Integración de aplicaciones con el identificador de Entra de Microsoft y establecimiento de una línea base de acceso revisado

Una vez que haya establecido las directivas para quién debe tener acceso a una aplicación, puede conectar la aplicación a microsoft Entra ID y, a continuación, implementar las directivas para gobernar el acceso a ellas.

La gobernanza de identificadores de Entra de Microsoft se puede integrar con muchas aplicaciones, como SAP R/3, SAP S/4HANA y aquellos que usan estándares como OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP y REST. A través de estos estándares, puede usar Microsoft Entra ID con muchas aplicaciones SaaS populares y aplicaciones locales, incluidas las aplicaciones desarrolladas por su organización. Este plan de implementación explica cómo conectar la aplicación a Microsoft Entra ID y habilitar las características de gobernanza de identidades que se usarán para esa aplicación.

Para que la gobernanza de identificadores de Entra de Microsoft se use para una aplicación, la aplicación debe integrarse primero con el identificador de Entra de Microsoft y representarse en el directorio. Una aplicación que se integra con el identificador de Entra de Microsoft significa que se debe cumplir uno de los dos requisitos:

• La aplicación se basa en el identificador de Microsoft Entra para el inicio de sesión único federado y el identificador de Microsoft Entra controla la emisión de tokens de autenticación. Si Microsoft Entra ID es el único proveedor de identidades de la aplicación, solo los usuarios asignados a uno de los roles de la aplicación en el identificador de Microsoft Entra pueden iniciar sesión en la aplicación. Los usuarios que pierden su asignación de roles de aplicación ya no pueden obtener un nuevo token para iniciar sesión en la aplicación.
• La aplicación se basa en listas de usuarios o grupos que microsoft Entra ID proporciona a la aplicación. Este cumplimiento se puede realizar mediante un protocolo de aprovisionamiento como SCIM, mediante la aplicación de consultas a Microsoft Entra ID con Microsoft Graph o la aplicación mediante Kerberos de AD para obtener las pertenencias a grupos de un usuario.

Si ninguno de esos criterios se cumple para una aplicación, por ejemplo, cuando la aplicación no se basa en el identificador de Entra de Microsoft, todavía se puede usar la gobernanza de identidades. Sin embargo, puede haber algunas limitaciones en el uso de la gobernanza de identidades sin cumplir los criterios. Por ejemplo, los usuarios que no están en Microsoft Entra ID o que no están asignados a los roles de aplicación en Microsoft Entra ID no se incluirán en las revisiones de acceso de la aplicación hasta que los asigne a dichos roles. Para más información, consulte Preparación de una revisión de acceso para el acceso de los usuarios a una aplicación.

Integrar la aplicación con el identificador de Entra de Microsoft para asegurarse de que solo los usuarios autorizados puedan acceder a la aplicación.

La integración de un proceso de aplicación comienza cuando configuras esa aplicación para que dependa de Microsoft Entra ID para la autenticación de usuarios, con una conexión de protocolo de inicio de sesión único (SSO) federado, y luego agregar el aprovisionamiento. Los protocolos más usados para el inicio de sesión único son SAML y OpenID Connect. Puede obtener más información sobre las herramientas y el proceso para detectar y migrar la autenticación de aplicaciones a Microsoft Entra ID.

A continuación, si la aplicación implementa un protocolo de aprovisionamiento, debe configurar microsoft Entra ID para aprovisionar usuarios a la aplicación, de modo que microsoft Entra ID pueda indicar a la aplicación cuando se haya concedido acceso a un usuario o se haya quitado el acceso de un usuario. Estas señales de aprovisionamiento permiten a la aplicación realizar correcciones automáticas, como reasignar el contenido creado por un empleado que ha salido de la empresa a su gerente.

1. Compruebe si la aplicación está en la lista de aplicaciones empresariales o lista de registros de aplicaciones. Si la aplicación ya existe en el inquilino, vaya al paso 5 de esta sección.

2. Si la aplicación es una aplicación SaaS que aún no está registrada en el inquilino, compruebe si hay aplicaciones disponibles en la galería de aplicaciones que se pueden integrar para el inicio de sesión único federado. Si está en la galería, use los tutoriales para integrar la aplicación con el identificador de Entra de Microsoft.

   1. Siga el tutorial para configurar la aplicación para SSO (inicio de sesión único) federado con Microsoft Entra ID.
   2. Si la aplicación admite aprovisionamiento, configure la aplicación para el aprovisionamiento.
   3. Cuando haya finalizado, vaya a la sección siguiente de este artículo. Si la aplicación SaaS no está en la galería, pida al proveedor de SaaS que incorpore.

