通过

将应用程序与 Microsoft Entra ID 集成并建立评审访问基线

  • 项目

为应有权访问应用程序的人员建立策略后,可以将应用程序连接到 Microsoft Entra ID,然后部署策略来管理对应用程序的访问。

Microsoft Entra ID Governance 可以与许多应用程序(包括 SAP R/3、SAP S/4HANA,以及使用 OpenID Connect、SAML、SCIM、SQL、LDAP、SOAP 和 REST 等标准的应用程序)集成。 通过这些标准,可以将 Microsoft Entra ID 与许多常用的 SaaS 应用程序和本地应用程序配合使用,包括组织已经开发的应用程序。 此部署计划涵盖如何将你的应用程序连接到 Microsoft Entra ID 并启用用于该应用程序的身份治理功能。

为了使 Microsoft Entra ID Governance 能够用于应用程序,必须首先将应用程序与 Microsoft Entra ID 集成并在目录中表示。 与 Microsoft Entra ID 集成的应用程序意味着必须满足以下两个要求之一:

  • 应用程序依赖于 Microsoft Entra ID 的联合 SSO,Microsoft Entra ID 负责控制身份验证令牌的颁发。 如果 Microsoft Entra ID 是应用程序的唯一标识提供者,则只有分配到 Microsoft Entra ID 中应用程序角色之一的用户才能登录到应用程序。 失去其应用程序角色分配的用户无法再获取用于登录到应用程序的新令牌。
  • 应用程序依赖于 Microsoft Entra ID 提供给应用程序的用户或组列表。 这种履行可以通过使用诸如 SCIM 之类的预配协议来完成,或者应用程序通过 Microsoft Graph 查询 Microsoft Entra ID,或者应用程序使用 AD Kerberos 获取用户的组成员身份。

如果应用程序不满足这两个条件,例如当应用程序不依赖 Microsoft Entra ID 时,仍然可以使用标识治理。 但是,在不满足标准的情况下使用身份治理可能会有一些限制。 例如,不在 Microsoft Entra ID 中的用户或未被分配到 Microsoft Entra ID 中的应用程序角色的用户,在被分配到应用程序角色之前,不会被包含在应用程序的访问审核中。 有关详细信息,请参阅准备对用户对应用程序的访问权限进行访问评审

将应用程序与 Microsoft Entra ID 集成以确保只有授权用户才能访问应用程序

当您将应用程序配置为通过 Microsoft Entra ID 进行用户身份验证,并使用联合单一登录(SSO)协议连接时,应用程序集成过程将开始,然后您可以添加预配选项。 SSO 最常用的协议是 SAML 和 OpenID Connect。 可以阅读有关发现应用程序身份验证并将其迁移到 Microsoft Entra ID 的工具和过程的更多信息。

接下来,如果应用程序实现了预配协议,那么你应该配置 Microsoft Entra ID 以向应用程序预配用户,以便当用户被授予访问权限或用户的访问权限已被删除时,Microsoft Entra ID 可以向应用程序发出信号。 这些预配信号允许应用程序进行自动更正,例如将已离职员工创建的内容重新分配给他们的经理。

  1. 检查您的应用程序是否位于企业应用程序 列表 中,或应用注册 列表中。 如果租户中已存在应用程序,请跳过到本节第 5 步。

  2. 如果应用程序是尚未在租户中注册的 SaaS 应用程序,请检查应用程序库中可集成用于联合 SSO 的可用应用程序。 如果位于库中,请使用教程将应用程序与 Microsoft Entra ID 集成。

    1. 按照教程配置与 Microsoft Entra ID 的联合 SSO 的应用程序。
    2. 如果应用程序支持预配,请配置应用程序以进行预配
    3. 完成后,请跳到本文中的下一部分。 如果 SaaS 应用程序不在库中,请让 SaaS 供应商该该应用程序入库

  3. 如果这是私有或自定义应用程序,你还可以根据应用程序的位置和功能选择最合适的单一登录集成。

  4. 如果应用程序位于 SAP BTP 上,则可以使用 Microsoft Entra 组来维护每个角色的成员身份。 有关将组分配到 BTP 角色集合的详细信息,请参阅管理对 SAP BTP 的访问

  5. 如果应用程序具有多个角色,且每个用户在应用程序中只有一个角色,并且应用程序依赖于 Microsoft Entra ID 来发送用户登录应用程序时特定的角色声明,那么请在您的应用程序中通过 Microsoft Entra ID 配置这些应用角色,并将每个用户分配到相应的应用程序角色。 可以使用应用角色 UI 将这些角色添加到应用程序清单。 如果您使用 Microsoft 身份验证库,这里有一个 代码示例,它展示了如何在您的应用程序中利用应用角色来进行访问控制。 如果用户可以同时具有多个角色,则你可能希望实现应用程序来检查安全组,无论是在令牌声明中还是通过 Microsoft Graph 提供,而不是使用应用清单中的应用角色进行访问控制。

  6. 如果应用程序支持预配,则配置从 Microsoft Entra ID 到该应用程序的已分配用户和组的预配。 如果这是私有或自定义应用程序,你还可以根据应用程序的位置和功能选择最合适的集成。

  7. 如果你的应用程序使用 Microsoft Graph 从 Microsoft Entra ID 查询组,则同意应用程序具有从你的租户读取的适当权限。

  8. 将访问 应用程序的权限设置为仅限分配给应用程序的用户。 此设置可防止此情况:在条件访问策略启用之前,用户无意中在 MyApps 中看到应用程序并尝试登录应用程序。

执行初始访问评审

如果这是贵组织以前未使用的新应用程序,并且因此没有人具有现有访问权限,或者如果您已为此应用程序进行了访问审核,请跳到下一部分

但是,如果该应用程序已经在你的环境中,则用户可能曾通过手动或带外进程获得过访问权限。 应查看这些用户以确认其访问权限仍是必需的且合适。 我们建议在启用策略以使更多用户能够请求访问之前,对已经有权访问应用程序的用户执行访问审查。 此评审设定了一个基线,所有用户至少接受一次评审,以确保他们被授权继续访问。

  1. 按照准备对用户对应用程序的访问权限进行访问评审中的步骤进行操作。
  2. 如果应用程序未使用 Microsoft Entra ID 或 AD,但支持预配协议或具有基础 SQL 或 LDAP 数据库,请引入任何现有用户并为其创建应用程序角色分配
  3. 如果应用程序未使用 Microsoft Entra ID 或 AD,并且不支持预配协议,请从应用程序获取用户列表,并为每个用户创建应用程序角色分配
  4. 如果应用程序使用的是 AD 安全组,则需要查看这些安全组的成员身份。
  5. 如果应用程序有自己的目录或数据库,并且未集成以进行预配,那么一旦审核完成,你就可能需要手动更新应用程序的内部数据库或目录以删除那些被拒绝的用户。
  6. 如果应用程序使用的是 AD 安全组,并且这些组是在 AD 中创建的,则在审核完成后,需要手动更新 AD 组以删除拒绝的用户的成员身份。 随后,若要自动移除已拒绝的访问权限,可更新应用程序以使用在 Microsoft Entra ID 中创建并写回 Microsoft Entra ID 的 AD 组,或者将成员身份从 AD 组移动到 Microsoft Entra 组,并将写回组嵌套为 AD 组的唯一成员
  7. 完成审核并更新应用程序访问权限后,或者如果没有用户具有访问权限,则继续执行后续步骤,为应用程序部署条件访问和权利管理策略。

由于你已获得了基线,可确保现有访问权限已被审查,现在可以部署组织的策略以进行持续访问和任何新的访问请求。

后续步骤