Toepassingen integreren met Microsoft Entra-id en een basislijn voor gecontroleerde toegang tot stand brengen

Nadat u het beleid hebt ingesteld voor wie toegang moet hebben tot een toepassing, kunt u uw toepassing verbinden met Microsoft Entra ID en vervolgens het beleid implementeren voor het beheren van toegang tot deze toepassingen.

Microsoft Entra ID Governance kan worden geïntegreerd met veel toepassingen, waaronder SAP R/3, SAP S/4HANA, en die gebruikmaken van standaarden zoals OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP en REST. Via deze standaarden kunt u Microsoft Entra ID gebruiken met veel populaire SaaS-toepassingen en on-premises toepassingen, inclusief toepassingen die uw organisatie heeft ontwikkeld. In dit implementatieplan wordt beschreven hoe u uw toepassing verbindt met Microsoft Entra ID en waarmee identiteitsbeheerfuncties voor die toepassing kunnen worden gebruikt.

Om Microsoft Entra ID Governance te kunnen gebruiken voor een toepassing, moet de toepassing eerst worden geïntegreerd met Microsoft Entra-id en worden weergegeven in uw directory. Een toepassing die wordt geïntegreerd met Microsoft Entra ID betekent dat aan een van de volgende twee vereisten moet worden voldaan:

• De toepassing is afhankelijk van Microsoft Entra ID voor federatieve eenmalige aanmelding en Microsoft Entra ID bepaalt de uitgifte van verificatietoken. Als Microsoft Entra ID de enige id-provider voor de toepassing is, kunnen alleen gebruikers die zijn toegewezen aan een van de rollen van de toepassing in Microsoft Entra ID zich aanmelden bij de toepassing. Gebruikers die hun roltoewijzing van de toepassing verliezen, kunnen geen nieuw token meer krijgen om zich aan te melden bij de toepassing.
• De toepassing is afhankelijk van gebruikers- of groepslijsten die door Microsoft Entra-id aan de toepassing worden verstrekt. Deze uitvoering kan worden uitgevoerd via een inrichtingsprotocol, zoals SCIM, door de toepassing die microsoft Entra-id opvraagt via Microsoft Graph of de toepassing die AD Kerberos gebruikt om groepslidmaatschappen van een gebruiker te verkrijgen.

Als aan geen van deze criteria wordt voldaan voor een toepassing, bijvoorbeeld wanneer de toepassing niet afhankelijk is van Microsoft Entra-id, kan identiteitsbeheer nog steeds worden gebruikt. Er kunnen echter enkele beperkingen zijn bij het gebruik van identiteitsbeheer zonder aan de criteria te voldoen. Gebruikers die zich niet in uw Microsoft Entra-id bevinden of die niet zijn toegewezen aan de toepassingsrollen in Microsoft Entra ID, worden bijvoorbeeld niet opgenomen in toegangsbeoordelingen van de toepassing totdat u ze toewijst aan de toepassingsrollen. Zie Voorbereiden voor een toegangsbeoordeling van de toegang van gebruikers tot een toepassingvoor meer informatie.

Integreer de toepassing met Microsoft Entra ID om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de toepassing

De integratie van een toepassingsproces begint wanneer u die toepassing configureert om te vertrouwen op Microsoft Entra-id voor gebruikersverificatie, met een federatieve eenmalige aanmeldingsprotocolverbinding (SSO) en vervolgens inrichting toe te voegen. De meestgebruikte protocollen voor eenmalige aanmelding zijn SAML- en OpenID Connect-. Meer informatie over de hulpprogramma's en het proces voor het detecteren en migreren van toepassingsverificatie naar Microsoft Entra ID.

Als de toepassing vervolgens een inrichtingsprotocol implementeert, moet u de Microsoft Entra-id configureren om gebruikers in te richten voor de toepassing, zodat Microsoft Entra-id de toepassing kan signaleren wanneer een gebruiker toegang heeft gekregen of de toegang van een gebruiker is verwijderd. Met deze inrichtingssignalen kan de toepassing automatische correcties aanbrengen, zoals het opnieuw toewijzen van inhoud die is gemaakt door een werknemer die aan zijn manager is overgelaten.

1. Controleer of uw toepassing voorkomt in de lijst met bedrijfstoepassingen of lijst met app-registraties. Als de toepassing al aanwezig is in uw tenant, slaat u door naar stap 5 in dit onderdeel.

2. Als uw toepassing een SaaS-toepassing is die nog niet is geregistreerd in uw tenant, controleer op beschikbare toepassingen in de toepassingsgalerie die kunnen worden geïntegreerd voor federatieve SSO. Als het zich in de galerij bevindt, gebruik dan de tutorials om de toepassing te integreren met Microsoft Entra ID.

   1. Volg de handleiding om de toepassing te configureren voor federatieve Single Sign-On met Microsoft Entra ID.
   2. als de toepassing ondersteuning biedt voor inrichting, de toepassing configureren voor het inrichten van.
   3. Als u klaar bent, gaat u verder met de volgende sectie in dit artikel. Als de SaaS-toepassing zich niet in de galerie bevindt, de SaaS-leverancier vragen omte onboarden.

