Что такое управление приложениями в идентификаторе Microsoft Entra?
Управление приложениями в идентификаторе Microsoft Entra — это процесс создания, настройки, управления и мониторинга приложений в облаке. Когда приложение зарегистрировано в клиенте Microsoft Entra, пользователи, уже имеющие назначение, могут безопасно получить доступ к нему. Многие типы приложений можно зарегистрировать в идентификаторе Microsoft Entra. Дополнительные сведения, см. в типах приложений для платформы идентификации Майкрософт.
В этой статье описаны следующие важные аспекты управления жизненным циклом приложения:
- Разработка, добавление или подключение— вы используете разные пути в зависимости от того, разрабатываете ли вы собственное приложение, используете предварительно созданное приложение или подключаетесь к локальному приложению.
- Управление доступом – Доступ можно управлять с помощью единого входа (SSO), назначения ресурсов, определения способа предоставления доступа и согласия, а также использования автоматического предоставления.
- Настройка свойств. Настройте требования для входа в приложение и способ представления приложения на пользовательских порталах.
- Защитить приложение — управление конфигурацией разрешений, многофакторной аутентификации, условного доступа, маркеров и сертификатов.
- управление и контроль — управление взаимодействием и анализ действий с использованием управления доступом, отчетности и контроля ресурсов.
- очистка. Если приложение больше не требуется, очистите клиент, удалив доступ к нему и удалив его.
Разработка, добавление или подключение
Существует несколько способов управления приложениями в идентификаторе Microsoft Entra. Самый простой способ начать управление приложением — использовать предварительно созданное приложение из коллекции Microsoft Entra. Разработка собственного приложения и его регистрация в идентификаторе Microsoft Entra — это вариант, или вы можете продолжать использовать локальное приложение.
На следующем рисунке показано, как эти приложения взаимодействуют с идентификатором Microsoft Entra.
Предварительно подготовленные приложения
Многие приложения уже предварительно интегрированы (как показано как Облачные приложения на предыдущем изображении в этой статье) и могут быть настроены с минимальными усилиями. Каждое приложение в коллекции Microsoft Entra имеет статью, которая показывает вам шаги, необходимые для настройки приложения. Простой пример того, как приложение можно добавить в клиент Microsoft Entra из галереи, см. в кратком руководстве по добавлению корпоративного приложения.
Собственные приложения
Если вы разрабатываете собственное бизнес-приложение, его можно зарегистрировать с помощью идентификатора Microsoft Entra, чтобы воспользоваться функциями безопасности, предоставляемыми клиентом. Вы можете зарегистрировать приложение в Регистрации приложенийили зарегистрировать его с помощью ссылки Создать собственное приложение при добавлении нового приложения в Корпоративные приложения. Учитывайте, как аутентификация реализована в приложении для интеграции с системой идентификации Microsoft Entra.
Если вы хотите сделать приложение доступным через галерею, вы можете отправить запрос на это.
Локальные приложения
Если вы хотите продолжить использование локального приложения, но воспользоваться преимуществами предложений идентификатора Microsoft Entra, подключите его к идентификатору Microsoft Entra с помощью прокси приложения Microsoft Entra. Прокси приложения можно реализовать, если вы хотите опубликовать локальные приложения вне системы. Удаленные пользователи, которым требуется доступ к внутренним приложениям, могут получить доступ к ним в безопасном режиме.
Управление доступом
Чтобы управлять доступом для приложения, необходимо ответить на следующие вопросы:
- Как предоставляется доступ и дается согласие для приложения?
- Поддерживает ли приложение единый вход (SSO)?
- Какие пользователи, группы и владельцы должны назначаться приложению?
- Существуют ли другие поставщики удостоверений, которые поддерживают приложение?
- Полезно ли автоматизировать предоставление идентификаторов пользователей и ролей?
