Zarządzanie dostępem do aplikacji
Zintegrowanie aplikacji z systemem tożsamości organizacji wiąże się z wyzwaniami w zakresie zarządzania dostępem, oceny użycia i raportowania. Administratorzy IT lub pracownicy działu pomocy technicznej zwykle muszą nadzorować dostęp do aplikacji. Przypisanie dostępu może należeć do ogólnego lub dzielnego zespołu IT, ale w idealnym przypadku osoby podejmujące decyzje biznesowe powinny być zaangażowane, udzielając zatwierdzenia przed ukończeniem procesu przez dział IT.
Inne organizacje inwestują w integrację z istniejącym zautomatyzowanym systemem zarządzania tożsamościami i dostępem, takimi jak kontrola dostępu oparta na rolach (RBAC) lub kontrola dostępu oparta na atrybutach (ABAC). Zarówno integracja, jak i opracowywanie reguł zwykle są wyspecjalizowane i kosztowne. Monitorowanie lub raportowanie podejścia do zarządzania ma własne oddzielne, kosztowne i złożone inwestycje.
Jak pomoc dotycząca identyfikatora Entra firmy Microsoft?
Microsoft Entra ID obsługuje rozbudowane zarządzanie dostępem dla skonfigurowanych aplikacji, umożliwiając organizacjom łatwe osiągnięcie odpowiednich zasad dostępu, począwszy od automatycznego przypisywania opartego na atrybutach (ABAC lub RBAC) za pośrednictwem delegowania i w tym zarządzania administratorami. Dzięki identyfikatorowi Entra firmy Microsoft można łatwo osiągnąć złożone zasady, łącząc wiele modeli zarządzania dla jednej aplikacji, a nawet ponownie używać reguł zarządzania w aplikacjach z tymi samymi odbiorcami.
Dzięki funkcji Microsoft Entra ID raportowanie użycia i przypisania jest w pełni zintegrowane, dzięki czemu administratorzy mogą łatwo zgłaszać stan przypisania, błędy przypisania, a nawet użycie.
Przypisywanie użytkowników i grup do aplikacji
Przypisanie aplikacji Microsoft Entra koncentruje się na dwóch podstawowych trybach przypisywania:
Przypisanie indywidualne Administrator IT z uprawnieniami administratora aplikacji w chmurze katalogu może wybrać poszczególne konta użytkowników i przyznać im dostęp do aplikacji.
Przypisanie oparte na grupach (wymaga identyfikatora Microsoft Entra ID P1 lub P2) Administrator IT z uprawnieniami aplikacji w chmurze katalogu może przypisać grupę do aplikacji. Określony dostęp użytkowników zależy od tego, czy są członkami grupy podczas próby uzyskania dostępu do aplikacji. Innymi słowy, administrator może skutecznie utworzyć regułę przypisania z informacją" każdy bieżący członek przypisanej grupy ma dostęp do aplikacji. Dzięki tej opcji przypisania administratorzy mogą korzystać z dowolnych opcji zarządzania grupami firmy Microsoft Entra, w tym grup członkostwa dynamicznego opartego na atrybutach, grup systemu zewnętrznego (na przykład lokalna usługa Active Directory lub Workday) albo grup zarządzanych przez administratora lub grup zarządzanych przez administratora. Pojedyncza grupa może być łatwo przypisana do wielu aplikacji, upewniając się, że aplikacje z koligacją przypisań mogą współdzielić reguły przypisywania, co zmniejsza ogólną złożoność zarządzania.
Uwaga
Członkostwa w grupach zagnieżdżonych nie są obecnie obsługiwane w przypadku przypisywania opartego na grupach do aplikacji.
Dzięki tym dwóm trybom przypisywania administratorzy mogą osiągnąć dowolne pożądane podejście do zarządzania przypisaniami.