3. Si se trata de una aplicación privada o personalizada, también puede seleccionar una integración de inicio de sesión único que sea más adecuada, en función de la ubicación y las funcionalidades de la aplicación.

   • Si esta aplicación está en SAP Business Technology Platform (BTP), configure la integración de Microsoft Entra con SAP Cloud Identity Services. Para obtener más información, consulte Integración de SSO de Microsoft Entra con SAP BTP y Administración del acceso a SAP BTP.

   • Si esta aplicación está en la nube pública y admite el inicio de sesión único, configure el inicio de sesión único directamente desde Microsoft Entra ID a la aplicación.

     Compatibilidad con aplicaciones	Pasos siguientes
     OpenID Connect	Agregar una aplicación OAuth de OpenID Connect
     SAML 2.0	Registrar y configurar la aplicación con los puntos de conexión SAML y el certificado de Microsoft Entra ID
     SAML 1.1	Agregar una aplicación basada en SAML

   • Si se trata de una aplicación SAP que usa la GUI de SAP, integre Microsoft Entra para el inicio de sesión único mediante la integración de con el SAP Secure Login Service o la integración de con Microsoft Entra Private Access.

   • De lo contrario, si se trata de una aplicación hospedada de IaaS o local que admite el inicio de sesión único, configure el inicio de sesión único de Microsoft Entra ID en la aplicación a través del proxy de aplicación.

     Compatibilidad con aplicaciones	Pasos siguientes
     SAML 2.0	Implementar el proxy de aplicación y configurar una aplicación para el inicio de sesión único de SAML
     Autenticación integrada de Windows (IWA)	Implemente el proxy de aplicación , configure una aplicación para el SSO de autenticación de Windows integrada , y establezca reglas de firewall para impedir el acceso a los puntos de conexión de la aplicación, excepto a través del proxy.
     autenticación basada en encabezados	Implementar el proxy de aplicación y configurar una aplicación para el inicio de sesión único basado en encabezados

4. Si la aplicación está en SAP BTP, puede usar grupos de Microsoft Entra para mantener la pertenencia de cada rol. Para obtener más información sobre cómo asignar los grupos a las colecciones de roles de BTP, consulte Administración del acceso a SAP BTP.

5. Si tu aplicación tiene varios roles y cada usuario posee solo un rol dentro de la aplicación, y si la aplicación depende de Microsoft Entra ID para enviar el rol específico de la aplicación de un usuario como declaración al iniciar sesión en la aplicación, entonces configura esos roles de aplicación en Microsoft Entra ID en tu aplicación y luego asigna a cada usuario al rol de aplicación correspondiente. Puede usar la interfaz de usuario de roles de aplicación para agregar esos roles al manifiesto de aplicación. Si usa las bibliotecas de autenticación de Microsoft, hay un ejemplo de código para usar roles de aplicación dentro de la aplicación para el control de acceso. Si un usuario podría tener varios roles simultáneamente, es posible que quiera implementar la aplicación para comprobar los grupos de seguridad, ya sea en las notificaciones de token o disponibles a través de Microsoft Graph, en lugar de usar roles de aplicación desde el manifiesto de aplicación para el control de acceso.

6. Si la aplicación admite aprovisionamiento, configure el aprovisionamiento de los usuarios y grupos asignados de Microsoft Entra ID en esa aplicación. Si se trata de una aplicación privada o personalizada, también puede seleccionar la integración más adecuada, en función de la ubicación y las funcionalidades de la aplicación.

   • Si esta aplicación se basa en SAP Cloud Identity Services, configure el aprovisionamiento de usuarios a través de SCIM en SAP Cloud Identity Services.

     Compatibilidad con aplicaciones	Pasos siguientes
     SAP Cloud Identity Services	Configurar el identificador de Entra de Microsoft para aprovisionar usuarios en SAP Cloud Identity Services

   • Si esta aplicación está en la nube pública y admite SCIM, configure el aprovisionamiento de usuarios a través de SCIM.

     Compatibilidad con aplicaciones	Pasos siguientes
     SCIM	Configurar una aplicación con SCIM para el aprovisionamiento de usuarios

   • Si esta aplicación usa AD, configure la devolución de grupo y actualice la aplicación para que utilice los grupos creados por Microsoft Entra ID, o bien inserte los grupos creados por Microsoft Entra ID en los grupos de seguridad AD existentes de la aplicación.

