Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i ustanawianie punktu odniesienia przeglądanego dostępu

Po ustanowieniu zasad dla osób, które powinny mieć dostęp do aplikacji, możesz połączyć aplikację z Microsoft Entra ID, a następnie wdrożyć zasady w celu zarządzania dostępem do nich.

Zarządzanie tożsamościami Microsoft Entra można zintegrować z wieloma aplikacjami, w tym z SAP R/3, SAP S/4HANA oraz aplikacjami korzystającymi ze standardów , takich jak OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP i REST. Za pomocą tych standardów można używać identyfikatora Entra firmy Microsoft z wieloma popularnymi aplikacjami SaaS i aplikacjami lokalnymi, w tym aplikacjami opracowanymi przez organizację. Plan wdrożenia obejmuje sposób połączenia aplikacji z Microsoft Entra ID oraz włączenia funkcji zarządzania tożsamością do użycia w tej aplikacji.

Aby można było używać Microsoft Entra ID Governance dla aplikacji, należy najpierw zintegrować aplikację z Microsoft Entra ID i umieścić ją w katalogu. Zintegrowanie aplikacji z identyfikatorem Entra firmy Microsoft oznacza, że należy spełnić jedno z dwóch wymagań:

• Aplikacja korzysta z identyfikatora Entra firmy Microsoft dla federacyjnego logowania jednokrotnego, a identyfikator Entra firmy Microsoft kontroluje wystawianie tokenu uwierzytelniania. Jeśli identyfikator Entra firmy Microsoft jest jedynym dostawcą tożsamości dla aplikacji, tylko użytkownicy przypisani do jednej z ról aplikacji w identyfikatorze Entra firmy Microsoft mogą zalogować się do aplikacji. Ci użytkownicy, którzy tracą przypisanie roli aplikacji, nie mogą już uzyskać nowego tokenu do zalogowania się do aplikacji.
• Aplikacja opiera się na listach użytkowników lub grup udostępnianych aplikacji przez identyfikator Entra firmy Microsoft. Realizację tego zadania można wykonać za pomocą protokołu aprowizacji, takiego jak SCIM, przez aplikację wysyłającą zapytanie do Microsoft Entra ID za pośrednictwem Microsoft Graph lub aplikację używającą AD Kerberos do uzyskania informacji o członkostwach w grupach użytkownika.

Jeśli żadne z tych kryteriów nie zostanie spełnione dla aplikacji, na przykład gdy aplikacja nie korzysta z identyfikatora Entra firmy Microsoft, nadal można używać zarządzania tożsamością. Jednak mogą istnieć pewne ograniczenia w korzystaniu z zarządzania tożsamościami bez spełnienia kryteriów. Na przykład użytkownicy, którzy nie znajdują się w Identyfikatorze Entra firmy Microsoft lub nie są przypisani do ról aplikacji w identyfikatorze Entra firmy Microsoft, nie będą uwzględniani w przeglądach dostępu aplikacji, dopóki nie przypiszesz ich do ról aplikacji. Aby uzyskać więcej informacji, zobacz Przygotowanie do przeglądu dostępu użytkowników do aplikacji.

Integracja aplikacji z identyfikatorem Entra firmy Microsoft w celu zapewnienia, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do aplikacji

Proces integracji aplikacji rozpoczyna się, gdy skonfigurujesz tę aplikację do korzystania z Microsoft Entra ID na potrzeby uwierzytelniania użytkowników, w oparciu o federacyjny protokół logowania jednokrotnego (SSO), a następnie dodajesz aprowizację. Najczęściej używane protokoły logowania jednokrotnego to SAML i OpenID Connect. Więcej informacji na temat narzędzi i procesu umożliwiającego odnajdywania i migrowania uwierzytelniania aplikacji doidentyfikatora Entra firmy Microsoft.

Następnie, jeśli aplikacja implementuje protokół aprowizacji, należy skonfigurować identyfikator Entra firmy Microsoft, aby aprowizować użytkowników w aplikacji, aby identyfikator Entra firmy Microsoft mógł sygnalizować aplikację po udzieleniu dostępu użytkownikowi lub usunięciu dostępu użytkownika. Te sygnały przydzielania umożliwiają aplikacji wprowadzanie automatycznych poprawek, takich jak ponowne przypisywanie zawartości utworzonej przez pracownika, który odszedł, do menedżera.

