Partilhar via

Integrando aplicativos com o Microsoft Entra ID e estabelecendo uma linha de base de acesso revisado

  • Artigo

Depois de estabelecer as políticas para quem deve ter acesso a um aplicativo, você pode conectar seu aplicativo ao Microsoft Entra ID e, em seguida, implantar as políticas para controlar o acesso a eles.

O Microsoft Entra ID Governance pode ser integrado com muitos aplicativos, incluindo SAP R/3, SAP S/4HANA e aqueles que usam padrões como OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP e REST. Por meio desses padrões, você pode usar o Microsoft Entra ID com muitos aplicativos SaaS populares e aplicativos locais, incluindo aplicativos desenvolvidos pela sua organização. Este plano de implantação aborda como conectar seu aplicativo ao Microsoft Entra ID e habilitar recursos de governança de identidade a serem usados para esse aplicativo.

Para que o Microsoft Entra ID Governance seja usado para um aplicativo, o aplicativo deve primeiro ser integrado ao Microsoft Entra ID e representado em seu diretório. Um aplicativo que está sendo integrado com o Microsoft Entra ID significa que um dos dois requisitos deve ser atendido:

  • O aplicativo depende do Microsoft Entra ID para SSO federado e o Microsoft Entra ID controla a emissão do token de autenticação. Se o Microsoft Entra ID for o único provedor de identidade para o aplicativo, somente os usuários atribuídos a uma das funções do aplicativo no Microsoft Entra ID poderão entrar no aplicativo. Os usuários que perdem a atribuição de função de aplicativo não podem mais obter um novo token para entrar no aplicativo.
  • O aplicativo depende de listas de usuários ou grupos que são fornecidas ao aplicativo pelo Microsoft Entra ID. Esse preenchimento pode ser feito por meio de um protocolo de provisionamento, como o SCIM, pelo aplicativo que consulta o ID do Microsoft Entra via Microsoft Graph, ou pelo aplicativo que usa o AD Kerberos para obter as associações de grupo de um usuário.

Se nenhum desses critérios for atendido para um aplicativo, por exemplo, quando o aplicativo não depende do Microsoft Entra ID, a governança de identidade ainda poderá ser usada. No entanto, pode haver algumas limitações ao usar a governança de identidade sem atender aos critérios. Por exemplo, os usuários que não estão em sua ID do Microsoft Entra, ou não estão atribuídos às funções de aplicativo na ID do Microsoft Entra, não serão incluídos nas revisões de acesso do aplicativo, até que você os atribua às funções do aplicativo. Para obter mais informações, consulte Preparação para uma revisão do acesso dos utilizadores a um aplicativo.

Integre o aplicativo com o Microsoft Entra ID para garantir que apenas usuários autorizados possam acessar o aplicativo

A integração de um processo de uma aplicação começa quando se configura essa aplicação para confiar no Microsoft Entra ID para autenticação de utilizador, com uma conexão de protocolo de logon único (SSO) federado e, em seguida, adiciona-se o aprovisionamento. Os protocolos mais usados para SSO são SAML e OpenID Connect. Você pode ler mais sobre as ferramentas e o processo para descobrir e migrar a autenticação de aplicativos para o Microsoft Entra ID.

Em seguida, se o aplicativo implementar um protocolo de provisionamento, você deverá configurar o Microsoft Entra ID para provisionar usuários para o aplicativo, para que o Microsoft Entra ID possa sinalizar para o aplicativo quando um usuário tiver recebido acesso ou o acesso de um usuário tiver sido removido. Esses sinais de provisionamento permitem que o aplicativo faça correções automáticas, como reatribuir conteúdo criado por um funcionário que saiu para seu gerente.

  1. Verifique se o seu aplicativo está na lista de aplicativos corporativos ou lista de registros de aplicativos. Se o aplicativo já estiver presente em seu locatário, pule para a etapa 5 nesta seção.

  2. Se seu aplicativo for um aplicativo SaaS que ainda não esteja registrado em seu locatário, verifique se há aplicativos disponíveis na galeria de aplicativos que podem ser integrados para SSO federado. Se estiver na galeria, use os tutoriais para integrar o aplicativo com o Microsoft Entra ID.

    1. Siga o tutorial para configurar a aplicação para SSO federado com o Microsoft Entra ID.
    2. Se o aplicativo oferecer suporte ao provisionamento, configure o aplicativo para provisionamento.
    3. Quando terminar, vá para a próxima seção deste artigo. Se o aplicativo SaaS não estiver na galeria, peça ao fornecedor de SaaS para integrar.

