通过

将应用程序与 Microsoft Entra ID 集成并建立评审访问基线

  • 项目

为应有权访问应用程序的人员建立策略 后,可以 将应用程序连接到 Microsoft Entra ID,然后 部署策略 来管理这些策略。

Microsoft Entra ID Governance 可以与许多应用程序集成,包括 SAP R/3、SAP S/4HANA,以及那些使用 openID Connect、SAML、SCIM、SQL、LDAP、SOAP 和 REST 等 标准的应用程序。 通过这些标准,可以将 Microsoft Entra ID 用于许多常用的 SaaS 应用程序和本地应用程序,包括组织开发的应用程序。 此部署计划介绍如何将应用程序连接到 Microsoft Entra ID 并启用要用于该应用程序的标识治理功能。

若要将 Microsoft Entra ID Governance 用于应用程序,必须先将应用程序与 Microsoft Entra ID 集成并在目录中表示。 与 Microsoft Entra ID 集成的应用程序意味着必须满足以下两个要求之一:

  • 应用程序依赖于 Microsoft Entra ID 的联合 SSO,Microsoft Entra ID 负责控制身份验证令牌的颁发。 如果Microsoft Entra ID 是应用程序的唯一标识提供者,则只有分配到Microsoft Entra ID 中某个应用程序角色的用户才能登录到应用程序。 失去其应用程序角色分配的用户无法再获取用于登录到应用程序的新令牌。
  • 应用程序依赖于Microsoft Entra ID 提供给应用程序的用户或组列表。 这种履行可以通过使用诸如 SCIM 之类的预配协议来完成,或者应用程序通过 Microsoft Graph 查询 Microsoft Entra ID,或者应用程序使用 AD Kerberos 获取用户的组成员身份。

如果应用程序未满足这两个条件,例如当应用程序不依赖于 Microsoft Entra ID 时,仍可使用标识治理。 但是,在不符合条件的情况下,使用标识治理可能存在一些限制。 例如,不在 Microsoft Entra ID 中的用户或未被分配到 Microsoft Entra ID 中的应用程序角色的用户,在被分配到应用程序角色之前,不会被包含在应用程序的访问审核中。 有关详细信息,请参阅准备对用户对应用程序的访问权限进行访问评审

将应用程序与 Microsoft Entra ID 集成,以确保只有经过授权的用户才能访问该应用程序

当您将应用程序配置为通过 Microsoft Entra ID 进行用户身份验证,并使用联合单一登录(SSO)协议连接时,应用程序集成过程将开始,然后您可以添加预配选项。 SSO 最常用的协议是 SAML 和 OpenID Connect。 可以阅读有关发现应用程序身份验证并将其迁移到 Microsoft Entra ID 的工具和过程的更多信息。

接下来,如果应用程序实现预配协议,则应将Microsoft Entra ID 配置为将用户预配到应用程序,以便Microsoft Entra ID 可以在用户获得访问权限或删除用户访问权限时向应用程序发出信号。 这些预配信号允许应用程序进行自动更正,例如将已离职员工创建的内容重新分配给他们的经理。

  1. 检查您的应用程序是否位于企业应用程序 列表 中,或应用注册 列表中。 如果租户中已存在应用程序,请跳过到本节第 5 步。

  2. 如果应用程序是尚未在租户中注册的 SaaS 应用程序,请检查应用程序库中可集成用于联合 SSO 的可用应用程序。 如果位于库中,请使用教程将应用程序与 Microsoft Entra ID 集成。

    1. 按照教程配置与 Microsoft Entra ID 的联合 SSO 的应用程序。
    2. 如果应用程序支持预配,将应用程序配置为预配
    3. 完成后,请跳到本文中的下一部分。 如果 SaaS 应用程序不在库中,要求 SaaS 供应商加入

  3. 如果这是专用应用程序或自定义应用程序,还可以根据应用程序的位置和功能选择最适合的单一登录集成。

  4. 如果应用程序位于 SAP BTP 上,则可以使用 Microsoft Entra 组来维护每个角色的成员身份。 有关将组分配到 BTP 角色集合的详细信息,请参阅管理对 SAP BTP 的访问

  5. 如果应用程序具有多个角色,且每个用户在应用程序中只有一个角色,并且应用程序依赖于 Microsoft Entra ID 来发送用户登录应用程序时特定的角色声明,那么请在您的应用程序中通过 Microsoft Entra ID 配置这些应用角色,并将每个用户分配到相应的应用程序角色。 可以使用 应用角色 UI 将这些角色添加到应用程序清单。 如果您使用 Microsoft 身份验证库,这里有一个 代码示例,它展示了如何在您的应用程序中利用应用角色来进行访问控制。 如果用户可以同时具有多个角色,则你可能希望实现应用程序来检查安全组,无论是在令牌声明中还是通过 Microsoft Graph 提供,而不是使用应用清单中的应用角色进行访问控制。

  6. 如果应用程序支持预配,则配置从 Microsoft Entra ID 到该应用程序的已分配用户和组的预配。 如果这是专用或自定义应用程序,还可以根据应用程序的位置和功能选择最适合的集成。

  7. 如果你的应用程序使用 Microsoft Graph 从 Microsoft Entra ID 查询组,则同意应用程序具有从你的租户读取的适当权限。

  8. 将访问 应用程序的权限设置为仅限分配给应用程序的用户。 此设置可防止用户在启用条件访问策略之前无意中在 MyApps 中看到应用程序,并尝试登录到应用程序。

执行初始访问评审

如果这是贵组织以前未使用的新应用程序,并且因此没有人具有现有访问权限,或者如果您已为此应用程序进行了访问审核,请跳到下一部分

但是,如果应用程序已在环境中,则用户过去可能通过手动或带外进程获得访问权限。 应查看这些用户以确认其访问权限仍是必需的且合适。 建议先对已有权访问应用程序的用户执行访问评审,然后再启用策略,让更多用户能够请求访问权限。 此评审设定了一个基线,所有用户至少接受一次评审,以确保他们被授权继续访问。

  1. 按照准备对用户对应用程序的访问权限进行访问评审中的步骤进行操作。
  2. 如果应用程序未使用 Microsoft Entra ID 或 AD,但支持预配协议或具有基础 SQL 或 LDAP 数据库,请引入任何现有用户并为其创建应用程序角色分配
  3. 如果应用程序未使用 Microsoft Entra ID 或 AD,并且不支持预配协议,则 从应用程序获取用户列表,并为其中每个用户创建应用程序角色分配。
  4. 如果应用程序使用的是 AD 安全组,则需要查看这些安全组的成员身份。
  5. 如果应用程序有自己的目录或数据库且未集成进行预配,则在评审完成后,可能需要手动更新应用程序的内部数据库或目录,以删除被拒绝的用户。
  6. 如果应用程序使用的是 AD 安全组,并且这些组是在 AD 中创建的,则在评审完成后,需要手动更新 AD 组以删除那些被拒绝的用户的成员身份。 随后,若要自动移除已拒绝的访问权限,可更新应用程序以使用在 Microsoft Entra ID 中创建并写回 Microsoft Entra ID 的 AD 组,或者将成员身份从 AD 组移动到 Microsoft Entra 组,并将写回组嵌套为 AD 组的唯一成员
  7. 评审完成后,应用程序访问权限已更新,或者如果用户没有访问权限,请继续执行后续步骤,为应用程序部署条件访问和权利管理策略。

由于你已获得了基线,可确保现有访问权限已被审查,现在可以部署组织的策略以进行持续访问和任何新的访问请求。

后续步骤