Поделиться через

Интеграция приложений с идентификатором Microsoft Entra и создание базовых показателей проверенного доступа

  • Статья

После установки политик для тех, кто должен иметь доступ к приложению, вы можете подключить приложение к идентификатору Microsoft Entra ID, а затем развернуть политики для управления доступом к ним.

Управление идентификаторами Microsoft Entra можно интегрировать со многими приложениями, включая SAP R/3, SAP S/4HANA, а также с помощью стандартов , таких как OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP и REST. С помощью этих стандартов можно использовать идентификатор Microsoft Entra с множеством популярных приложений SaaS и локальных приложений, включая приложения, разработанные вашей организацией. Этот план развертывания описывает подключение приложения к идентификатору Microsoft Entra и включение функций управления удостоверениями для этого приложения.

Чтобы система управления идентификаторами Microsoft Entra использовалась для приложения, приложение сначала должно быть интегрировано с идентификатором Microsoft Entra и представлено в каталоге. Приложение, интегрированное с идентификатором Microsoft Entra ID, означает, что необходимо выполнить одно из двух требований:

  • Приложение использует Microsoft Entra ID для федеративного единого входа, а Microsoft Entra ID управляет выдачей токенов аутентификации. Если Microsoft Entra ID является единственным поставщиком удостоверений для приложения, то только пользователи, назначенные на одну из ролей приложения в Microsoft Entra ID, могут войти в приложение. Те пользователи, которые теряют назначение роли в приложении, больше не могут получить новый токен для входа в приложение.
  • Приложение использует списки пользователей или групп, предоставляемые приложению идентификатором Microsoft Entra. Это выполнение может быть осуществлено через протокол предоставления, такой как SCIM, путем запроса Microsoft Entra ID через Microsoft Graph или с помощью приложения, использующего AD Kerberos, для получения членства пользователя в группах.

Если ни один из этих критериев не выполняется для приложения, например если приложение не зависит от Microsoft Entra ID, то управление удостоверениями можно по-прежнему использовать. Однако может быть несколько ограничений при использовании управления удостоверениями без соответствия критериям. Например, пользователи, которые не входят в Microsoft Entra ID или не назначены на роли приложений в Microsoft Entra ID, не будут включены в проверки доступа приложения, пока вы не назначите их на роли приложений. Дополнительные сведения см. в статье Подготовка к проверке доступа пользователей к приложению.

Интеграция приложения с идентификатором Microsoft Entra для обеспечения доступа только авторизованных пользователей к приложению

Интеграция приложения начинается при настройке этого приложения для использования Microsoft Entra ID для аутентификации пользователей, используя федеративный протокол SSO, а затем добавляется автоматическое назначение пользователей. Наиболее часто используемые протоколы единого входа — SAML и OpenID Connect. Дополнительные сведения о средствах и процессах для обнаружения и переноса проверки подлинности приложения видентификатора Microsoft Entra.

Затем, если приложение реализует протокол подготовки, необходимо настроить идентификатор Microsoft Entra для подготовки пользователей к приложению, чтобы идентификатор Microsoft Entra может сигнализировать приложению, когда пользователь получил доступ или доступ пользователя был удален. Эти сигналы подготовки позволяют приложению вносить автоматические исправления, такие как переназначение содержимого, созданного сотрудником, уволившимся их руководителю.

  1. Проверьте, находится ли приложение в списке корпоративных приложений или списке регистраций приложений. Если приложение уже присутствует в клиенте, перейдите к шагу 5 в этом разделе.

  2. Если ваше приложение является приложением SaaS, которое еще не зарегистрировано в вашем клиенте, проверьте наличие доступных приложений в галерее приложений , которые можно интегрировать для федеративной единой аутентификации. Если он есть в галерее, используйте руководства для интеграции приложения с Microsoft Entra ID.

    1. Следуйте руководству, чтобы настроить приложение для федеративного SSO с Microsoft Entra ID.
    2. Если приложение поддерживает функцию автоматизации, включить функцию автоматизации в приложении.
    3. По завершении перейдите к следующему разделу в этой статье. Если приложение SaaS не входит в коллекцию, попросите поставщика SaaS подключить.