  3. Se este for um aplicativo privado ou personalizado, você também poderá selecionar uma integração de logon único mais apropriada, com base no local e nos recursos do aplicativo.

    • Se este aplicativo estiver no SAP BTP, configure a integração do Microsoft Entra com o SAP Cloud Identity Services. Para obter mais informações, consulte Gerenciando o acesso ao SAP BTP.

    • Se este aplicativo estiver na nuvem pública e oferecer suporte ao logon único, configure o logon único diretamente do ID do Microsoft Entra para o aplicativo.

      Suporte a aplicativos Próximos passos
      OpenID Connect Adicionar um aplicativo OpenID Connect OAuth
      SAML 2,0 Registe a aplicação e configure a aplicação com os endpoints SAML e o certificado do ID do Microsoft Entra
      SAML 1,1 Adicionar um aplicativo baseado em SAML

    • Se esta for uma aplicação SAP que usa a GUI do SAP, então integre o Microsoft Entra para autenticação única usando a integração com o SAP Secure Login Service ou a integração com o Microsoft Entra Private Access.

    • Caso contrário, se este for um aplicativo local ou hospedado em IaaS que ofereça suporte ao logon único, configure o logon único da ID do Microsoft Entra para o aplicativo por meio do proxy do aplicativo.

      Suporte a aplicativos Próximos passos
      SAML 2,0 Implante o proxy de aplicação e configure uma aplicação para SSO SAML
      Autenticação integrada do Windows (IWA) Implante o proxy de aplicativo , configure um aplicativo para SSO com autenticação integrada do Windows e defina regras de firewall para impedir o acesso aos pontos de extremidade do aplicativo, exceto através do proxy.
      Autenticação baseada em cabeçalho Implemente o proxy de aplicação e configure uma aplicação para SSO baseado em cabeçalho

  4. Se seu aplicativo estiver no SAP BTP, você poderá usar os grupos do Microsoft Entra para manter a associação de cada função. Para obter mais informações sobre como atribuir os grupos às coleções de funções BTP, consulte Managing access to SAP BTP.

  5. Se seu aplicativo tiver várias funções, cada usuário terá apenas uma função no aplicativo, e o aplicativo depende da ID do Microsoft Entra para enviar a única função específica do aplicativo de um usuário como uma declaração de um usuário entrando no aplicativo, configure essas funções de aplicativo no ID do Microsoft Entra em seu aplicativo e atribua cada usuário à função do aplicativo. Você pode usar o da interface do usuário de funções de aplicativo para adicionar essas funções ao manifesto do aplicativo. Se você estiver usando as Bibliotecas de Autenticação da Microsoft, há um exemplo de código sobre como usar funções de aplicativo dentro do seu aplicativo para controle de acesso. Se um usuário puder ter várias funções simultaneamente, talvez você queira implementar o aplicativo para verificar grupos de segurança, seja nas declarações de token ou disponíveis via Microsoft Graph, em vez de usar funções de aplicativo do manifesto do aplicativo para controle de acesso.

  6. Se o aplicativo oferecer suporte ao provisionamento, configurar o de provisionamento de usuários e grupos atribuídos da ID do Microsoft Entra para esse aplicativo. Se este for um aplicativo privado ou personalizado, você também poderá selecionar a integração mais apropriada, com base no local e nos recursos do aplicativo.

    • Se esse aplicativo depender do SAP Cloud Identity Services, configure o provisionamento de usuários via SCIM no SAP Cloud Identity Services.

      Suporte a aplicativos Próximos passos
      Serviços SAP Cloud Identity Configurar o ID do Microsoft Entra para provisionar usuários no SAP Cloud Identity Services

    • Se este aplicativo estiver na nuvem pública e suportar SCIM, configure o provisionamento de usuários via SCIM.

      Suporte a aplicativos Próximos passos
      SCIM Configurar uma aplicação com SCIM para o provisionamento de utilizadores

    • Se esta aplicação utilizar o AD, configure a devolução de grupos e atualize a aplicação para usar os grupos criados pelo Microsoft Entra ID, ou aninhe os grupos criados pelo Microsoft Entra ID nos grupos de segurança AD existentes da aplicação.

