Integrieren von Anwendungen mit Microsoft Entra ID und Einrichten eines Basisplans für den überprüften Zugriff

Nachdem Sie die Richtlinien eingerichtet haben, die festlegen, wer Zugriff auf eine Anwendung haben soll, können Sie Ihre Anwendung mit Microsoft Entra ID verbinden und dann die Richtlinien bereitstellen, mit denen der Zugriff gesteuert werden kann.

Microsoft Entra ID Governance kann in viele Anwendungen integriert werden, darunter bekannte Anwendungen wie SAP R/3 oder SAP S/4HANA, und solche, die Normen wie OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP und REST verwenden. Durch diese Standards können Sie Microsoft Entra ID mit vielen beliebten SaaS-Anwendungen und lokalen Anwendungen, einschließlich Anwendungen, die Ihre Organisation entwickelt hat, verwenden. In diesem Bereitstellungsplan wird erläutert, wie Sie Ihre Anwendung mit Microsoft Entra ID verbinden und Identitätsgovernancefunktionen für diese Anwendung verwenden können.

Damit Microsoft Entra ID Governance für eine Anwendung verwendet werden kann, muss die Anwendung zunächst mit Microsoft Entra ID integriert werden. Für die Integration einer Anwendung mit Microsoft Entra ID muss eine von zwei Anforderungen erfüllt sein:

• Die Anwendung basiert auf Microsoft Entra-ID für Verbund-SSO, und Microsoft Entra ID steuert die Ausstellung von Authentifizierungstoken. Wenn Microsoft Entra ID der einzige Identitätsanbieter für die Anwendung ist, können sich nur Benutzer bei der Anwendung anmelden, die einer der Anwendungsrollen in Microsoft Entra ID zugewiesen sind. Benutzer, die ihre Anwendungsrollenzuweisung verlieren, können kein neues Token mehr erhalten, um sich bei der Anwendung anzumelden.
• Die Anwendung stützt sich auf Benutzer- oder Gruppenlisten, die der Anwendung von Microsoft Entra ID bereitgestellt werden. Diese Erfüllung könnte über ein Bereitstellungsprotokoll wie SCIM erfolgen, indem die Anwendung Microsoft Entra ID über Microsoft Graph abfragt oder die Anwendung AD Kerberos zum Abrufen der Gruppenmitgliedschaften eines Benutzers verwendet.

Wenn keines dieser Kriterien für eine Anwendung erfüllt ist, z. B. wenn die Anwendung nicht auf Microsoft Entra ID basiert, kann die Identitätsgovernance trotzdem verwendet werden. Es kann jedoch einige Einschränkungen bei der Verwendung von Identitätsgovernancen geben, ohne die Kriterien zu erfüllen. Zum Beispiel werden Benutzer, die nicht in Ihrem Microsoft Entra ID sind oder den Anwendungsrollen in Microsoft Entra ID nicht zugewiesen sind, nicht in die Zugriffsüberprüfungen der Anwendung aufgenommen, bis Sie sie den Anwendungsrollen zuordnen. Weitere Informationen finden Sie unter Vorbereitung einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung.

Integrieren Sie die Anwendung in Microsoft Entra ID, um sicherzustellen, dass nur autorisierte Benutzer auf die Anwendung zugreifen können

In der Regel beginnt dieser Prozess der Integration einer Anwendung, wenn Sie diese Anwendung so konfigurieren, dass sie auf Microsoft Entra ID für die Benutzerauthentifizierung angewiesen ist, wobei eine Verbundprotokollverbindung (Single Sign-On, SSO) besteht, und fügen Sie dann die Bereitstellung hinzu. Die am häufigsten verwendeten Protokolle für SSO sind SAML und OpenID Connect. Hier erfahren Sie mehr über die Tools und den Prozess zur Erkennung und Migration der Anwendungsauthentifizierung nach Microsoft Entra ID.

Wenn die Anwendung ein Bereitstellungsprotokoll implementiert, sollten Sie als nächstes Microsoft Entra ID für die Bereitstellung von Benutzern für die Anwendung konfigurieren, damit Microsoft Entra ID der Anwendung signalisiert, dass einem Benutzer der Zugriff gewährt oder der Zugriff entzogen wurde. Diese Bereitstellungssignale ermöglichen es der Anwendung, automatische Korrekturen vorzunehmen, z.B. die Zuweisung von Inhalten, die von einem Mitarbeiter erstellt wurden, der seinem Manager überlassen hat.

