Partage via

Intégration d’applications à l’ID Microsoft Entra et établissement d’une base de référence d’accès révisé

  • Article

Une fois que vous avez établi les stratégies pour qui doit avoir accès à une application, vous pouvez connecter votre application à Microsoft Entra ID, puis déployer les stratégies pour les gérer.

Microsoft Entra ID Governance peut être intégré à de nombreuses applications, notamment SAP R/3, SAP S/4HANA, et celles qui utilisent des normes telles que OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP et REST. Grâce à ces normes, vous pouvez utiliser Microsoft Entra ID avec de nombreuses applications SaaS populaires et applications locales, y compris les applications développées par votre organisation. Ce plan de déploiement explique comment connecter votre application à Microsoft Entra ID et activer les fonctionnalités de gouvernance des identités à utiliser pour cette application.

Pour que microsoft Entra ID Governance soit utilisé pour une application, l’application doit d’abord être intégrée à l’ID Microsoft Entra et représentée dans votre annuaire. Une application intégrée à l’ID Microsoft Entra signifie que l’une des deux exigences doit être remplie :

  • L’application s’appuie sur l’ID Microsoft Entra pour l’authentification unique fédérée et Microsoft Entra ID contrôle l’émission de jeton d’authentification. Si l’ID Microsoft Entra est le seul fournisseur d’identité pour l’application, seuls les utilisateurs affectés à l’un des rôles de l’application dans Microsoft Entra ID peuvent se connecter à l’application. Les utilisateurs qui perdent leur attribution de rôle d’application ne peuvent plus obtenir de nouveau jeton pour se connecter à l’application.
  • L’application s’appuie sur des listes d’utilisateurs ou de groupes fournies à l’application par l’ID Microsoft Entra. Ce traitement peut être effectué via un protocole d’approvisionnement tel que SCIM, par l’application interrogeant l’ID Microsoft Entra via Microsoft Graph ou l’application utilisant AD Kerberos pour obtenir les appartenances de groupe d’un utilisateur.

Si aucun de ces critères n’est rempli pour une application, par exemple lorsque l’application ne s’appuie pas sur l’ID Microsoft Entra, la gouvernance des identités peut toujours être utilisée. Toutefois, il peut y avoir des limitations en utilisant la gouvernance d'identité sans répondre aux critères. Par exemple, les utilisateurs qui ne figurent pas dans votre ID Microsoft Entra ou qui ne sont pas affectés aux rôles d’application dans l’ID Microsoft Entra ne seront pas inclus dans les révisions d’accès de l’application, tant que vous ne les affectez pas aux rôles d’application. Pour plus d'informations, consultez Préparation d'une révision de l'accès des utilisateurs à une application.

Intégrer l’application à l’ID Microsoft Entra pour garantir que seuls les utilisateurs autorisés peuvent accéder à l’application

L’intégration d’un processus d’application commence lorsque vous configurez cette application pour qu’elle s’appuie sur l’ID Microsoft Entra pour l’authentification utilisateur, avec une connexion de protocole d’authentification unique fédérée, puis ajoutez l’approvisionnement. Les protocoles les plus couramment utilisés pour l’authentification unique sont SAML et OpenID Connect. Vous pouvez en savoir plus sur les outils et le processus permettant de découvrir et migrer l’authentification d’application vers Microsoft Entra ID.

Ensuite, si l’application implémente un protocole d’approvisionnement, vous devez configurer l’ID Microsoft Entra pour approvisionner les utilisateurs dans l’application, afin que l’ID Microsoft Entra puisse signaler à l’application lorsqu’un utilisateur a reçu un accès ou que l’accès d’un utilisateur a été supprimé. Ces signaux d’approvisionnement permettent à l’application d’apporter des corrections automatiques, telles que la réaffectation du contenu créé par un employé qui a quitté son responsable.

  1. Vérifiez si votre application figure dans la liste des applications d’entreprise ou dans la liste des inscriptions d’applications. Si l'application est déjà présente dans votre locataire, passez directement à l'étape 5 de cette section.

  2. Si votre application est une application SaaS qui n’est pas déjà inscrite dans votre locataire, recherchez les applications disponibles dans la galerie d’applications qui peuvent être intégrées pour l’authentification unique fédérée. S’il se trouve dans la galerie, utilisez les didacticiels pour intégrer l’application à l’ID Microsoft Entra.

    1. Suivez le didacticiel pour configurer l’application pour l’authentification unique fédérée avec l’ID Microsoft Entra.
    2. Si l’application prend en charge le provisionnement, configurez l’application pour le provisionnement.
    3. Une fois terminé, passez à la section suivante de cet article. Si l’application SaaS n’est pas dans la galerie, demander au fournisseur SaaS d’intégrer.

