Руководство по настройке Saviynt с помощью Azure Active Directory B2C
Узнайте, как интегрировать Azure Active Directory B2C (Azure AD B2C) с платформой Диспетчера безопасности Saviynt, которая имеет видимость, безопасность и управление. Saviynt включает в себя управление рисками приложений, управление инфраструктурой, управление привилегированными учетными записями и анализ рисков клиентов.
Дополнительные сведения: Saviynt для Azure AD B2C
Используйте следующие инструкции, чтобы настроить делегированное администрирование управления доступом для пользователей Azure AD B2C. Saviynt определяет, разрешен ли пользователь управлять пользователями Azure AD B2C:
- Безопасность уровня компонентов, чтобы определить, могут ли пользователи выполнять операцию
- Например, создайте пользователя, обновите пользователя, сбросьте пароль пользователя и т. д.
- Безопасность на уровне поля, чтобы определить, могут ли пользователи читать и записывать атрибуты пользователя во время операций управления пользователями
- Например, агент службы технической поддержки может обновить номер телефона; другие атрибуты доступны только для чтения
- Безопасность уровня данных, чтобы определить, могут ли пользователи выполнять операцию с другим пользователем.
- Например, администратор службы технической поддержки в регионе Соединенного Королевства управляет пользователями Великобритании
Необходимые компоненты
Для начала работы необходимы перечисленные ниже компоненты и данные.
Подписка Azure
- Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
Клиент Azure AD B2C, связанный с вашей подпиской Azure.
Перейдите к saviynt.com свяжитесь с нами , чтобы запросить демонстрацию
Описание сценария
Интеграция с Saviynt включает следующие компоненты.
- Azure AD B2C — удостоверение как услуга для пользовательского управления регистрации, входа и управления профилями клиентов
- Saviynt для Azure AD B2C — управление удостоверениями для делегированного администрирования управления жизненным циклом пользователей и управления доступом
- См. сведения о Saviynt для Azure AD B2C
- API Microsoft Graph — интерфейс для Saviynt для управления пользователями Azure AD B2C и их доступом
На следующей схеме архитектуры показана реализация.
- Делегированный администратор запускает операцию пользователя Azure AD B2C с Saviynt.
- Saviynt проверяет, что делегированный администратор может выполнить операцию.
- Saviynt отправляет ответ на успешное выполнение авторизации или сбой.
- Saviynt позволяет делегированным администраторам выполнять операцию.
- Saviynt вызывает API Microsoft Graph с атрибутами пользователя для управления пользователем в Azure AD B2C.
- API Microsoft Graph создает, обновляет или удаляет пользователя в Azure AD B2C.
- Azure AD B2C отправляет ответ на успех или сбой.
- API Microsoft Graph возвращает ответ на Saviynt.
Создание учетной записи Saviynt и создание делегированных политик
- Создайте учетную запись Saviynt. Чтобы приступить к работе, перейдите к saviynt.com свяжитесь с нами.
- Создайте делегированные политики администрирования.
- Назначьте пользователям делегированную роль администратора.
Настройка Azure AD B2C с Saviynt
Используйте следующие инструкции, чтобы создать приложение, удалить пользователей и многое другое.
Создание приложения Microsoft Entra для Saviynt
Для выполнения следующих инструкций используйте каталог с клиентом Azure AD B2C.
Войдите на портал Azure.
На панели инструментов портала выберите каталоги и подписки.
На странице "Параметры портала" "Каталоги и подписки" в списке имен каталога найдите каталог Azure AD B2C.
Выберите переключатель.
На портале Azure найдите и выберите Azure AD B2C.
Выберите Регистрация приложений >Новая регистрация.
Введите имя приложения. Например, Saviynt.
Выберите Создать.
Перейти к пункту Разрешения API.
Выберите + Добавить разрешение.
Откроется страница Запрос разрешений API.
Перейдите на вкладку API Майкрософт.
Выберите Microsoft Graph как часто используемые API Майкрософт.
Перейти к следующей странице
Выберите Разрешения приложения.
Выберите каталог.
Выберите каталог.Read.All и Directory.ReadWrite.All проверка boxes.
Нажмите кнопку Добавить разрешения.
Просмотрите разрешения.
Выберите "Предоставить согласие администратора" для каталога по умолчанию.
Выберите Сохранить.
Перейдите к сертификатам и секретам.
Выберите + Добавить секрет клиента.
Введите описание секрета клиента.
Выберите параметр истечения срока действия.
Выберите Добавить.
Секретный ключ отображается в разделе секрета клиента. Сохраните секрет клиента для последующего использования.
Перейдите на вкладку Обзор.
Скопируйте идентификатор клиента и идентификатор клиента.
Сохраните идентификатор клиента, идентификатор клиента и секрет клиента, чтобы завершить настройку.
Включение Saviynt для удаления пользователей
Включите Saviynt для выполнения операций удаления пользователей в Azure AD B2C.
Дополнительные сведения: объекты приложения и субъекта-службы в идентификаторе Microsoft Entra
- Установите последнюю версию модуля Microsoft Graph PowerShell на рабочей станции Или сервере Windows.
Дополнительные сведения см . в документации по Microsoft Graph PowerShell.
- Подключение в модуль PowerShell и выполните следующие команды:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId
Тестирование решения
Перейдите к клиенту приложения Saviynt и протестируйте варианты управления жизненным циклом пользователей и управления доступом.