1. Überprüfen Sie, ob Sich Ihre Anwendung in der Liste der Unternehmensanwendungen oder der Liste der App-Registrierungen befindet. Wenn die Anwendung bereits in Ihrem Mandanten vorhanden ist, wechseln Sie zu Schritt 5 in diesem Abschnitt.

2. Wenn Ihre Anwendung eine SaaS-Anwendung ist, die nicht bereits in Ihrem Mandanten registriert ist, überprüfen Sie, ob der Anwendungskatalog verfügbar ist, der für Verbund-SSO integriert werden kann. Wenn es sich im Katalog befindet, verwenden Sie die Lernprogramme, um die Anwendung in Microsoft Entra ID zu integrieren.

   1. Folgen Sie dem Lernprogramm, um die Anwendung für Verbund-SSO mit Microsoft Entra ID zu konfigurieren.
   2. Wenn die Anwendung die Bereitstellung unterstützt, konfigurieren Sie die Anwendung für die Bereitstellung.
   3. Wenn der Vorgang abgeschlossen ist, wechseln Sie zum nächsten Abschnitt in diesem Artikel. Wenn sich die SaaS-Anwendung nicht im Katalog befindet, bitten Sie den SaaS-Anbieter zum Onboarding.

3. Wenn dies eine private oder benutzerdefinierte Anwendung ist, können Sie auch eine einmalige Anmeldungsintegration auswählen, die am besten geeignet ist, basierend auf dem Speicherort und den Funktionen der Anwendung.

   • Wenn sich diese Anwendung in der öffentlichen Cloud befindet und die einmalige Anmeldung unterstützt, konfigurieren Sie die einmalige Anmeldung direkt von Microsoft Entra ID in die Anwendung.

     Anwendung unterstützt	Nächste Schritte
     OpenID Connect	Hinzufügen einer OpenID Connect OAuth-Anwendung
     SAML 2.0	Registrieren Sie die Anwendung, und konfigurieren Sie die Anwendung mit den SAML-Endpunkten und dem Zertifikat von Microsoft Entra ID
     SAML 1.1	Hinzufügen einer SAML-basierten Anwendung

   • Andernfalls wenn dies eine lokale oder IaaS gehostete Anwendung ist, die einmalige Anmeldung unterstützt, dann konfigurieren Sie einmaliges Anmelden von Microsoft Entra ID in die Anwendung über den Anwendungsproxy.

     Anwendung unterstützt	Nächste Schritte
     SAML 2.0	Stellen Sie den Anwendungsproxy bereit und konfigurieren Sie eine Anwendung für SAML SSO
     In Windows-Authentifizierung integriert (IWA)	Stellen Sie den Anwendungsproxy bereit, konfigurieren Sie eine Anwendung für integrierte Windows-Authentifizierung SSO und legen Sie Firewallregeln fest, um den Zugriff auf die Endpunkte der Anwendung außer über den Proxy zu verhindern.
     Headerbasierte Authentifizierung	Stellen Sie den Anwendungsproxy bereit und konfigurieren Sie eine Anwendung für headerbasierte SAML SSO

4. Wenn Ihre Anwendung über mehrere Rollen verfügt, jeder Benutzer nur eine Rolle in der Anwendung hat und die Anwendung Microsoft Entra ID verwendet, um die einzelne anwendungsspezifische Rolle als Anspruch eines Benutzers zu senden, der sich bei der Anwendung anmeldet, dann konfigurieren Sie diese Anwendungsrollen in Microsoft Entra ID in Ihrer Anwendung und weisen dann jedem Benutzer die Anwendungsrolle zu. Sie können die Benutzeroberfläche für App-Rollen verwenden, um diese Rollen dem Anwendungsmanifest hinzuzufügen. Wenn Sie die Microsoft-Authentifizierungsbibliotheken verwenden, gibt es einen Beispielcode zum Verwenden von App-Rollen in Ihrer Anwendung für die Zugriffssteuerung. Wenn ein Benutzer mehrere Rollen gleichzeitig haben könnte, können Sie die Anwendung so implementieren, dass sie Sicherheitsgruppen überprüft, die entweder in den Token-Ansprüchen enthalten oder über Microsoft Graph verfügbar sind, anstatt Anwendungsrollen aus dem App-Manifest für die Zugriffskontrolle zu verwenden.