1. Sprawdź, czy aplikacja znajduje się na liście aplikacji dla przedsiębiorstw lub liście rejestracji aplikacji. Jeśli aplikacja jest już obecna w twojej dzierżawie, przejdź do kroku 5 w tej części.

2. Jeśli Twoja aplikacja jest aplikacją typu SaaS, która nie jest jeszcze zarejestrowana w środowisku dzierżawy, sprawdź dostępne aplikacje w galerii aplikacji , które można zintegrować z federacyjnym jednokrotnym logowaniem (SSO). Jeśli znajduje się ona w galerii, skorzystaj z samouczków, aby zintegrować aplikację z identyfikatorem Entra firmy Microsoft.

   1. Postępuj zgodnie z samouczkiem , aby skonfigurować aplikację na potrzeby federacyjnego logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra.
   2. jeśli aplikacja obsługuje konfigurowanie, skonfiguruj aplikację do konfigurowania.
   3. Po zakończeniu przejdź do następnej sekcji w tym artykule. Jeśli aplikacja SaaS nie znajduje się w galerii, skontaktuj się z dostawcą SaaS, aby dodał ją.

3. Jeśli jest to aplikacja prywatna lub niestandardowa, możesz również wybrać najbardziej odpowiednią integrację logowania jednokrotnego na podstawie lokalizacji i możliwości aplikacji.

   • Jeśli ta aplikacja jest w SAP BTP, skonfiguruj integrację Microsoft Entra z usługą SAP Cloud Identity Services. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do usługi SAP BTP.

   • Jeśli ta aplikacja znajduje się w chmurze publicznej i obsługuje logowanie jednokrotne, skonfiguruj logowanie jednokrotne bezpośrednio z usługi Microsoft Entra ID do aplikacji.

     Aplikacja obsługuje	Następne kroki
     OpenID Connect	Dodawanie aplikacji OpenID Connect OAuth
     SAML 2.0	Rejestrowanie aplikacji i konfigurowanie aplikacji przy użyciu punktów końcowych SAML i certyfikatu identyfikatora Entra firmy Microsoft
     SAML 1.1	Dodawanie aplikacji opartej na protokole SAML

   • Jeśli jest to aplikacja SAP korzystająca z graficznego interfejsu użytkownika SAP, to zintegruj Microsoft Entra na potrzeby logowania jednokrotnego przy użyciu integracji z usługą SAP Secure Login Service lub integracji z usługą Microsoft Entra Private Access.

   • W przeciwnym razie, jeśli jest to aplikacja lokalna lub hostowana w usłudze IaaS, która obsługuje logowanie jednokrotne, skonfiguruj logowanie jednokrotne z usługi Microsoft Entra ID do aplikacji za pośrednictwem serwera proxy aplikacji.

     Aplikacja obsługuje	Następne kroki
     SAML 2.0	Wdrażanie serwera proxy aplikacji i konfigurowanie aplikacji na potrzeby logowania jednokrotnego SAML
     Zintegrowane uwierzytelnianie systemu Windows (IWA)	Wdróż aplikacji serwer proxy , skonfiguruj aplikację na potrzeby zintegrowanego logowania jednokrotnego systemu Windows i ustaw reguły zapory, aby uniemożliwić dostęp do punktów końcowych aplikacji z wyjątkiem za pośrednictwem serwera proxy.
     Uwierzytelnianie oparte na nagłówku	Wdrażanie serwera proxy aplikacji i konfigurowanie aplikacji na potrzeby logowania jednokrotnego opartego na nagłówku

4. Jeśli aplikacja znajduje się w systemie SAP BTP, możesz użyć grup Microsoft Entra do zarządzania członkostwem w każdej roli. Aby uzyskać więcej informacji na temat przypisywania grup do kolekcji ról BTP, zobacz Zarządzanie dostępem do SAP BTP.