  3. Если это частное или пользовательское приложение, вы также можете выбрать интеграцию единого входа, которая наиболее подходит, в зависимости от расположения и возможностей приложения.

    • Если это приложение находится на платформе SAP Business Technology Platform (BTP), настройте интеграцию Microsoft Entra со службами SAP Cloud Identity Services. Дополнительные сведения см. в статье интеграции единого входа Microsoft Entra с SAP BTP и управления доступом к SAP BTP.

    • Если это приложение находится в общедоступном облаке и поддерживает единый вход, настройте его непосредственно из идентификатора Microsoft Entra в приложение.

      Приложение поддерживает Дальнейшие действия
      OpenID Connect Добавить приложение OAuth OpenID Connect
      SAML 2.0 Зарегистрируйте приложение и настройте приложение с помощью конечных точек SAML и сертификат идентификатора Microsoft Entra ID
      SAML 1.1 Добавление приложения на основе SAML

    • Если это приложение SAP, использующее графический интерфейс SAP, интегрируйте Microsoft Entra для единого входа с помощью интеграции со службой безопасного входа SAP или интеграции с Microsoft Entra Private Access.

    • В противном случае, если это локальное или размещенное приложение IaaS, поддерживающее единый вход, настройте единый вход из идентификатора Microsoft Entra в приложение через прокси приложения.

      Приложение поддерживает Дальнейшие действия
      SAML 2.0 Разверните прокси приложения и настройте приложение для SAML SSO
      Встроенная проверка подлинности Windows (IWA) Разверните прокси приложения , настройте приложение для единого входа с использованием интегрированной аутентификации Windows и настройте правила брандмауэра для предотвращения доступа к конечным точкам приложения, кроме как через прокси-сервер.
      Проверка подлинности на основе заголовков Разверните прокси приложения и настройте приложение для единого входа на основе заголовков

  4. Если приложение находится в SAP BTP, вы можете использовать группы Microsoft Entra для поддержания членства в каждой роли. Дополнительные сведения о назначении групп коллекциям ролей BTP см. в статье Управление доступом к SAP BTP.

  5. Если в вашем приложении несколько ролей, и каждый пользователь имеет в нём только одну роль, и приложение использует Microsoft Entra ID для отправки этой роли в виде утверждения о входе пользователя, то настройте роли приложения в Microsoft Entra ID и назначьте каждому пользователю его роль в приложении. Вы можете использовать пользовательский интерфейс ролей приложения для добавления этих ролей в манифест приложения. Если вы используете библиотеки проверки подлинности Майкрософт, существует пример кода для использования ролей приложений в приложении для управления доступом. Если у пользователя может быть несколько ролей одновременно, вам может понадобиться реализовать приложение для проверки групп безопасности, либо в утверждениях токена, либо доступных через Microsoft Graph, вместо использования ролей приложения из его манифеста для управления доступом.

  6. Если приложение поддерживает автономную конфигурацию, то настройте автономную конфигурацию назначенных пользователей и групп из Microsoft Entra ID для этого приложения. Если это частное или пользовательское приложение, вы также можете выбрать интеграцию, которая наиболее подходит, в зависимости от расположения и возможностей приложения.

    • Если это приложение использует службы SAP Cloud Identity Services, настройте подготовку пользователей с помощью SCIM в облачных службах удостоверений SAP.

      Приложение поддерживает Дальнейшие действия
      Облачные службы удостоверений SAP Настройка Microsoft Entra ID для автоматического добавления пользователей в SAP Cloud Identity Services

    • Если это приложение находится в общедоступном облаке и поддерживает SCIM, настройте подготовку пользователей с помощью SCIM.

      Приложение поддерживает Дальнейшие действия
      SCIM Настройте приложение с SCIM для предоставления пользователей

    • Если это приложение использует AD, настройте функцию обратной записи для групп и обновите приложение, чтобы использовать группы, созданные Microsoft Entra ID, или вложите созданные Microsoft Entra ID группы в существующие группы безопасности AD приложений.

      Приложение поддерживает Дальнейшие действия
      Kerberos Настройте обратную синхронизацию группы Microsoft Entra Cloud Sync в AD, создайте группы в каталоге Microsoft Entra и запишите эти группы в AD.