5. Wenn die Anwendung die Bereitstellung unterstützt, konfigurieren Sie die Bereitstellung von zugewiesenen Benutzern und Gruppen aus Microsoft Entra ID für diese Anwendung. Wenn es sich um eine private oder benutzerdefinierte Anwendung handelt, können Sie auch die Integration auswählen, die am besten geeignet ist, je nach Standort und Funktionen der Anwendung.

   • Wenn diese Anwendung auf SAP Cloud Identity Services basiert, dann konfigurieren Sie die Bereitstellung von Benutzern über SCIM in SAP Cloud Identity Services.

     Anwendung unterstützt	Nächste Schritte
     SAP Cloud Identitätsdienste	Konfigurieren von Microsoft Entra ID für die Bereitstellung von Benutzern in SAP Cloud Identity Services

   • Wenn sich diese Anwendung in der öffentlichen Cloud befindet und SCIM unterstützt, dann konfigurieren Sie die Bereitstellung von Benutzern über SCIM.

     Anwendung unterstützt	Nächste Schritte
     SCIM	Konfigurieren Sie eine Anwendung mit SCIM für die Benutzerbereitstellung

   • Wenn diese Anwendung AD verwendet, konfigurieren Sie Gruppenrückschreiben, und aktualisieren Sie die Anwendung, um die von Microsoft Entra ID erstellten Gruppen zu verwenden, oder schachteln Sie die von Microsoft Entra ID erstellten Gruppen in den vorhandenen AD-Sicherheitsgruppen der Anwendungen.

     Anwendung unterstützt	Nächste Schritte
     Kerberos	Konfigurieren des Microsoft Entra Cloud Sync-Gruppenrückschreibens in AD, Erstellen von Gruppen in Microsoft Entra ID und Schreiben dieser Gruppen in AD

   • Wenn dies eine lokale oder in IaaS gehostete Anwendung ist, die nicht in AD integriert ist, dann konfigurieren Sie die Bereitstellung für diese Anwendung entweder über SCIM oder in der zugrunde liegenden Datenbank oder im Verzeichnis der Anwendung.

     Anwendung unterstützt	Nächste Schritte
     SCIM	Konfigurieren Sie eine Anwendung mit dem Bereitstellungsagenten für lokale SCIM-basierte Anwendungen
     lokale Benutzerkonten, die in einer SQL-Datenbank gespeichert sind	Konfigurieren Sie eine Anwendung mit dem Bereitstellungsagenten für lokale SQL-basierte Anwendungen
     lokale Benutzerkonten, die in einem LDAP-Verzeichnis gespeichert sind	Konfigurieren Sie eine Anwendung mit dem Bereitstellungsagenten für lokale LDAP-basierte Anwendungen
     lokale Benutzerkonten, die über eine SOAP- oder REST-API verwaltet werden	Konfigurieren einer Anwendung mit dem Bereitstellungs-Agent mit dem Webdienstconnector
     lokale Benutzerkonten, verwaltet über einen MIM-Connector	Konfigurieren einer Anwendung mit dem Bereitstellungs-Agent mit einem benutzerdefinierten Connector
     SAP ECC mit NetWeaver AS ABAP 7.0 oder höher	Konfigurieren einer Anwendung mit dem Bereitstellungs-Agent mit einem SAP ECC-konfigurierten Webdienstconnector

6. Wenn Ihre Anwendung Microsoft Graph zum Abfragen von Gruppen aus Microsoft Entra ID verwendet, stimmen Sie den Anwendungen zu, um die entsprechenden Berechtigungen zum Lesen von Ihrem Mandanten zu haben.

