Integrando aplicativos com a ID do Microsoft Entra e estabelecendo uma linha de base de acesso revisado

Depois de estabeleceu as políticas para quem deve ter acesso a um aplicativo, você pode conectar seu aplicativo à ID do Microsoft Entra e, em seguida, implantar as políticas para controlar o acesso a eles.

A Governança de ID do Microsoft Entra pode ser integrada a muitos aplicativos, incluindo SAP R/3, SAP S/4HANA e aqueles que usam padrões como OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP e REST. Por meio desses padrões, você pode usar a ID do Microsoft Entra com muitos aplicativos SaaS populares e aplicativos locais, incluindo aplicativos desenvolvidos pela sua organização. Este plano de implantação aborda como conectar seu aplicativo à ID do Microsoft Entra e habilitar os recursos de governança de identidade a serem usados para esse aplicativo.

Para que a Governança de ID do Microsoft Entra seja usada para um aplicativo, o aplicativo deve primeiro ser integrado à ID do Microsoft Entra e representado em seu diretório. Um aplicativo integrado à ID do Microsoft Entra significa que um dos dois requisitos deve ser atendido:

• O aplicativo depende da ID do Microsoft Entra para SSO federado e a ID do Microsoft Entra controla a emissão de token de autenticação. Se a ID do Microsoft Entra for o único provedor de identidade para o aplicativo, somente os usuários atribuídos a uma das funções do aplicativo na ID do Microsoft Entra poderão entrar no aplicativo. Os usuários que perdem a atribuição de função de aplicativo não podem mais obter um novo token para entrar no aplicativo.
• O aplicativo se baseia em listas de usuários ou grupos fornecidas ao aplicativo pela ID do Microsoft Entra. Esse cumprimento pode ser feito por meio de um protocolo de provisionamento, como o SCIM, pelo aplicativo que consulta a ID do Microsoft Entra por meio do Microsoft Graph ou pelo aplicativo que usa o AD Kerberos para obter associações de grupo de um usuário.

Se nenhum desses critérios for atendido para um aplicativo, por exemplo, quando o aplicativo não depender da ID do Microsoft Entra, a governança de identidade ainda poderá ser usada. No entanto, pode haver algumas limitações usando a governança de identidade sem atender aos critérios. Por exemplo, os usuários que não estão no seu Microsoft Entra ID ou não são designados às funções do aplicativo no Microsoft Entra ID não serão incluídos nas revisões de acesso do aplicativo, até que você os atribua às funções do aplicativo. Para obter mais informações, consulte Preparação para a revisão dos acessos dos usuários a um aplicativo.

Integrar o aplicativo à ID do Microsoft Entra para garantir que somente usuários autorizados possam acessar o aplicativo

A integração de um processo de aplicação começa quando você configura esse aplicativo para contar com o Microsoft Entra ID para autenticação de usuário, com uma conexão de protocolo de logon único (SSO) federada e, em seguida, você adiciona o provisionamento. Os protocolos mais usados para SSO são SAML e OpenID Connect. Leia mais sobre as ferramentas e o processo de descoberta e migração da autenticação do aplicativo para a ID do Microsoft Entra.

Em seguida, se o aplicativo implementar um protocolo de provisionamento, você deverá configurar a ID do Microsoft Entra para provisionar usuários para o aplicativo, para que a ID do Microsoft Entra possa sinalizar para o aplicativo quando um usuário tiver recebido acesso ou o acesso de um usuário tiver sido removido. Esses sinais de provisionamento permitem que o aplicativo faça correções automáticas, como reatribuir o conteúdo criado por um funcionário que se desligou da empresa para o gerente dele.

1. Verifique se o aplicativo está na lista de aplicativos empresariais ou na lista de registros de aplicativos. Se o aplicativo já estiver presente em seu locatário, pule para a etapa 5 nesta seção.

2. Se o aplicativo for um aplicativo SaaS que ainda não está registrado em seu locatário, verifique se há aplicativos disponíveis na galeria de aplicativos que podem ser integrados ao SSO federado. Se estiver na galeria, use os tutoriais para integrar o aplicativo à ID do Microsoft Entra.

   1. Siga o tutorial para configurar o aplicativo para SSO federado com a ID do Microsoft Entra.
   2. Se esse aplicativo tiver suporte para provisionamento, configure o aplicativo para provisionamento.
   3. Quando concluir, pule para a próxima seção neste artigo. Se o aplicativo SaaS não estiver na galeria, peça ao fornecedor SaaS para integrá-lo.