  3. S’il s’agit d’une application privée ou personnalisée, vous pouvez également sélectionner une intégration d’authentification unique qui est la plus appropriée, en fonction de l’emplacement et des fonctionnalités de l’application.

    • Si cette application se trouve sur SAP BTP, configurez l’intégration de Microsoft Entra à SAP Cloud Identity Services. Pour plus d’informations, consultez Gestion de l’accès à SAP BTP.

    • Si cette application se trouve dans le cloud public et prend en charge l’authentification unique, configurez l’authentification unique directement à partir de l’ID Microsoft Entra vers l’application.

      Fonctionnalités prises en charge par l'application Étapes suivantes
      OpenID Connect Ajouter une application OAuth OpenID Connect
      SAML 2.0 Inscrire l’application et la configurer avec les points de terminaison SAML et le certificat de Microsoft Entra ID
      SAML 1.1 Ajouter une application SAML

    • S’il s’agit d’une application SAP qui utilise l’interface utilisateur graphique SAP, intégrez Microsoft Entra pour l’authentification unique à l’aide de l’intégration à SAP Secure Login Service ou de l'intégration à Microsoft Entra Private Access.

    • Sinon, s’il s’agit d’une application hébergée locale ou IaaS qui prend en charge l’authentification unique, configurez l’authentification unique à partir de l’ID Microsoft Entra pour l’application via le proxy d’application.

      Fonctionnalités de support de l'application Étapes suivantes
      SAML 2.0 Déployez le proxy d'application et configurez une application pour le SSO SAML .
      IWA (Integrated Windows Auth) Déployez le proxy d'application , configurez une application pour l'authentification intégrée Windows SSO , et définissez des règles de pare-feu pour empêcher l'accès aux points de terminaison de l'application, sauf via le proxy.
      Authentification basée sur l’en-tête Déployez le proxy d’application et configurez une application pour l’authentification unique basée sur l’en-tête .

  4. Si votre application se trouve sur SAP BTP, vous pouvez utiliser les groupes Microsoft Entra pour conserver l’appartenance à chaque rôle. Pour plus d’informations sur l’affectation des groupes aux collections de rôles BTP, consultez Gestion de l’accès à SAP BTP.

  5. Si votre application a plusieurs rôles, chaque utilisateur n’a qu’un seul rôle dans l’application et l’application s’appuie sur l’ID Microsoft Entra pour envoyer le rôle spécifique à l’application d’un utilisateur en tant que revendication d’un utilisateur se connectant à l’application, puis configurez ces rôles d’application dans Microsoft Entra ID sur votre application, puis affectez chaque utilisateur au rôle d’application. Vous pouvez utiliser l’interface utilisateur des rôles d’application pour ajouter ces rôles au manifeste de l’application. Si vous utilisez les bibliothèques d’authentification Microsoft, il existe un exemple de code pour savoir comment utiliser des rôles d’application à l’intérieur de votre application pour le contrôle d’accès. Si un utilisateur peut avoir plusieurs rôles simultanément, vous pouvez souhaiter mettre en œuvre l'application pour vérifier les groupes de sécurité dans les revendications de jetons ou ceux disponibles dans Microsoft Graph, au lieu d'utiliser les rôles d'application du manifeste de l'application pour le contrôle d'accès.

  6. Si l’application prend en charge le provisionnement, configurez le provisionnement des utilisateurs et des groupes affectés de Microsoft Entra ID vers cette application. S’il s’agit d’une application privée ou personnalisée, vous pouvez également sélectionner l’intégration la plus appropriée, en fonction de l’emplacement et des fonctionnalités de l’application.

    • Si cette application s’appuie sur SAP Cloud Identity Services, configurez l’approvisionnement d’utilisateurs via SCIM dans SAP Cloud Identity Services.

      L’application prend en charge Étapes suivantes
      SAP Cloud Identity Services Configurer l’ID Microsoft Entra pour fournir des utilisateurs dans les services SAP Cloud Identity

    • Si cette application se trouve dans le cloud public et prend en charge SCIM, configurez l’approvisionnement des utilisateurs via SCIM.

      Fonctionnalités de l'application Étapes suivantes
      SCIM Configurer une application avec SCIM pour l’approvisionnement d’utilisateurs

    • Si cette application utilise AD, configurez l’écriture différée de groupe et mettez à jour l’application pour utiliser les groupes créés par l’ID Microsoft Entra ou imbriquez les groupes créés par l’ID Microsoft Entra dans les groupes de sécurité AD existants des applications.