5. Jeśli aplikacja ma wiele ról, każdy użytkownik posiada tylko jedną rolę w aplikacji, a aplikacja korzysta z Microsoft Entra ID do wysyłania pojedynczej roli specyficznej dla aplikacji jako żądania logowania użytkownika, to skonfiguruj te role aplikacji w Microsoft Entra ID dla swojej aplikacji, a następnie przypisz każdego użytkownika do odpowiedniej roli aplikacji. Aby dodać te role do manifestu aplikacji, możesz użyć interfejsu użytkownika ról aplikacji . Jeśli używasz bibliotek uwierzytelniania firmy Microsoft, istnieje przykładowy kod , aby dowiedzieć się, jak używać ról aplikacji w aplikacji na potrzeby kontroli dostępu. Jeśli użytkownik może mieć wiele ról jednocześnie, możesz zaimplementować aplikację w celu sprawdzenia grup zabezpieczeń w oświadczeniach tokenów lub dostępnych za pośrednictwem programu Microsoft Graph, zamiast używać ról aplikacji z manifestu aplikacji na potrzeby kontroli dostępu.

6. Jeśli aplikacja obsługuje aprowizowanie, skonfigurować aprowizowanie przypisanych użytkowników i grup z Microsoft Entra ID do tej aplikacji. Jeśli jest to aplikacja prywatna lub niestandardowa, możesz również wybrać najbardziej odpowiednią integrację na podstawie lokalizacji i możliwości aplikacji.

   • Jeśli ta aplikacja korzysta z usług SAP Cloud Identity Services, skonfiguruj aprowizację użytkowników za pośrednictwem programu SCIM w usługach SAP Cloud Identity Services.

     Aplikacja obsługuje	Następne kroki
     SAP Cloud Identity Services	Skonfiguruj Microsoft Entra ID do provisionowania użytkowników w Usługach SAP Cloud Identity Services

   • Jeśli ta aplikacja znajduje się w chmurze publicznej i obsługuje protokół SCIM, skonfiguruj aprowizację użytkowników za pośrednictwem rozwiązania SCIM.

     Aplikacja obsługuje	Następne kroki
     SCIM	Konfigurowanie aplikacji przy użyciu SCIM na potrzeby aprowizacji użytkowników

   • Jeśli ta aplikacja używa usługi AD, skonfiguruj zapisywanie zwrotne grup i zaktualizuj aplikację tak, aby korzystała z grup utworzonych przez identyfikator firmy Microsoft, lub zagnieżdżała grupy utworzone przez firmę Microsoft Entra do istniejących grup zabezpieczeń usługi AD aplikacji.

     Aplikacja obsługuje	Następne kroki
     Kerberos	Konfigurowanie grupowego zapisywania zwrotnego usługi Microsoft Entra Cloud Sync do usługi AD, tworzenie grup w Microsoft Entra ID i zapisywanie tych grup do usługi AD

   • W przeciwnym razie, jeśli jest to lokalna lub hostowana aplikacja IaaS i nie jest zintegrowana z usługą AD, skonfiguruj aprowizację dla tej aplikacji za pośrednictwem protokołu SCIM lub bazowej bazy danych lub katalogu aplikacji.

     Aplikacja obsługuje	Następne kroki
     SCIM	konfigurowanie aplikacji przy użyciu agenta aprowizacji dla lokalnych aplikacji opartych na protokole SCIM
     konta użytkowników lokalnych przechowywane w bazie danych SQL	konfigurowanie aplikacji przy użyciu agenta aprowizacji dla lokalnych aplikacji opartych na języku SQL
     lokalne konta użytkowników przechowywane w katalogu LDAP	Konfigurowanie aplikacji przy użyciu agenta aprowizacji dla lokalnych aplikacji opartych na protokole LDAP
     konta użytkowników lokalnych zarządzane za pośrednictwem protokołu SOAP lub interfejsu API REST	konfigurowanie aplikacji za pomocą agenta aprowizacji za pomocą łącznika usług internetowych
     konta użytkowników lokalnych zarządzane za pośrednictwem łącznika programu MIM	konfigurowanie aplikacji przy użyciu agenta aprowizacji przy użyciu łącznika niestandardowego
     Oprogramowanie SAP ECC z oprogramowaniem NetWeaver AS ABAP 7.0 lub nowszym	Konfigurowanie aplikacji za pomocą agenta aprowizacji przy użyciu łącznika usług internetowych skonfigurowanego na SAP ECC

7. Jeśli Twoja aplikacja korzysta z Microsoft Graph do wykonywania zapytań dotyczących grup z Microsoft Entra ID, to wyrazić zgodę dla aplikacji, aby miały odpowiednie uprawnienia do odczytu z dzierżawy.