Доступ и согласие
Вы можете управлять параметрами согласия пользователей, чтобы выбрать, могут ли пользователи разрешить приложению или службе доступ к профилям пользователей и данным организации. Когда приложения получают доступ, пользователи могут войти в приложения, интегрированные с идентификатором Microsoft Entra, и приложение может получить доступ к данным вашей организации для предоставления расширенных возможностей на основе данных.
В ситуациях, когда пользователи не могут согласиться с разрешениями, запрашивающими приложение, рассмотрите возможность настройки рабочего процесса согласия администратора. Рабочий процесс позволяет пользователям предоставлять обоснование и запрашивать проверку и утверждение приложения администратором. Сведения о настройке рабочего процесса согласия администратора в клиенте Microsoft Entra см. в статье Настройка рабочего процесса согласия администратора.
Администратор может предоставить согласие администратора на уровне клиента приложению. Согласие администратора на уровне клиента необходимо, если приложению требуются разрешения, которые обычные пользователи не могут предоставлять. Предоставление согласия администратора на уровне клиента также позволяет организациям реализовывать собственные процессы проверки. Всегда внимательно просматривайте разрешения, которые приложение запрашивает перед предоставлением согласия. Если приложению предоставлено согласие администратора на уровне клиента, все пользователи смогут войти в приложение, если только вы не настроите его, чтобы требовать назначения пользователей.
Единый вход
Рассмотрите возможность реализации единого входа в приложении. Вы можете вручную настроить большинство приложений для единого входа. Наиболее популярными вариантами в Microsoft Entra ID являются SSO, основанный на SAML, иSSO, основанный на OpenID Connect. Перед началом работы убедитесь, что вы понимаете требования для единого входа и как план развертывания. Дополнительные сведения о настройке единого входа на основе SAML для корпоративного приложения в клиенте Microsoft Entra см. в статье Включение единого входа для приложения с помощью идентификатора Microsoft Entra ID.
Назначение пользователей, групп и владельцев
По умолчанию все пользователи могут получить доступ к вашим корпоративным приложениям без предварительного назначения. Однако, если вы хотите назначить набор пользователей приложению, настройте приложение для обязательного назначения пользователей и назначьте выбранных пользователей приложению. Чтобы увидеть простой пример того, как создать и назначить учетную запись пользователя приложению, см. в кратком руководстве: Создайте и назначьте учетную запись пользователя.
Если это включено в вашу подписку, назначьте группы приложению, чтобы вы могли делегировать текущее управление доступом владельцу группы.
назначение владельцев — это простой способ предоставить возможность управлять всеми аспектами конфигурации Microsoft Entra для приложения. В качестве владельца пользователь может управлять конфигурацией приложения для конкретной организации. Рекомендуется активно отслеживать приложения в арендаторе, чтобы обеспечить наличие по крайней мере двух владельцев и избежать ситуации, когда у приложений нет владельцев.
Автоматизация обеспечения
Обеспечение доступа к приложениям относится к автоматическому созданию удостоверений пользователей и ролей в приложениях, к которым пользователям требуется доступ. Помимо создания учетных записей пользователей, автоматическая подготовка включает обслуживание и удаление учетных записей пользователей по мере изменения статуса или ролей.
Поставщики удостоверений
У вас есть поставщик удостоверений, с которым вы хотите, чтобы взаимодействовала Microsoft Entra ID? Обнаружение домашней области предоставляет конфигурацию, которая позволяет Microsoft Entra ID определить, с каким поставщиком удостоверений пользователь должен пройти аутентификацию при входе.
Пользовательские порталы
Идентификатор Microsoft Entra предоставляет настраиваемые способы развертывания приложений для пользователей в организации. Например, портал "Мои приложения" или средство запуска приложений Microsoft 365. Мои приложения предоставляют пользователям одно место для запуска работы и поиска всех приложений, к которым у них есть доступ. Администратор приложения должен запланировать, как пользователи в организации используют мои приложения.
