Självstudie för att konfigurera Saviynt med Azure Active Directory B2C

Lär dig att integrera Azure Active Directory B2C (Azure AD B2C) med Saviynt Security Manager-plattformen, som har synlighet, säkerhet och styrning. Saviynt omfattar programrisk och styrning, infrastrukturhantering, privilegierad kontohantering och kundriskanalys.

Läs mer: Saviynt för Azure AD B2C

Använd följande instruktioner för att konfigurera delegerad administration av åtkomstkontroll för Azure AD B2C-användare. Saviynt avgör om en användare har behörighet att hantera Azure AD B2C-användare med:

• Säkerhet på funktionsnivå för att avgöra om användare kan utföra en åtgärd
  • Du kan till exempel skapa användare, uppdatera användare, återställa användarlösenord och så vidare
• Säkerhet på fältnivå för att avgöra om användare kan läsa/skriva användarattribut under användarhanteringsåtgärder
  • En supportagent kan till exempel uppdatera ett telefonnummer. andra attribut är skrivskyddade
• Säkerhet på datanivå för att avgöra om användare kan utföra en åtgärd på en annan användare
  • En supportadministratör för Storbritannien hanterar till exempel brittiska användare

Förutsättningar

Du behöver följande för att komma igång:

• En Azure-prenumeration

  • Om du inte har på får du ett kostnadsfritt Azure-konto

• En Azure AD B2C-klientorganisation som är länkad till din Azure-prenumeration

• Gå till saviynt.com Kontakta oss för att begära en demo

Beskrivning av scenario

Saviynt-integreringen innehåller följande komponenter:

• Azure AD B2C – identitet som en tjänst för anpassad kontroll av kundregistrering, inloggning och profilhantering
  • Se Azure AD B2C, Kom igång
• Saviynt för Azure AD B2C – identitetsstyrning för delegerad administration av användarlivscykelhantering och åtkomststyrning
  • Se Saviynt för Azure AD B2C
• Microsoft Graph API – gränssnitt för Saviynt för att hantera Azure AD B2C-användare och deras åtkomst
  • Se Använda Microsoft Graph-API:et

Följande arkitekturdiagram illustrerar implementeringen.

1. En delegerad administratör startar Azure AD B2C-användaråtgärden med Saviynt.
2. Saviynt verifierar att den delegerade administratören kan utföra åtgärden.
3. Saviynt skickar ett svar om att auktoriseringen lyckades eller misslyckades.
4. Med Saviynt kan den delegerade administratören utföra åtgärden.
5. Saviynt anropar Microsoft Graph API med användarattribut för att hantera användaren i Azure AD B2C.
6. Microsoft Graph API skapar, uppdaterar eller tar bort användaren i Azure AD B2C.
7. Azure AD B2C skickar ett lyckat eller misslyckat svar.
8. Microsoft Graph API returnerar svaret till Saviynt.

Skapa ett Saviynt-konto och skapa delegerade principer

1. Skapa ett Saviynt-konto. Kom igång genom att gå till saviynt.com Kontakta oss.
2. Skapa delegerade administrationsprinciper.
3. Tilldela användare rollen delegerad administratör.

Konfigurera Azure AD B2C med Saviynt

Använd följande instruktioner för att skapa ett program, ta bort användare med mera.

Skapa ett Microsoft Entra-program för Saviynt

För följande instruktioner använder du katalogen med Azure AD B2C-klientorganisationen.

1. Logga in på Azure-portalen.

2. I portalverktygsfältet väljer du Kataloger + prenumerationer.

3. På sidan Portalinställningar letar du upp din Azure AD B2C-katalog i listan Katalognamn .

4. Välj Växla.

5. I Azure-portalen söker du efter och väljer Azure AD B2C.

6. Välj Appregistreringar> Ny registrering.

7. Ange ett programnamn. Till exempel Saviynt.

8. Välj Skapa.

9. Gå till API-behörigheter.

10. Välj + Lägg till behörighet.

11. Sidan Api-behörigheter för begäran visas.

12. Välj fliken Microsoft-API:er .

13. Välj Microsoft Graph som vanliga Microsoft-API:er.

14. Gå till nästa sida.

15. Välj Programbehörigheter.

16. Välj Katalog.

17. Markera kryssrutorna Directory.Read.All och Directory.ReadWrite.All .

18. Välj Lägg till behörigheter.

19. Granska behörigheterna.

20. Välj Bevilja administratörsmedgivande för Standardkatalog.

21. Välj Spara.

22. Gå till Certifikat och hemligheter.

23. Välj + Lägg till klienthemlighet.

24. Ange beskrivningen av klienthemligheten.

25. Välj alternativet Förfallodatum.

26. Markera Lägga till.

27. Hemlighetsnyckeln visas i avsnittet Klienthemlighet. Spara klienthemligheten för senare användning.

28. Gå till Översikt.

29. Kopiera klient-ID och klient-ID.

Spara klientorganisations-ID, klient-ID och klienthemlighet för att slutföra installationen.

Aktivera Saviynt för att ta bort användare

Aktivera Saviynt för att utföra användarborttagningsåtgärder i Azure AD B2C.

Läs mer: Program- och tjänsthuvudnamnsobjekt i Microsoft Entra-ID

1. Installera den senaste versionen av Microsoft Graph PowerShell-modulen på en Windows-arbetsstation eller -server.

Mer information finns i Microsoft Graph PowerShell-dokumentationen.

2. Anslut till PowerShell-modulen och kör följande kommandon:

Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Testa lösningen

Bläddra till din Klientorganisation för Saviynt-programmet och testa användningsfall för användarlivscykelhantering och åtkomststyrning.

Nästa steg

• Översikt över anpassad princip i Azure AD B2C
• Självstudie: Skapa användarflöden och anpassade principer i Azure AD B2C
• Lägg till ett webb-API-program i din Azure Active Directory B2C-klientorganisation