7. Legen Sie fest, dass der Zugriff auf die Anwendung nur für Benutzer zulässig ist, die der Anwendung zugewiesen sind. Diese Einstellung verhindert, dass Benutzer die Anwendung in MyApps versehentlich anzeigen und versuchen, sich bei der Anwendung anzumelden, bevor Richtlinien für bedingten Zugriff aktiviert sind.

Führen Sie eine anfängliche Zugriffsüberprüfung aus

Wenn es sich um eine neue Anwendung handelt, die Ihre Organisation noch nicht verwendet hat, und daher niemand bereits Zugriff hat, oder wenn Sie bereits Zugriffsüberprüfungen für diese Anwendung durchgeführt haben, dann fahren Sie mit dem nächsten Abschnitt fort.

Wenn die Anwendung jedoch bereits in Ihrer Umgebung vorhanden war, ist es möglich, dass Benutzer in der Vergangenheit durch manuelle oder Out-of-Band-Prozesse Zugriff erhalten haben. Diese Benutzer sollten nun überprüft werden, um zu bestätigen, dass ihr Zugriff auch in Zukunft noch erforderlich und angemessen ist. Es wird empfohlen, eine Zugriffsüberprüfung der Benutzer durchzuführen, die bereits Zugriff auf die Anwendung haben, bevor Sie Richtlinien für mehr Benutzer aktivieren, um Zugriff anfordern zu können. Diese Überprüfung legt einen Basisplan aller Benutzer fest, die mindestens einmal überprüft wurden, um sicherzustellen, dass diese Benutzer für den fortgesetzten Zugriff autorisiert sind.

1. Führen Sie die Schritte unter Vorbereitung einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung - Azure AD aus.
2. Wenn die Anwendung nicht Microsoft Entra ID oder AD verwendet, aber ein Bereitstellungsprotokoll unterstützt oder über eine zugrunde liegende SQL- oder LDAP-Datenbank verfügt, binden Sie vorhandene Benutzer ein, und erstellen Sie Anwendungsrollenzuweisungen für sie.
3. Wenn die Anwendung nicht Microsoft Entra ID oder AD verwendet und kein Bereitstellungsprotokoll unterstützt, rufen Sie eine Liste der Benutzer aus der Anwendung ab, und erstellen Sie Anwendungsrollenzuweisungen für die einzelnen Benutzer.
4. Wenn die Anwendung AD-Sicherheitsgruppen verwendet hat, müssen Sie die Mitgliedschaft dieser Sicherheitsgruppen überprüfen.
5. Wenn die Anwendung über ein eigenes Verzeichnis oder eine eigene Datenbank verfügt hat und nicht für die Bereitstellung integriert wurde, müssen Sie nach Abschluss der Überprüfung möglicherweise die interne Datenbank oder das Verzeichnis der Anwendung manuell aktualisieren, um die abgelehnten Benutzer zu entfernen.
6. Wenn die Anwendung AD-Sicherheitsgruppen verwendet hat und diese Gruppen in AD erstellt wurden, müssen Sie nach Abschluss der Überprüfung die AD-Gruppen manuell aktualisieren, um Mitgliedschaften dieser abgelehnten Benutzer zu entfernen. Damit verweigerte Zugriffsrechte automatisch entfernt werden, können Sie anschließend die Anwendung entweder aktualisieren, um eine AD-Gruppe zu verwenden, die in Microsoft Entra ID erstellt und zurück in Microsoft Entra ID geschrieben wurde, oder die Mitgliedschaft aus der AD-Gruppe in die Microsoft Entra-Gruppe verschieben und die zurückgeschriebene Gruppe als einziges Mitglied der AD-Gruppe schachteln.
7. Nachdem die Überprüfung abgeschlossen und der Anwendungszugriff aktualisiert wurde, oder wenn keine Benutzer Zugriff haben, fahren Sie mit den nächsten Schritten fort, um Richtlinien für bedingten Zugriff und Berechtigungsverwaltung für die Anwendung bereitzustellen.

Nachdem Sie über einen Basisplan verfügen, der den vorhandenen Zugriff überprüft hat, können Sie die Richtlinien der Organisation für den laufenden Zugriff und alle neuen Zugriffsanforderungen bereitstellen.

Nächste Schritte

• Stellen Sie Governancerichtlinien bereit