den nächsten Schritten fort, um Richtlinien für bedingten Zugriff und Berechtigungsverwaltung für die Anwendung bereitzustellen.

Nachdem Sie nun über einen Basisplan verfügen, der sicherstellt, dass der vorhandene Zugriff überprüft wurde, können Sie die Richtlinien der Organisation für den laufenden Zugriff und alle neuen Zugriffsanforderungen bereitstellen.

Nächste Schritte

• Umsetzung von Governancerichtlinien