3. Als dit een persoonlijke of aangepaste toepassing is, kunt u ook een integratie met eenmalige aanmelding selecteren die het meest geschikt is, op basis van de locatie en mogelijkheden van de toepassing.

   • Als deze toepassing zich op SAP BTP bevindt, configureert u Microsoft Entra-integratie met SAP Cloud Identity Services. Zie Toegang tot SAP BTP-beheren voor meer informatie.

   • Als deze toepassing zich in de openbare cloud bevindt en eenmalige aanmelding ondersteunt, configureert u eenmalige aanmelding rechtstreeks vanuit Microsoft Entra ID naar de toepassing.

     Toepassing ondersteunt	Volgende stappen
     OpenID Connect	Een OpenID Connect OAuth-toepassing toevoegen
     SAML 2.0	Registreer de toepassing en configureer de toepassing met de SAML-eindpunten en het certificaat van Microsoft Entra ID
     SAML 1.1	een op SAML gebaseerde toepassing toevoegen

   • Als dit een SAP-toepassing is die gebruikmaakt van de SAP-GUI, integreert u Microsoft Entra voor eenmalige aanmelding met behulp van de -integratie met SAP Secure Login Service of -integratie met Microsoft Entra Private Access.

   • Als dit anders een on-premises of iaaS-gehoste toepassing is die ondersteuning biedt voor eenmalige aanmelding, configureert u eenmalige aanmelding van Microsoft Entra-id naar de toepassing via de toepassingsproxy.

     Toepassing ondersteunt	Volgende stappen
     SAML 2.0	Implementeer de toepassingsproxy en configureer een toepassing voor SAML SSO-
     Geïntegreerde Windows-verificatie (IWA)	Implementeer de toepassingsproxy, configureer een toepassing voor Geïntegreerde Windows-authenticatie SSOen stel firewallregels in zodat de toegang tot de eindpunten van de toepassing uitsluitend via de proxy plaatsvindt.
     verificatie op basis van headers	Implementeer de toepassingsproxy en configureer een toepassing voor op headers gebaseerde Single Sign-On

4. Als uw toepassing zich op SAP BTP bevindt, kunt u Microsoft Entra-groepen gebruiken om het lidmaatschap van elke rol te behouden. Zie Toegang tot SAP BTP-beheren voor meer informatie over het toewijzen van de groepen aan de BTP-rolverzamelingen.

5. Als uw toepassing meerdere rollen heeft, heeft elke gebruiker slechts één rol in de toepassing en is de toepassing afhankelijk van Microsoft Entra-id om de rol voor één toepassingsspecifieke gebruiker te verzenden als claim van een gebruiker die zich aanmeldt bij de toepassing, configureert u die app-rollen in Microsoft Entra ID op uw toepassing en wijst u vervolgens elke gebruiker toe aan de toepassingsrol. U kunt de gebruikersinterface voor app-rollen gebruiken om deze rollen toe te voegen aan het toepassingsmanifest. Als u de Microsoft-verificatiebibliotheken gebruikt, is er een codevoorbeeld voor het gebruik van app-rollen in uw toepassing voor toegangsbeheer. Als een gebruiker meerdere rollen tegelijk kan hebben, kunt u de toepassing implementeren om beveiligingsgroepen te controleren, in de tokenclaims of beschikbaar via Microsoft Graph, in plaats van app-rollen te gebruiken vanuit het app-manifest voor toegangsbeheer.

6. Als de toepassing ondersteuning biedt voor het inrichten, inrichting configureren van toegewezen gebruikers en groepen vanuit Microsoft Entra ID voor die toepassing. Als dit een persoonlijke of aangepaste toepassing is, kunt u ook de integratie selecteren die het meest geschikt is, op basis van de locatie en mogelijkheden van de toepassing.

   • Als deze toepassing afhankelijk is van SAP Cloud Identity Services, configureert u het inrichten van gebruikers via SCIM in SAP Cloud Identity Services.

     De toepassing ondersteunt	Volgende stappen
     SAP Cloud Identity Services	Microsoft Entra-id configureren voor het inrichten van gebruikers in SAP Cloud Identity Services

   • Als deze toepassing zich in de openbare cloud bevindt en SCIM ondersteunt, configureert u het inrichten van gebruikers via SCIM.

     Toepassing ondersteunt	Volgende stappen
     SCIM (Systeem voor Cross-domein Identiteitsbeheer)	Een toepassing configureren met SCIM-voor het inrichten van gebruikers

   • Als deze toepassing gebruikmaakt van AD, configureert u het terugschrijven van groepen en werkt u de toepassing bij om de door Microsoft Entra ID gemaakte groepen te gebruiken of nestt u de door Microsoft Entra ID gemaakte groepen in de bestaande AD-beveiligingsgroepen van de toepassingen.