      Support de l'application Étapes suivantes
      Kerberos Configurer la réécriture de groupe Microsoft Entra Cloud Sync dans AD, créer des groupes dans Microsoft Entra ID et écrire ces groupes dans AD

    • Sinon, s’il s’agit d’une application hébergée localement ou IaaS et n’est pas intégrée à AD, configurez l’approvisionnement sur cette application, via SCIM ou vers la base de données ou le répertoire sous-jacent de l’application.

      L’application prend en charge Étapes suivantes
      SCIM configurer une application avec l’agent d’approvisionnement pour les applications SCIM locales
      comptes d’utilisateur locaux, stockés dans une base de données SQL configurer une application avec l’agent d’approvisionnement pour les applications SQL locales
      comptes d’utilisateur locaux, stockés dans un annuaire LDAP configurer une application avec l’agent d’approvisionnement pour les applications LDAP locales
      comptes d’utilisateur locaux, gérés par le biais d’une API SOAP ou REST configurer une application avec l’agent d’approvisionnement avec le connecteur de services web
      comptes d’utilisateur locaux, gérés par le biais d’un connecteur MIM configurer une application avec l’agent d’approvisionnement avec un connecteur personnalisé
      SAP ECC avec NetWeaver AS ABAP 7.0 ou version ultérieure configurer une application avec l’agent d’approvisionnement avec un connecteur de services web configuré SAP ECC

  7. Si votre application utilise Microsoft Graph pour interroger des groupes à partir de Microsoft Entra ID, consentez à ce que les applications disposent des autorisations appropriées pour lire à partir de votre locataire.

  8. Définissez cet accès à l’application n’est autorisé que pour les utilisateurs affectés à l’application. Ce paramètre empêche les utilisateurs de voir par inadvertance l’application dans MyApps et de tenter de se connecter à l’application, avant l’activation des stratégies d’accès conditionnel.

Effectuer une révision d’accès initiale

S’il s’agit d’une nouvelle application que votre organisation n’a pas utilisée précédemment et qu’il n’y a donc pas d’accès préexistant ou si vous avez déjà effectué des révisions d’accès pour cette application, passez à la section suivante.

Toutefois, si l’application était déjà dans votre environnement, les utilisateurs ont peut-être obtenu l’accès par le passé via des processus manuels ou hors bande. Vous devez passer en revue ces utilisateurs pour confirmer que leur accès est toujours nécessaire et approprié. Nous vous recommandons d’effectuer une révision d’accès des utilisateurs qui ont déjà accès à l’application, avant d’activer les stratégies pour que d’autres utilisateurs puissent demander l’accès. Cette révision définit une base de référence dans laquelle tous les utilisateurs sont examinés au moins une fois pour s’assurer qu’ils sont autorisés à accéder à la suite.

  1. Suivez les étapes décrites dans Préparation d'une revue de l'accès des utilisateurs à une application.
  2. Si l’application n’utilisait pas Microsoft Entra ID ou AD, mais qu’elle prend en charge un protocole d’approvisionnement ou qu’elle avait une base de données SQL ou LDAP sous-jacente, intégrez les utilisateurs existants et créez des attributions de rôles d’application pour eux.
  3. Si l’application n’utilise pas Microsoft Entra ID ou AD et ne prend pas en charge un protocole d’approvisionnement, obtenez une liste d’utilisateurs à partir de l’application et créez des attributions de rôles d’application pour chacun d’eux.
  4. Si l’application utilisait des groupes de sécurité AD, vous devez passer en revue l’appartenance à ces groupes de sécurité.
  5. Si l’application a son propre répertoire ou base de données et n’a pas été intégrée pour l’approvisionnement, une fois la révision terminée, vous devrez peut-être mettre à jour manuellement la base de données interne ou l’annuaire de l’application pour supprimer les utilisateurs qui ont été refusés.
  6. Si l’application utilise des groupes de sécurité AD et que ces groupes ont été créés dans AD, une fois la révision terminée, vous devez mettre à jour manuellement les groupes AD pour supprimer les appartenances de ces utilisateurs qui ont été refusés. Par la suite, pour que les droits d’accès refusés soient supprimés automatiquement, vous pouvez mettre à jour l’application pour qu’elle utilise un groupe AD créé dans Microsoft Entra ID et réécrit dans Microsoft Entra ID ou déplacer l’appartenance du groupe AD vers le groupe Microsoft Entra et imbriquer le groupe réécrit comme seul membre du groupe AD.
  7. Une fois la révision terminée et l’accès à l’application mis à jour, ou si aucun utilisateur n’a accès, passez aux étapes suivantes pour déployer des stratégies de gestion de l’accès conditionnel et des droits d’utilisation pour l’application.

Maintenant que vous disposez d’une base de référence qui garantit que l’accès existant a été examiné, vous pouvez déployer les stratégies de l’organisation pour l’accès continu et toutes les nouvelles demandes d’accès.

Étapes suivantes