Wymaganie przypisania użytkownika dla aplikacji
W przypadku niektórych typów aplikacji masz możliwość przypisania użytkowników do aplikacji. Dzięki temu wszyscy użytkownicy nie mogą się logować, z wyjątkiem tych, którzy jawnie przypiszesz do aplikacji. Następujące typy aplikacji obsługują tę opcję:
- Aplikacje skonfigurowane do federacyjnego logowania jednokrotnego (SSO) z uwierzytelnianiem opartym na protokole SAML
- serwer proxy aplikacji aplikacje korzystające z uwierzytelniania wstępnego firmy Microsoft
- Aplikacje, które są oparte na platformie aplikacji Microsoft Entra korzystającej z uwierzytelniania OAuth 2.0 / OpenID Connect po tym, jak użytkownik lub administrator wyrazi zgodę na korzystanie z tej aplikacji. Niektóre aplikacje dla przedsiębiorstw zapewniają większą kontrolę nad tym, kto może się zalogować.
Jeśli wymagane jest przypisanie użytkownika, będą mogli się zalogować tylko użytkownicy przypisani do aplikacji (przez bezpośrednie przypisanie użytkownika lub na podstawie członkostwa w grupie). Mogą oni uzyskać dostęp do aplikacji w portalu Moje aplikacje lub za pomocą linku bezpośredniego.
Jeśli przypisanie użytkownika nie jest wymagane, użytkownicy nieprzypisani nie widzą aplikacji na swoich Moje aplikacje, ale nadal mogą logować się do samej aplikacji (znanej również jako logowanie inicjowane przez dostawcę usług) lub mogą używać adresu URL dostępu użytkowników na stronie Właściwości aplikacji (nazywanej również logowaniem inicjowanym przez dostawcę tożsamości). Aby uzyskać więcej informacji na temat wymagania konfiguracji przypisania użytkownika, zobacz Konfigurowanie aplikacji
To ustawienie nie ma wpływu na to, czy aplikacja jest wyświetlana w Moje aplikacje. Aplikacje są wyświetlane w portalu Moje aplikacje użytkowników po przypisaniu użytkownika lub grupy do aplikacji.
Uwaga
Gdy aplikacja wymaga przypisania, zgoda użytkownika dla tej aplikacji jest niedozwolona. Jest tak nawet w przypadkach, w których zgoda użytkownika na aplikację byłaby dozwolona. Pamiętaj, aby udzielić zgody administratora dla całej dzierżawy na aplikacje wymagające przypisania.
W przypadku niektórych aplikacji opcja wymagania przypisania użytkownika nie jest dostępna we właściwościach aplikacji. W takich przypadkach można użyć programu PowerShell, aby ustawić właściwość appRoleAssignmentRequired w jednostce usługi.
Określanie środowiska użytkownika na potrzeby uzyskiwania dostępu do aplikacji
Identyfikator Entra firmy Microsoft udostępnia kilka dostosowywalnych sposobów wdrażania aplikacji dla użytkowników końcowych w organizacji:
- Microsoft Entra Moje aplikacje
- Uruchamianie aplikacji platformy Microsoft 365
- Bezpośrednie logowanie do aplikacji federacyjnych (service-pr)
- Linki bezpośrednie do federacyjnych, opartych na hasłach lub istniejących aplikacjach
Możesz określić, czy użytkownicy przypisani do aplikacji dla przedsiębiorstw mogą ją zobaczyć w Moje aplikacje i uruchamianiu aplikacji platformy Microsoft 365.
Przykład: złożone przypisanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft
Rozważmy aplikację, na przykład Salesforce. W wielu organizacjach usługa Salesforce jest używana głównie przez zespoły ds. marketingu i sprzedaży. Często członkowie zespołu ds. marketingu mają wysoce uprzywilejowany dostęp do usługi Salesforce, podczas gdy członkowie zespołu sprzedaży uzyskują ograniczony dostęp. W wielu przypadkach szeroka populacja pracowników przetwarzających informacje uzyskuje ograniczony dostęp do aplikacji. Wyjątki od tych reguł komplikują sprawy. Często jest to prerogatywą zespołów ds. marketingu lub liderów sprzedaży, aby udzielić użytkownikowi dostępu lub zmienić ich role niezależnie od tych ogólnych reguł.