      Suporte a aplicativos Próximos passos
      Kerberos Configure o Microsoft Entra Cloud Sync write-back de grupo para AD, crie grupos no Microsoft Entra ID e escreva esses grupos no AD

    • Caso contrário, se este for um aplicativo local ou hospedado em IaaS e não estiver integrado ao AD, configure o provisionamento para esse aplicativo, seja via SCIM ou para o banco de dados ou diretório subjacente do aplicativo.

      Suporte a aplicativos Próximos passos
      SCIM configurar uma aplicação com o agente de provisionamento para aplicações locais baseadas em SCIM
      contas de usuário locais, armazenadas em um banco de dados SQL configurar um aplicativo com o agente de provisionamento de para aplicativos locais baseados em SQL
      contas de usuário locais, armazenadas em um diretório LDAP configurar uma aplicação com o agente de provisionamento de para aplicações baseadas em LDAP on-premises
      contas de usuário locais, gerenciadas por meio de uma API SOAP ou REST Configurar uma aplicação com o agente de provisionamento com o conector de serviços Web
      contas de usuário locais, gerenciadas por meio de um conector MIM Configurar um aplicativo com o agente de provisionamento de com um conector personalizado
      SAP ECC com NetWeaver AS ABAP 7.0 ou posterior configurar uma aplicação com o agente de provisionamento com um conector de serviços Web configurado do SAP ECC

  7. Se o seu aplicativo usa o Microsoft Graph para consultar grupos do Microsoft Entra ID, de consentimento para que os aplicativos tenham as permissões apropriadas para ler do seu locatário.

  8. Defina esse acesso para o aplicativo só é permitido para usuários atribuídos ao aplicativo. Essa configuração impede que os usuários vejam inadvertidamente o aplicativo em MyApps e tentem entrar no aplicativo, antes que as políticas de Acesso Condicional sejam habilitadas.

Realizar uma revisão de acesso inicial

Se este for um novo aplicativo que sua organização não usou antes e, portanto, ninguém tem acesso pré-existente, ou se você já estiver realizando revisões de acesso para esse aplicativo, pule para a próxima seção .

No entanto, se o aplicativo já estava em seu ambiente, os usuários podem ter obtido acesso no passado por meio de processos manuais ou fora de banda. Você deve revisar esses usuários para confirmar que seu acesso ainda é necessário e apropriado. Recomendamos realizar uma revisão de acesso dos usuários que já têm acesso ao aplicativo, antes de habilitar políticas para que mais usuários possam solicitar acesso. Esta revisão define uma linha de base em que todos os usuários são revisados pelo menos uma vez para garantir que estejam autorizados para acesso contínuo.

  1. Siga os passos em Preparo para uma revisão do acesso de utilizadores a uma aplicação.
  2. Se o aplicativo não estava usando o Microsoft Entra ID ou AD, mas suporta um protocolo de provisionamento ou tinha um banco de dados SQL ou LDAP subjacente, traga qualquer usuários existentes e crie atribuições de função de aplicativo para eles.
  3. Se a aplicação não estiver a usar o Microsoft Entra ID ou AD e não suportar um protocolo de aprovisionamento, então obter uma lista de utilizadores da aplicação e criar atribuições de função na aplicação para cada um deles.
  4. Se o aplicativo estava usando grupos de segurança do AD, você precisará revisar a associação desses grupos de segurança.
  5. Se o aplicativo tinha seu próprio diretório ou banco de dados e não estava integrado para provisionamento, assim que a revisão for concluída, talvez seja necessário atualizar manualmente o banco de dados ou diretório interno do aplicativo para remover os usuários que foram negados.
  6. Se o aplicativo estava usando grupos de segurança do AD e esses grupos foram criados no AD, assim que a revisão for concluída, você precisará atualizar manualmente os grupos do AD para remover as associações desses usuários que foram negados. Posteriormente, para que os direitos de acesso negados sejam removidos automaticamente, você pode atualizar o aplicativo para usar um grupo do AD que foi criado na ID do Microsoft Entra e gravado de volta node ID do Microsoft Entra ou mover a associação do grupo do AD para o grupo do Microsoft Entra e aninhar grupo de retorno escrito como o único membro do grupo do AD.
  7. Depois que a revisão for concluída e o acesso ao aplicativo atualizado, ou se nenhum usuário tiver acesso, continue para as próximas etapas para implantar o Acesso Condicional e as políticas de gerenciamento de direitos para o aplicativo.

Agora que você tem uma linha de base que garante que o acesso existente foi revisado, pode implantar as políticas da organização para acesso contínuo e quaisquer novas solicitações de acesso.

Próximos passos