Настройка свойств
При добавлении приложения в клиент Microsoft Entra у вас есть возможность настроить свойства, влияющие на способ взаимодействия пользователей с приложением. Вы можете включить или отключить возможность входа и задать приложению требование назначения пользователей. Вы также можете определить видимость приложения, логотип приложения и любые заметки о приложении. Дополнительные сведения о свойствах, которые можно настроить, см. в разделе Свойства корпоративного приложения.
Защита приложения
Существует несколько методов, которые помогут обеспечить безопасность корпоративных приложений. Например, можно ограничить доступ клиента, управлять видимостью, данными и аналитикой, а также предоставлять гибридный доступ. Обеспечение безопасности корпоративных приложений также включает управление конфигурацией разрешений, MFA, условного доступа, маркеров и сертификатов.
Разрешения
При необходимости важно периодически проверять и управлять разрешениями, предоставленными приложению или службе. Убедитесь, что вы разрешаете доступ только к приложениям, регулярно оценивая наличие подозрительных действий.
классификации разрешений позволяют определить влияние различных разрешений в соответствии с политиками и оценками рисков вашей организации. Например, можно использовать классификации разрешений в политиках согласия для идентификации набора разрешений, которым разрешено согласие пользователей.
Многофакторная проверка подлинности и условный доступ
Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям, предоставляя другой уровень безопасности с помощью второй формы проверки подлинности. Существует множество методов, которые можно использовать для проверки подлинности второго фактора. Прежде чем начать, запланируйте развертывание многофакторной аутентификации (MFA) для приложения в вашей организации.
Организации могут включить многофакторную аутентификацию (MFA) с условным доступом, чтобы решение соответствовало конкретным потребностям. Политики условного доступа позволяют администраторам назначать элементы управления определенным приложениям, действиям или контексту проверки подлинности.
Токены и сертификаты
Различные типы маркеров безопасности используются в потоке проверки подлинности в идентификаторе Microsoft Entra в зависимости от используемого протокола. Например, маркеры SAML используются для протокола SAML, а маркеры идентификатора и маркеры доступа используются для протокола OpenID Connect. Токены подписаны уникальным сертификатом, создаваемым Microsoft Entra ID, а также определёнными стандартными алгоритмами.
Вы можете обеспечить большую безопасность, зашифровав токен. Вы также можете управлять сведениями в маркере, такими как роли , которые разрешены для приложения.
Идентификатор Microsoft Entra использует алгоритм SHA-256 по умолчанию для подписывания ответа SAML. Используйте SHA-256, если приложению не требуется SHA-1. Создайте процесс управления сроком действия сертификата. Максимальное время существования сертификата подписи составляет три года. Чтобы предотвратить или свести к минимуму сбой из-за истечения срока действия сертификата, используйте роли и списки рассылки электронной почты, чтобы обеспечить внимательное отслеживание уведомлений об изменениях, связанных с сертификатом.
Управление и мониторинг
Управление правами доступа в Microsoft Entra Identity позволяет управлять взаимодействием между приложениями и администраторами, владельцами каталогов, менеджерами пакетов доступа, утверждающими и запрашивающими.
Ваше решение для создания отчетов и мониторинга Microsoft Entra зависит от ваших юридических, безопасности и операционных требований, а также от существующих сред и процессов. Существует несколько журналов, которые хранятся в идентификаторе Microsoft Entra. Таким образом, вы должны планировать отчетность и мониторинг развертывания, чтобы поддерживать лучший опыт использования вашего приложения.
Убирать
Вы можете очистить доступ к приложениям. Например, удаление доступа пользователя. Вы также можете отключить способ входа пользователя в. И, наконец, вы можете удалить приложение, если оно больше не требуется для организации. Дополнительные сведения об удалении корпоративного приложения из клиента Microsoft Entra см. в разделе "Быстрое начало: удаление корпоративного приложения".
Пошаговое руководство
Для пошагового ознакомления с многими рекомендациями в этой статье см. руководство по защите ваших облачных приложений с помощью функции Единого входа (SSO) в Microsoft 365.