Dzięki identyfikatorowi Entra firmy Microsoft aplikacje, takie jak Salesforce, można wstępnie skonfigurować na potrzeby logowania jednokrotnego (SSO) i automatycznej aprowizacji. Po skonfigurowaniu aplikacji administrator może wykonać jednorazową akcję w celu utworzenia i przypisania odpowiednich grup. W tym przykładzie administrator może wykonać następujące przypisania:
Grupy dynamiczne można zdefiniować tak, aby automatycznie reprezentować wszystkich członków zespołów ds. marketingu i sprzedaży przy użyciu atrybutów, takich jak dział lub rola:
- Wszyscy członkowie grup marketingowych zostaną przypisani do roli "marketing" w usłudze Salesforce
- Wszyscy członkowie grup zespołów sprzedaży zostaną przypisani do roli "sales" w usłudze Salesforce. Dalsze uściślenie może użyć wielu grup reprezentujących regionalne zespoły sprzedaży przypisane do różnych ról usługi Salesforce.
Aby włączyć mechanizm wyjątków, można utworzyć grupę samoobsługową dla każdej roli. Na przykład grupę "Wyjątek marketingu usługi Salesforce" można utworzyć jako grupę samoobsługową. Grupę można przypisać do roli marketingu usługi Salesforce, a zespół kierowniczy ds. marketingu może zostać właścicielem. Członkowie zespołu kierowniczego ds. marketingu mogą dodawać lub usuwać użytkowników, ustawiać zasady dołączania, a nawet zatwierdzać lub odrzucać żądania poszczególnych użytkowników dotyczące dołączenia. Ten mechanizm jest obsługiwany za pośrednictwem odpowiedniego środowiska procesu roboczego informacji, które nie wymaga specjalistycznego szkolenia dla właścicieli ani członków.
W takim przypadku wszyscy przypisani użytkownicy zostaną automatycznie aprowizowani w usłudze Salesforce. Po dodaniu ich do różnych grup ich przypisanie roli jest aktualizowane w usłudze Salesforce. Użytkownicy mogą odnajdywać i uzyskiwać dostęp do usługi Salesforce za pośrednictwem Moje aplikacje, klientów internetowych pakietu Office lub przechodząc do swojej organizacji strony logowania usługi Salesforce. Administratorzy mogą łatwo wyświetlać stan użycia i przypisania przy użyciu raportowania identyfikatorów Entra firmy Microsoft.
Administratorzy mogą stosować dostęp warunkowy firmy Microsoft Entra w celu ustawienia zasad dostępu dla określonych ról. Te zasady mogą obejmować, czy dostęp jest dozwolony poza środowiskiem firmowym, a nawet uwierzytelnianie wieloskładnikowe lub wymagania dotyczące urządzeń w celu uzyskania dostępu w różnych przypadkach.
Dostęp do aplikacji firmy Microsoft
Aplikacje firmy Microsoft (takie jak Exchange, SharePoint, Yammer itd.) są przypisywane i zarządzane nieco inaczej niż aplikacje SaaS firmy innej niż Microsoft lub inne aplikacje, które integrujesz z identyfikatorem Microsoft Entra ID na potrzeby logowania jednokrotnego.
Istnieją trzy główne sposoby uzyskiwania dostępu przez użytkownika do aplikacji opublikowanej przez firmę Microsoft.
W przypadku aplikacji w rozwiązaniu Microsoft 365 lub innych płatnych pakietach użytkownicy otrzymują dostęp za pośrednictwem przypisania licencji bezpośrednio do konta użytkownika lub za pośrednictwem grupy korzystającej z naszej funkcji przypisywania licencji opartej na grupach.
W przypadku aplikacji, które firma Microsoft lub organizacja spoza firmy Microsoft publikuje bezpłatnie, aby każdy mógł korzystać z nich, użytkownicy mogą mieć dostęp za pośrednictwem zgody użytkownika. Użytkownicy logują się do aplikacji przy użyciu konta służbowego microsoft Entra i zezwalają na dostęp do niektórych ograniczonych zestawów danych na swoim koncie.