8. Ustaw, aby dostęp do aplikacji był dozwolony tylko dla użytkowników przypisanych do aplikacji. To ustawienie uniemożliwia użytkownikom niezamierzone wyświetlanie aplikacji w usłudze MyApps i próbę zalogowania się do aplikacji przed włączeniem zasad dostępu warunkowego.

Przeprowadzanie przeglądu dostępu początkowego

Jeśli jest to nowa aplikacja, której organizacja nie użyła wcześniej i dlatego nikt nie ma wstępnie istniejącego dostępu lub jeśli już przeprowadzasz przeglądy dostępu dla tej aplikacji, przejdź do następnej sekcji .

Jeśli jednak aplikacja była już w twoim środowisku, użytkownicy mogli uzyskać dostęp w przeszłości za pośrednictwem procesów ręcznych lub poza pasmem. Należy przejrzeć tych użytkowników, aby potwierdzić, że ich dostęp jest nadal niezbędny i odpowiedni. Zalecamy przeprowadzenie przeglądu dostępu użytkowników, którzy mają już dostęp do aplikacji, przed włączeniem zasad dla większej liczby użytkowników, aby mogli żądać dostępu. Ten przegląd określa punkt odniesienia, w którym wszyscy użytkownicy są przeglądani co najmniej raz, aby upewnić się, że są autoryzowani do dalszego dostępu.

1. Wykonaj kroki opisane w Przygotowanie do przeglądu dostępu użytkowników do aplikacji.
2. Jeśli aplikacja nie korzystała z identyfikatora entra firmy Microsoft lub usługi AD, ale obsługuje protokół aprowizacji lub miał podstawową bazę danych SQL lub LDAP, wprowadź wszelkie istniejących użytkowników i utwórz dla nich przypisania ról aplikacji.
3. Jeśli aplikacja nie używa identyfikatora Entra firmy Microsoft lub usługi AD i nie obsługuje protokołu aprowizacji, uzyskać listę użytkowników z aplikacji i utworzyć przypisania ról aplikacji dla każdego z nich.
4. Jeśli aplikacja używała grup zabezpieczeń usługi AD, należy przejrzeć członkostwo w tych grupach zabezpieczeń.
5. Jeśli aplikacja ma własny katalog lub bazę danych i nie została zintegrowana z aprowizowaniem, po zakończeniu przeglądu może być konieczne ręczne zaktualizowanie wewnętrznej bazy danych lub katalogu aplikacji, aby usunąć tych użytkowników, którzy zostali odmowieni.
6. Jeśli aplikacja używała grup zabezpieczeń usługi AD, a te grupy zostały utworzone w usłudze AD, po zakończeniu przeglądu należy ręcznie zaktualizować grupy usługi AD, aby usunąć członkostwa tych użytkowników, którzy zostali odmowieni. Następnie, aby uniemożliwić automatyczne usunięcie praw dostępu, możesz zaktualizować aplikację tak, aby korzystała z grupy usługi AD utworzonej w identyfikatorze Entra firmy Microsoft i zapisywana z powrotem doidentyfikatora Entra firmy Microsoft lub przenieść członkostwo z grupy usługi AD do grupy Microsoft Entra, a zagnieżdżać zapisaną grupę z powrotem jako jedyny członek grupy usługi AD.
7. Po zakończeniu przeglądu i zaktualizowaniu dostępu do aplikacji lub jeśli żaden użytkownik nie ma dostępu, przejdź do następnych kroków, aby wdrożyć zasady dostępu warunkowego i zarządzania upoważnieniami dla aplikacji.

Teraz, gdy masz punkt odniesienia zapewniający przegląd istniejącego dostępu, możesz wdrożyć zasady organizacji dla bieżących żądań dostępu i nowych żądań dostępu.

Następne kroki

• Wdrażanie zasad ładu