    • В противном случае, если это локальное или размещенное приложение IaaS и не интегрировано с AD, настройте подготовку этого приложения через SCIM или базовую базу данных или каталог приложения.

      Приложение поддерживает Дальнейшие действия
      SCIM (Система управления идентификацией между доменами) настройте приложение с агентом предоставления для локальных приложений на основе SCIM
      учетные записи локальных пользователей, хранящиеся в базе данных SQL настройте приложение с агентом подготовки для локальных приложений SQL
      учетные записи локальных пользователей, хранящиеся в каталоге LDAP Настройте приложение при помощи агента подготовки для локальных приложений, основанных на LDAP.
      учетные записи локальных пользователей, управляемые с помощью SOAP или REST API Настройте приложение с агентом подготовки , используя соединитель веб-служб.
      учетные записи локальных пользователей, управляемые через соединитель MIM настройте приложение, используя агент подготовки и настроенный соединитель
      SAP ECC с NetWeaver AS ABAP 7.0 или более поздней версии настройте приложение с агентом подготовки с настроенным соединителем веб-служб SAP ECC

  7. Если приложение использует Microsoft Graph для запроса групп из идентификатора Microsoft Entra ID, согласие приложениям, чтобы иметь соответствующие разрешения для чтения из вашего клиента.

  8. Укажите, что доступ к приложению разрешен только тем пользователям, которые назначены приложению. Этот параметр запрещает пользователям непреднамеренно видеть приложение в MyApps и пытаться войти в приложение до включения политик условного доступа.

Выполнение первоначальной проверки доступа

Если это новое приложение, которое вашей организацией не использовалось раньше, и поэтому никто не имеет предшествующего доступа, либо если вы уже проводите проверки доступа для этого приложения, перейдите к следующему разделу.

Однако если приложение уже было в вашей среде, пользователи могли получить доступ в прошлом с помощью ручных или внеполосных процессов. Вам следует проверить доступ этих пользователей, чтобы подтвердить, что он по-прежнему необходим и уместен. Мы рекомендуем выполнить проверку доступа пользователей, у которых уже есть доступ к приложению, перед включением политик для получения дополнительных пользователей возможности запрашивать доступ. Эта проверка задает базовый план, в котором все пользователи проверяются по крайней мере один раз, чтобы убедиться, что они авторизованы для продолжения доступа.

  1. Выполните действия, описанные в Подготовке к проверке доступа пользователей к приложению.
  2. Если приложение не использовало идентификатор Microsoft Entra или AD, но поддерживает протокол подготовки или имеет базовую базу данных SQL или LDAP, внесите любые существующих пользователей и создайте назначения ролей приложения для них.
  3. Если приложение не использует Microsoft Entra ID или AD и не поддерживает протокол инициализации, получите список пользователей из приложения и создайте назначения ролей приложения для каждого из них.
  4. Если приложение использовало группы безопасности AD, необходимо проверить членство этих групп безопасности.
  5. Если приложение имело собственный каталог или базу данных и не было интегрировано для подготовки, то после завершения проверки может потребоваться вручную обновить внутреннюю базу данных или каталог приложения, чтобы удалить тех пользователей, которые были отклонены.
  6. Если приложение использовало группы безопасности AD и эти группы были созданы в AD, то после завершения проверки необходимо вручную обновить группы AD, чтобы удалить членство тех пользователей, которые были отклонены. Впоследствии для автоматического удаления прав доступа можно либо обновить приложение, чтобы использовать группу AD, созданную в идентификаторе Microsoft Entra ID, и записанную обратно в идентификатор Microsoft Entra ID, либо переместить членство из группы AD в группу Microsoft Entra, а вложить запись обратной группы в качестве единственного члена группы AD.
  7. После завершения проверки и обновления доступа к приложению или если у пользователей нет доступа, перейдите к следующим шагам, чтобы развернуть политики условного доступа и управления правами для приложения.

Теперь, когда у вас есть базовый план, обеспечивающий проверку существующего доступа, вы можете развернуть политики организации для текущего доступа и любых новых запросов на доступ.

Дальнейшие действия