     Applicatie ondersteunt	Volgende stappen
     Kerberos	Microsoft Entra Cloud Sync configureren groepsschrijfback naar AD-, groepen maken in Microsoft Entra ID en die groepen naar AD schrijven

   • Als dit een on-premises of IaaS-gehoste toepassing is en niet is geïntegreerd met AD, configureer dan de voorzieningen voor die toepassing, hetzij via SCIM of naar de onderliggende database of map van de toepassing.

     Applicatie ondersteunt	Volgende stappen
     SCIM	een toepassing configureren met de inrichtingsagent voor on-premises toepassingen gebaseerd op SCIM
     lokale gebruikersaccounts, opgeslagen in een SQL-database	een toepassing configureren met de inrichtingsagent voor on-premises SQL-toepassingen
     lokale gebruikersaccounts, opgeslagen in een LDAP-directory	een applicatie configureren met de provisioning-agent voor on-premises LDAP-toepassingen
     lokale gebruikersaccounts, beheerd via een SOAP- of REST API	een toepassing configureren met de voorzieningsagent en de webserviceconnector
     lokale gebruikersaccounts, beheerd via een MIM-connector	De toepassing configureren met de voorzieningsagent en een aangepaste connector.
     SAP ECC met NetWeaver AS ABAP 7.0 of hoger	een toepassing configureren met de inrichtingsagent met een door SAP ECC geconfigureerde webserviceconnector

7. Als uw toepassing Gebruikmaakt van Microsoft Graph om query's uit te voeren op groepen van Microsoft Entra-id, toestemming voor de toepassingen om de juiste machtigingen te hebben om te lezen uit uw tenant.

8. Instellen dat toegang tot de toepassing alleen is toegestaan voor gebruikers die zijn toegewezen aan de toepassing. Met deze instelling voorkomt u dat gebruikers per ongeluk de toepassing in MyApps zien en proberen zich aan te melden bij de toepassing, voordat beleid voor voorwaardelijke toegang wordt ingeschakeld.

Een eerste toegangsbeoordeling uitvoeren

Als dit een nieuwe toepassing is die uw organisatie nog niet eerder heeft gebruikt en dus niemand al bestaande toegang heeft, of als u al toegangsbeoordelingen voor deze toepassing hebt uitgevoerd, gaat u verder met de volgende sectie.

Als de toepassing zich echter al in uw omgeving bevond, hebben gebruikers mogelijk in het verleden toegang gekregen via handmatige of out-of-band-processen. Controleer deze gebruikers om te controleren of hun toegang nog steeds nodig en passend is. Het is raadzaam om een toegangsbeoordeling uit te voeren van de gebruikers die al toegang hebben tot de toepassing, voordat u beleid inschakelt voor meer gebruikers om toegang te kunnen aanvragen. Met deze beoordeling wordt een basislijn ingesteld waarbij alle gebruikers ten minste één keer worden gecontroleerd om ervoor te zorgen dat ze gemachtigd zijn voor continue toegang.

1. Volg de stappen in Voorbereiden op een toegangsbeoordeling van de toegang van gebruikers tot een toepassing.
2. Als de toepassing niet gebruikmaakt van Microsoft Entra ID of AD, maar wel een inrichtingsprotocol ondersteunt of een onderliggende SQL- of LDAP-database heeft, brengt u bestaande gebruikers binnen en maakt u toepassingsroltoewijzingen voor hen.
3. Als de toepassing geen Microsoft Entra-id of AD gebruikte en geen ondersteuning biedt voor een inrichtingsprotocol, een lijst met gebruikers ophalen uit de toepassing en toepassingsroltoewijzingen maken voor elk van hen.
4. Als de toepassing AD-beveiligingsgroepen gebruikte, moet u het lidmaatschap van deze beveiligingsgroepen controleren.
5. Als de toepassing een eigen map of database heeft en niet is geïntegreerd voor het inrichten, moet u mogelijk de interne database of map van de toepassing handmatig bijwerken om deze gebruikers te verwijderen die zijn geweigerd nadat de beoordeling is voltooid.
6. Als de toepassing GEBRUIKMAAKT van AD-beveiligingsgroepen en deze groepen zijn gemaakt in AD, moet u, zodra de beoordeling is voltooid, de AD-groepen handmatig bijwerken om lidmaatschappen te verwijderen van gebruikers die zijn geweigerd. Als u de toegangsrechten vervolgens automatisch wilt verwijderen, kunt u de toepassing bijwerken om een AD-groep te gebruiken die is gemaakt in Microsoft Entra-id en teruggeschreven naar Microsoft Entra ID, of het lidmaatschap van de AD-groep verplaatsen naar de Microsoft Entra-groep en de teruggeschreven groep nesten als het enige lid van de AD-groep.
7. Zodra de beoordeling is voltooid en de toegang tot de toepassing is bijgewerkt of als er geen gebruikers toegang hebben, gaat u verder met de volgende stappen om beleid voor voorwaardelijke toegang en rechtenbeheer voor de toepassing te implementeren.

Nu u een basislijn hebt die ervoor zorgt dat bestaande toegang is gecontroleerd, kunt u het beleid van de organisatie implementeren voor doorlopende toegang en eventuele nieuwe toegangsaanvragen.

Volgende stappen

• Governancebeleid implementeren