W przypadku aplikacji, które firma Microsoft lub organizacja spoza firmy Microsoft publikuje bezpłatnie, aby każdy mógł korzystać, użytkownicy mogą również uzyskać dostęp za pośrednictwem zgody administratora. Oznacza to, że administrator ustalił, że aplikacja może być używana przez wszystkich użytkowników w organizacji, więc logują się do aplikacji z rolą Administrator ról uprzywilejowanych i udzielają dostępu wszystkim w organizacji.
Niektóre aplikacje łączą te metody. Na przykład niektóre aplikacje firmy Microsoft są częścią subskrypcji platformy Microsoft 365, ale nadal wymagają zgody.
Użytkownicy mogą uzyskiwać dostęp do aplikacji platformy Microsoft 365 za pośrednictwem portali usługi Office 365. Możesz również wyświetlać lub ukrywać aplikacje platformy Microsoft 365 w Moje aplikacje za pomocą przełącznika widoczności usługi Office 365 w ustawieniach użytkownika katalogu.
Podobnie jak w przypadku aplikacji dla przedsiębiorstw, można przypisywać użytkowników do niektórych aplikacji firmy Microsoft za pośrednictwem centrum administracyjnego firmy Microsoft lub przy użyciu programu PowerShell.
Zapobieganie dostępowi aplikacji za pośrednictwem kont lokalnych
Microsoft Entra ID umożliwia organizacji skonfigurowanie logowania jednokrotnego w celu ochrony sposobu uwierzytelniania użytkowników w aplikacjach przy użyciu dostępu warunkowego, uwierzytelniania wieloskładnikowego itp. Niektóre aplikacje mają historycznie własny magazyn użytkowników lokalnych i umożliwiają użytkownikom logowanie się do aplikacji przy użyciu poświadczeń lokalnych lub metody uwierzytelniania kopii zapasowej specyficznej dla aplikacji zamiast logowania jednokrotnego. Te możliwości aplikacji mogą być niewłaściwie wykorzystywane i umożliwiają użytkownikom zachowanie dostępu do aplikacji nawet po tym, jak nie są już przypisane do aplikacji w identyfikatorze Entra firmy Microsoft lub nie mogą już logować się do identyfikatora Entra firmy Microsoft i mogą zezwolić osobom atakującym na próbę naruszenia bezpieczeństwa aplikacji bez wyświetlania się w dziennikach identyfikatora Entra firmy Microsoft. Aby upewnić się, że logowania do tych aplikacji są chronione przez identyfikator Firmy Microsoft Entra:
- Zidentyfikuj, które aplikacje połączone z katalogiem logowania jednokrotnego umożliwiają użytkownikom końcowym obejście logowania jednokrotnego przy użyciu poświadczeń lokalnej aplikacji lub metody uwierzytelniania kopii zapasowej. Aby zrozumieć, czy jest to możliwe, i jakie ustawienia są dostępne, należy przejrzeć dokumentację dostarczoną przez dostawcę aplikacji. Następnie w tych aplikacjach wyłącz ustawienia, które umożliwiają użytkownikom końcowym obejście logowania jednokrotnego. Przetestuj środowisko użytkownika końcowego, otwierając przeglądarkę w usłudze InPrivate, łącząc się ze stroną logowania aplikacji, podając tożsamość użytkownika w dzierżawie i sprawdzając, czy nie ma możliwości logowania się innego niż za pośrednictwem firmy Microsoft Entra.
- Jeśli aplikacja udostępnia interfejs API do zarządzania hasłami użytkowników, usuń hasła lokalne lub ustaw unikatowe hasło dla każdego użytkownika przy użyciu interfejsów API. Uniemożliwi to użytkownikom końcowym logowanie się do aplikacji przy użyciu poświadczeń lokalnych.
- Jeśli aplikacja udostępnia interfejs API do zarządzania użytkownikami, skonfiguruj aprowizację użytkowników firmy Microsoft dla tej aplikacji, aby wyłączyć lub usunąć konta użytkowników, gdy użytkownicy nie znajdują się już w zakresie aplikacji lub dzierżawy.