     Compatibilidad con aplicaciones	Pasos siguientes
     Kerberos	Configurar Microsoft Entra Cloud Sync escritura diferida de grupos en AD, crear grupos en el identificador de Microsoft Entra y escribir esos grupos en AD

   • De lo contrario, si se trata de una aplicación hospedada local o IaaS, y no está integrada con AD, configure el aprovisionamiento en esa aplicación, ya sea a través de SCIM o en la base de datos o directorio subyacente de la aplicación.

     Compatibilidad con aplicaciones	Pasos siguientes
     SCIM	Configurar una aplicación con el agente de aprovisionamiento para aplicaciones basadas en SCIM local
     cuentas de usuario locales, almacenadas en una base de datos SQL	configurar una aplicación con el agente de aprovisionamiento de para aplicaciones locales basadas en SQL
     cuentas de usuario locales, almacenadas en un directorio LDAP	configurar una aplicación con el agente de aprovisionamiento de para aplicaciones locales basadas en LDAP
     cuentas de usuario locales, administradas a través de una API DE SOAP o REST	configurar una aplicación con el agente de aprovisionamiento y el conector de servicios web
     cuentas de usuario locales, administradas a través de un conector MIM	Configurar una aplicación con el agente de aprovisionamiento con un conector personalizado
     SAP ECC con NetWeaver AS ABAP 7.0 o posterior	Configurar una aplicación con el agente de aprovisionamiento y un conector de servicios web para SAP ECC configurado.

7. Si la aplicación usa Microsoft Graph para consultar grupos de Microsoft Entra ID, otorgue su consentimiento a las aplicaciones para que tengan los permisos adecuados para leer desde el inquilino.

8. Establezca que el acceso a la aplicación solo está permitido para los usuarios asignados a la aplicación. Esta configuración impide que los usuarios vean accidentalmente la aplicación en MyApps e intenten iniciar sesión en la aplicación, antes de habilitar las directivas de acceso condicional.

Realización de una revisión de acceso inicial

Si se trata de una nueva aplicación que la organización no ha usado antes y, por lo tanto, nadie tiene acceso preexistente; o si ya se han realizado revisiones de acceso para esta aplicación, salte a la sección siguiente.

Sin embargo, si la aplicación ya estaba en su entorno, es posible que los usuarios hayan obtenido acceso en el pasado a través de procesos manuales o fuera de banda. Debe revisar esos usuarios para confirmar que su acceso sigue siendo necesario y adecuado. Se recomienda realizar una revisión de acceso de los usuarios que ya tienen acceso a la aplicación, antes de habilitar directivas para que más usuarios puedan solicitar acceso. Esta revisión establece una línea base en la que todos los usuarios se revisan al menos una vez para asegurarse de que están autorizados para el acceso continuo.

1. Siga los pasos descritos en Preparación para una revisión del acceso de los usuarios a una aplicación.
2. Si la aplicación no usaba Microsoft Entra ID o AD, pero admite un protocolo de aprovisionamiento o tenía una base de datos SQL o LDAP subyacente, incorpore cualquier usuario existente y cree asignaciones de roles de aplicación para él.
3. Si la aplicación no usara Microsoft Entra ID o AD y no admitiera un protocolo de aprovisionamiento, obtenga una lista de usuarios de la aplicación y cree asignaciones de roles de la aplicación para cada uno de ellos.
4. Si la aplicación usaba grupos de seguridad de AD, debe revisar la pertenencia de esos grupos de seguridad.
5. Si la aplicación tenía su propio directorio o base de datos y no se integraba para el aprovisionamiento, una vez completada la revisión, es posible que tenga que actualizar manualmente la base de datos o directorio interno de la aplicación para quitar los usuarios denegados.
6. Si la aplicación usaba grupos de seguridad de AD y esos grupos se crearon en AD, una vez completada la revisión, deberá actualizar manualmente los grupos de AD para quitar las pertenencias de los usuarios denegados. Posteriormente, para que los derechos de acceso denegados se quiten automáticamente,puede actualizar la aplicación para utilizar un grupo de AD que fue creado en Microsoft Entra ID y volver a escribir en Microsoft Entra ID, o mover la pertenencia del grupo de AD al grupo de Microsoft Entra yanidar el grupo escrito como el único miembro del grupo de AD.
7. Una vez completada la revisión y actualizado el acceso a la aplicación, o si ningún usuario tiene acceso, continúe con los pasos siguientes para implementar directivas de administración de derechos y acceso condicional para la aplicación.

Ahora que tiene una línea base que garantiza que se ha revisado el acceso existente, puede implementar las directivas de la organización para el acceso continuo y las nuevas solicitudes de acceso.

Pasos siguientes

• Implementación de directivas de gobernanza