通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure Active Directory B2C 配置 Saviynt 的教程

  • 项目

了解如何将 Azure Active Directory B2C (Azure AD B2C) 与 Saviynt Security Manager 平台集成,后者具有可见性、安全性和治理。 Saviynt 包含应用程序风险和治理、基础结构管理、特权帐户管理和客户风险分析。

了解详细信息:适用于 Azure AD B2C 的 Saviynt

使用以下说明为 Azure AD B2C 用户设置访问控制委派管理。 Saviynt 确定用户是否有权管理 Azure AD B2C 用户的以下方面:

  • 功能级别安全性,确定用户是否可以执行某项操作
    • 例如,创建用户、更新用户、重置用户密码等
  • 字段级别安全性,确定用户是否可以在用户管理操作期间读取/写入用户属性
    • 例如,技术支持代理可以更新电话号码;其他属性是只读的
  • 数据级别安全性,确定用户是否可以对其他用户执行某项操作
    • 例如,英国区域的技术支持管理员管理英国用户

先决条件

要开始,需要:

方案描述

Saviynt 集成包括以下组件:

  • Azure AD B2C - 标识即服务,用于自定义控制客户注册、登录和配置文件管理
  • 适用于 Azure AD B2C 的 Saviynt – 标识治理,用于用户生命周期管理和访问治理的委派管理
  • Microsoft Graph API – Savynt 用于管理 Azure AD B2C 用户及其访问的接口

以下体系结构图演示了实现方式。

Diagram of the Saviynt architecture.

  1. 委派管理员通过 Saviynt 启动 Azure AD B2C 用户操作。
  2. Savynt 验证委派管理员是否可以执行该操作。
  3. Saviynt 发送授权成功或失败响应。
  4. Savynt 允许委派管理员执行该操作。
  5. Saviynt 调用 Microsoft Graph API 和用户属性来管理 Azure AD B2C 中的用户。
  6. Microsoft Graph API 在 Azure AD B2C 中创建、更新或删除用户。
  7. Azure AD B2C 发送成功或失败响应。
  8. Microsoft Graph API 将响应返回给 Saviynt。

创建 Saviynt 帐户并创建委派策略

  1. 创建 Saviynt 帐户。 若要开始,请转到 saviynt.com 联系我们
  2. 创建委派管理策略。
  3. 向用户分配委派管理员角色。

为 Azure AD B2C 配置 Saviynt

使用以下说明创建应用程序、删除用户等。

为 Saviynt 创建 Microsoft Entra 应用程序

有关以下说明,请将目录与 Azure AD B2C 租户配合使用。

  1. 登录 Azure 门户

  2. 在门户工具栏中,选择“目录 + 订阅”。

  3. 在“门户设置”>“目录 + 订阅”页上的“目录名称”列表中,找到你的 Azure AD B2C 目录。

  4. 选择“切换”。

  5. 在 Azure 门户中,搜索并选择“Azure AD B2C”。

  6. 选择“应用注册”>“新建注册”。

  7. 输入应用程序名称。 例如,Saviynt。

  8. 选择“创建”。

  9. 转到“API 权限”。

  10. 选择“+ 添加权限”。

  11. 会显示“请求获取 API 权限”页。

  12. 选择“Microsoft API”选项卡。

  13. 选择 Microsoft Graph 作为常用的 Microsoft API。

  14. 转到下一页。

  15. 选择“应用程序权限”。

  16. 选择“目录”。

  17. 选择“Directory.Read.All”和“Directory.ReadWrite.All”复选框。

  18. 选择“添加权限”。

  19. 检查这些权限。

  20. 选择“为默认目录授予管理员同意”。

  21. 选择“保存” 。

  22. 转到“证书和密码”。

  23. 选择“+ 添加客户端密码”。

  24. 输入客户端密码说明。

  25. 选择到期选项。

  26. 选择“添加” 。

  27. “密钥”显示在“客户端密码”部分中。 保存客户端密码以供稍后使用。

  28. 转到“概览”。

  29. 复制客户端 ID租户 ID

保存租户 ID、客户端 ID 和客户端密码以完成设置。

启用 Saviynt 以删除用户

启用 Saviynt 以在 Azure AD B2C 中执行用户删除操作。

详细了解:Microsoft Entra ID 中的应用程序和服务主体对象

  1. 在 Windows 工作站或服务器上安装最新版本的 Microsoft Graph PowerShell 模块。

有关详细信息,请参阅 Microsoft Graph PowerShell 文档

  1. 连接到 PowerShell 模块并执行以下命令:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

测试解决方案

浏览到 Saviynt 应用程序租户,并测试用户生命周期管理和访问治理用例。

后续步骤