3. Se esse for um aplicativo privado ou personalizado, você também poderá selecionar uma integração de logon único mais apropriada, com base no local e nos recursos do aplicativo.

   • Se esse aplicativo estiver no SAP Business Technology Platform (BTP), configure a integração do Microsoft Entra com o SAP Cloud Identity Services. Para obter mais informações, consulte Integração de SSO do Microsoft Entra com o SAP BTP e Gerenciamento de acesso ao SAP BTP.

   • Se esse aplicativo estiver na nuvem pública e oferecer suporte ao logon único, configure o logon único diretamente da ID do Microsoft Entra para o aplicativo.

     Suporte a aplicativos	Próximas etapas
     OpenID Connect	Adicionar um aplicativo OAuth do OpenID Connect
     SAML 2.0	Registre o aplicativo e configure-o com os pontos de extremidade SAML e o certificado da ID do Microsoft Entra
     SAML 1.1	Adicionar um aplicativo baseado em SAML

   • Se este for um aplicativo SAP que utiliza a GUI do SAP, integre o Microsoft Entra para logon único, usando a integração com o SAP Secure Login Service ou a integração com o Microsoft Entra Private Access.

   • Caso contrário, se esse for um aplicativo hospedado local ou IaaS que dá suporte ao logon único, configure o logon único da ID do Microsoft Entra para o aplicativo por meio do proxy de aplicativo.

     Suporte a aplicativos	Próximas etapas
     SAML 2.0	Implantar o proxy de aplicativo e configurar um aplicativo para SSO do SAML
     Autenticação integrada do Windows (IWA)	Implante o proxy de aplicativo , configure um aplicativo para autenticação integrada do Windows SSO , e defina regras de firewall para impedir o acesso aos pontos de extremidade do aplicativo, exceto por meio do proxy.
     autenticação baseada em cabeçalho	Implante o proxy de aplicativo e configure um aplicativo de SSO baseado em cabeçalho para

4. Se o aplicativo estiver no SAP BTP, você poderá usar grupos do Microsoft Entra para manter a associação de cada função. Para obter mais informações sobre como atribuir os grupos às coleções de função BTP, consulte Gerenciando o acesso ao SAP BTP.

5. Se o seu aplicativo tiver várias funções, cada usuário terá apenas uma função única específica do aplicativo. O aplicativo depende da ID do Microsoft Entra para enviar essa função como uma declaração quando o usuário faz login no aplicativo. Portanto, configure essas funções de aplicativo na ID do Microsoft Entra em seu aplicativo e atribua cada usuário à respectiva função de aplicativo. Use a Interface do usuário das funções de aplicativo para adicionar essas funções ao manifesto do aplicativo. Se você estiver usando as Bibliotecas de Autenticação da Microsoft, haverá um exemplo de código de como usar funções de aplicativo dentro de seu aplicativo para controle de acesso. Se um usuário puder ter várias funções simultaneamente, pode ser desejável implementar o aplicativo para checar grupos de segurança, seja nas declarações de token ou disponíveis por meio do Microsoft Graph, em vez de usar funções do aplicativo para controle de acesso.

6. Se o aplicativo der suporte ao provisionamento, configure o provisionamento de usuários e grupos atribuídos do Microsoft Entra ID para esse aplicativo. Se esse for um aplicativo privado ou personalizado, você também poderá selecionar a integração mais apropriada, com base no local e nas funcionalidades do aplicativo.

   • Se esse aplicativo depender do SAP Cloud Identity Services, configure o provisionamento de usuários por meio do SCIM no SAP Cloud Identity Services.

     Suporte a aplicativos	Próximas etapas
     SAP Cloud Identity Services	Configurar a ID do Microsoft Entra para provisionar usuários no SAP Cloud Identity Services

   • Se esse aplicativo estiver na nuvem pública e der suporte ao SCIM, configure o provisionamento de usuários por meio do SCIM.

     Suporte a aplicativos	Próximas etapas
     SCIM	Configurar um aplicativo com SCIM para provisionamento de usuário

   • Se esse aplicativo usar o AD, configure o write-back de grupo e atualize o aplicativo para usar os grupos criados pela ID do Microsoft Entra ou aninhe os grupos criados pela ID do Microsoft Entra nos grupos de segurança do AD existentes dos aplicativos.

