Поделиться через


Руководство по настройке Saviynt с помощью Azure Active Directory B2C

Узнайте, как интегрировать Azure Active Directory B2C (Azure AD B2C) с платформой Диспетчера безопасности Saviynt, которая имеет видимость, безопасность и управление. Saviynt включает в себя управление рисками приложений, управление инфраструктурой, управление привилегированными учетными записями и анализ рисков клиентов.

Дополнительные сведения: Saviynt для Azure AD B2C

Используйте следующие инструкции, чтобы настроить делегированное администрирование управления доступом для пользователей Azure AD B2C. Saviynt определяет, разрешен ли пользователь управлять пользователями Azure AD B2C:

  • Безопасность уровня компонентов, чтобы определить, могут ли пользователи выполнять операцию
    • Например, создайте пользователя, обновите пользователя, сбросьте пароль пользователя и т. д.
  • Безопасность на уровне поля, чтобы определить, могут ли пользователи читать и записывать атрибуты пользователя во время операций управления пользователями
    • Например, агент службы технической поддержки может обновить номер телефона; другие атрибуты доступны только для чтения
  • Безопасность уровня данных, чтобы определить, могут ли пользователи выполнять операцию с другим пользователем.
    • Например, администратор службы технической поддержки в регионе Соединенного Королевства управляет пользователями Великобритании

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

Описание сценария

Интеграция с Saviynt включает следующие компоненты.

  • Azure AD B2C — удостоверение как услуга для пользовательского управления регистрации, входа и управления профилями клиентов
  • Saviynt для Azure AD B2C — управление удостоверениями для делегированного администрирования управления жизненным циклом пользователей и управления доступом
  • API Microsoft Graph — интерфейс для Saviynt для управления пользователями Azure AD B2C и их доступом
    • См. Использование API Microsoft Graph.

На следующей схеме архитектуры показана реализация.

Diagram of the Saviynt architecture.

  1. Делегированный администратор запускает операцию пользователя Azure AD B2C с Saviynt.
  2. Saviynt проверяет, что делегированный администратор может выполнить операцию.
  3. Saviynt отправляет ответ на успешное выполнение авторизации или сбой.
  4. Saviynt позволяет делегированным администраторам выполнять операцию.
  5. Saviynt вызывает API Microsoft Graph с атрибутами пользователя для управления пользователем в Azure AD B2C.
  6. API Microsoft Graph создает, обновляет или удаляет пользователя в Azure AD B2C.
  7. Azure AD B2C отправляет ответ на успех или сбой.
  8. API Microsoft Graph возвращает ответ на Saviynt.

Создание учетной записи Saviynt и создание делегированных политик

  1. Создайте учетную запись Saviynt. Чтобы приступить к работе, перейдите к saviynt.com свяжитесь с нами.
  2. Создайте делегированные политики администрирования.
  3. Назначьте пользователям делегированную роль администратора.

Настройка Azure AD B2C с Saviynt

Используйте следующие инструкции, чтобы создать приложение, удалить пользователей и многое другое.

Создание приложения Microsoft Entra для Saviynt

Для выполнения следующих инструкций используйте каталог с клиентом Azure AD B2C.

  1. Войдите на портал Azure.

  2. На панели инструментов портала выберите каталоги и подписки.

  3. На странице "Параметры портала" "Каталоги и подписки" в списке имен каталога найдите каталог Azure AD B2C.

  4. Выберите переключатель.

  5. На портале Azure найдите и выберите Azure AD B2C.

  6. Выберите Регистрация приложений >Новая регистрация.

  7. Введите имя приложения. Например, Saviynt.

  8. Выберите Создать.

  9. Перейти к пункту Разрешения API.

  10. Выберите + Добавить разрешение.

  11. Откроется страница Запрос разрешений API.

  12. Перейдите на вкладку API Майкрософт.

  13. Выберите Microsoft Graph как часто используемые API Майкрософт.

  14. Перейти к следующей странице

  15. Выберите Разрешения приложения.

  16. Выберите каталог.

  17. Выберите каталог.Read.All и Directory.ReadWrite.All проверка boxes.

  18. Нажмите кнопку Добавить разрешения.

  19. Просмотрите разрешения.

  20. Выберите "Предоставить согласие администратора" для каталога по умолчанию.

  21. Выберите Сохранить.

  22. Перейдите к сертификатам и секретам.

  23. Выберите + Добавить секрет клиента.

  24. Введите описание секрета клиента.

  25. Выберите параметр истечения срока действия.

  26. Выберите Добавить.

  27. Секретный ключ отображается в разделе секрета клиента. Сохраните секрет клиента для последующего использования.

  28. Перейдите на вкладку Обзор.

  29. Скопируйте идентификатор клиента и идентификатор клиента.

Сохраните идентификатор клиента, идентификатор клиента и секрет клиента, чтобы завершить настройку.

Включение Saviynt для удаления пользователей

Включите Saviynt для выполнения операций удаления пользователей в Azure AD B2C.

Дополнительные сведения: объекты приложения и субъекта-службы в идентификаторе Microsoft Entra

  1. Установите последнюю версию модуля Microsoft Graph PowerShell на рабочей станции Или сервере Windows.

Дополнительные сведения см . в документации по Microsoft Graph PowerShell.

  1. Подключение в модуль PowerShell и выполните следующие команды:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Тестирование решения

Перейдите к клиенту приложения Saviynt и протестируйте варианты управления жизненным циклом пользователей и управления доступом.

Следующие шаги