     Suporte a aplicativos	Próximas etapas
     Kerberos	Configurar o write-back de grupo para o AD da Sincronização na Nuvem do Microsoft Entra, criar grupos no Microsoft Entra ID e gravar os grupos no AD

   • Caso contrário, se esse for um aplicativo hospedado local ou IaaS e não estiver integrado ao AD, configure o provisionamento para esse aplicativo, por meio do SCIM ou do banco de dados ou diretório subjacente do aplicativo.

     Suporte a aplicativos	Próximas etapas
     SCIM	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em SCIM
     contas de usuário local, armazenadas em um banco de dados SQL	configurar um aplicativo com o agente de provisionamento para aplicativos locais baseados em SQL
     contas de usuário local, armazenadas em um diretório LDAP	configurar um aplicativo com o agente de provisionamento para aplicativos baseados em LDAP locais
     contas de usuário local, gerenciadas por meio de uma API SOAP ou REST	configurar um aplicativo com o agente de provisionamento com o conector de serviços Web
     contas de usuário local, gerenciadas por meio de um conector MIM	configurar um aplicativo com o agente de provisionamento com um conector personalizado
     SAP ECC com NetWeaver AS ABAP 7.0 ou posterior	configurar um aplicativo com o agente de provisionamento com um conector de serviços Web configurado pelo SAP ECC

7. Se o aplicativo usar o Microsoft Graph para consultar grupos na ID do Microsoft Entra, forneça o consentimento para que os aplicativos tenham as permissões apropriadas de leitura no locatário.

8. Defina esse acesso para o aplicativo só é permitido para usuários atribuídos ao aplicativo. Essa configuração impede que os usuários vejam inadvertidamente o aplicativo no MyApps e tentem entrar no aplicativo antes que as políticas de Acesso Condicional sejam habilitadas.

Executar uma revisão de acesso inicial

Caso esse se trate de um novo aplicativo que sua organização não usou antes e, portanto, ninguém tem acesso preexistente, ou se você já estiver executando revisões de acesso para esse aplicativo, pule para a próxima seção.

No entanto, se o aplicativo já estava em seu ambiente, os usuários podem ter obtido acesso no passado por meio de processos manuais ou fora de banda. Você deve examinar esses usuários para confirmar se o acesso ainda é necessário e apropriado. É recomendável executar uma revisão de acesso dos usuários que já têm acesso ao aplicativo, antes de habilitar políticas para que mais usuários possam solicitar acesso. Essa revisão define uma linha de base em que todos os usuários são revisados pelo menos uma vez para garantir que eles estejam autorizados para acesso contínuo.

1. Siga as etapas em Preparação para uma revisão do acesso dos usuários a um aplicativo.
2. Se o aplicativo não estava usando a ID do Microsoft Entra ou o AD, mas dá suporte a um protocolo de provisionamento ou tinha um banco de dados SQL ou LDAP subjacente, traga todos os usuários existentes e crie atribuições de função de aplicativo para eles.
3. Se o aplicativo não estava usando o Microsoft Entra ID ou o AD, e não dá suporte a um protocolo de provisionamento, então obtenha uma lista de usuários do aplicativo e crie atribuições de função de aplicativo para cada um deles.
4. Se o aplicativo estava usando grupos de segurança do AD, você precisará examinar a associação desses grupos de segurança.
5. Se o aplicativo tiver seu próprio diretório ou banco de dados e não estiver integrado ao provisionamento, depois que a revisão for concluída, talvez seja necessário atualizar manualmente o banco de dados interno ou o diretório do aplicativo para remover os usuários que foram negados.
6. Se o aplicativo estava usando grupos de segurança do AD e esses grupos foram criados no AD, depois que a revisão for concluída, você precisará atualizar manualmente os grupos do AD para remover associações dos usuários que foram negados. Posteriormente, para ter os direitos de acesso negados removidos automaticamente, atualize o aplicativo para usar um grupo do AD que foi criado na ID do Microsoft Entra e que teve o write-back na ID do Microsoft Entra ou mova a associação do grupo do AD para o grupo do Microsoft Entra e aninhe o grupo com write-back como o único membro do grupo do AD.
7. Depois que a revisão for concluída e o acesso ao aplicativo for atualizado ou se nenhum usuário tiver acesso, continue para as próximas etapas para implantar políticas de acesso condicional e gerenciamento de direitos para o aplicativo.

Agora que você tem uma linha de base que garante que o acesso existente tenha sido revisado, você pode implantar as políticas da organização para acesso contínuo e quaisquer novas solicitações de acesso.

Próximas etapas

• Implantar políticas de governança