Microsoft Entra ID 中的应用程序管理是什么?
Microsoft Entra ID 中的应用程序管理是创建、配置、管理和监视云中的应用程序的过程。 在 Microsoft Entra 租户中注册 应用程序 时,已向其分配的用户可以安全地访问该应用程序。 许多类型的应用程序可以在 Microsoft Entra ID 中注册。 有关详细信息,请参阅Microsoft标识平台的 应用程序类型。
在本文中,你将了解管理应用程序的生命周期的以下重要方面:
- 开发、添加或连接 – 根据是要开发自己的应用程序、使用预集成的应用程序还是连接到本地应用程序,采用不同的路径。
- 管理访问权限 - 可以通过以下方式管理访问权限:使用单一登录 (SSO)、分配资源、定义授予和同意访问权限的方式以及使用自动预配。
- 配置属性 – 配置登录到应用程序的要求以及应用程序在用户门户中的表示方式。
- 保护应用程序 – 管理权限、多重身份验证、条件访问、令牌和证书的配置。
- 治理和监视 - 通过使用权利管理、报告和监视资源来管理交互和审核活动。
- 清理 - 不再需要应用程序时,通过移除对其的访问权限并将其删除来清理租户。
开发、添加或连接
可通过多种方式在 Microsoft Entra ID 中管理应用程序。 开始管理应用程序的最简单方法是使用来自 Microsoft Entra 库的预集成应用程序。 开发自己的应用程序并将其注册到 Microsoft Entra ID 是一个选项,也可以继续使用本地应用程序。
下图显示了这些应用程序如何与 Microsoft Entra ID 进行交互。
预集成的应用程序
许多应用程序已经预先集成(如本文中的上图所示的 云应用程序),并且可以用最小的努力进行设置。 Microsoft Entra 库中的每个应用程序都有一篇文章,显示了配置应用程序所需的步骤。 有关如何从库中将应用程序添加到 Microsoft Entra 租户的简单示例,请参阅快速入门:添加企业应用程序。
你自己的应用程序
如果你开发自己的业务应用程序,则可以将其注册到 Microsoft Entra ID,以利用租户提供的安全功能。 可以在 应用注册中注册您的应用程序,也可以在 企业应用程序中添加新应用程序时,使用 创建自己的应用程序 链接注册应用程序。 请考虑如何在应用程序中实现 身份验证,以便与 Microsoft Entra ID 集成。
如果希望可以通过库使你的应用程序可用,则可以提交将其设置为可用请求。
本地应用程序
如果想要继续使用本地应用程序,但又希望利用 Microsoft Entra ID 所提供的功能,请使用 Microsoft Entra 应用程序代理将其与 Microsoft Entra ID 连接。 若要在外部发布本地应用程序,则可以实现应用程序代理。 需要访问内部应用程序的远程用户可以以安全的方式访问它们。
管理访问权限
若要管理应用程序的访问权限,需要回答以下问题:
- 如何为应用程序授予和许可访问权限?
- 应用程序是否支持 SSO?
- 应将哪些用户、组和所有者分配给应用程序?
- 是否有其他标识提供者支持该应用程序?
- 自动预配用户标识和角色是否很有帮助?
访问和许可
可以 管理用户同意设置,以选择用户是否可以允许应用程序或服务访问用户配置文件和组织数据。 授予应用程序访问权限后,用户可以登录到与 Microsoft Entra ID 集成的应用程序,应用程序可以访问组织的数据,以提供丰富的数据驱动体验。
如果用户无法同意应用程序请求的权限,请考虑配置管理员同意工作流。 工作流允许用户提供理由并请求管理员对应用程序的审查和批准。 若要了解如何在 Microsoft Entra 租户中配置管理员同意工作流,请参阅 配置管理员同意工作流。
作为管理员,你可以向应用程序授予租户范围的管理员同意。 当应用程序需要不允许常规用户授予的权限时,必须获得整个租户范围的管理员同意。 授予租户范围的管理员许可还允许组织实施自己的评审流程。 在授予许可之前,请始终仔细查看应用程序请求的权限。 向应用程序授予租户范围的管理员同意后,除非你将其配置为要求用户分配,否则所有用户都可以登录该应用程序。
单一登录
请考虑在应用程序中实现 SSO。 可以手动为 SSO 配置大多数应用程序。 Microsoft Entra ID 中最受欢迎的选项是 基于 SAML 的 SSO 和基于 OpenID Connect 的 SSO。 在开始之前,请确保你已了解 SSO 的要求以及如何规划部署。 有关如何在 Microsoft Entra 租户中为企业应用程序配置基于 SAML 的 SSO 的详细信息,请参阅 使用 Microsoft Entra ID为应用程序启用单一登录。
用户、组和所有者分配
默认情况下,所有用户无需被分配即可访问你的企业应用程序。 但是,如果要将应用程序分配给一组用户,请将应用程序配置为要求用户分配,并将选择的用户分配到应用程序。 有关如何创建和分配用户帐户的简单示例,请参阅 快速入门:创建和分配用户帐户。
如果包含在订阅中,将组分配到应用程序,以便你可以将正在进行的访问管理委托给组所有者。
分配所有者 是授予管理 Microsoft Entra 应用程序的配置所有方面权限的一种简单方法。 作为所有者,用户可以管理应用程序的组织特定配置。 最佳做法是,应主动监视租户中的应用程序,以确保他们至少有两个所有者,以避免无所有者应用程序的情况。
自动预配
应用程序预配 是指在用户需要访问的应用程序中自动创建用户标识和角色。 除了创建用户标识之外,自动预配还包括在状态或角色更改时维护和删除用户标识。
身份提供者
是否有想要 Microsoft Entra ID 与之交互的标识提供者? 主领域发现提供了一种配置,便于 Microsoft Entra ID 确定用户在登录时需要使用哪个标识提供者进行身份验证。
用户门户
Microsoft Entra ID 提供可自定义的方法,用于将应用程序部署到组织中的用户。 例如,“我的应用”门户或Microsoft 365 应用程序启动器。 “我的应用”为用户提供了一个开始工作的位置,并查找他们有权访问的所有应用程序。 作为应用程序的管理员,你应该规划组织中的用户如何使用“我的应用”。
配置属性
将应用程序添加到 Microsoft Entra 租户时,可以配置影响用户与应用程序交互方式的属性。 可以启用或禁用登录功能,并将应用程序设置为要求用户分配。 还可以确定应用程序的可见性、表示应用程序的徽标以及有关应用程序的任何说明。 有关可配置的属性的详细信息,请参阅 企业应用程序的属性。
保护应用程序
有多种方法可帮助你保护企业应用程序的安全。 例如,可以 限制租户访问,管理可见性、数据和分析,并可能提供 混合访问。 保护企业应用程序也涉及管理权限、MFA、条件访问、令牌和证书的配置。
权限
定期检查并在必要时管理授予应用程序或服务的权限非常重要。 通过定期评估是否存在可疑活动,确保仅允许对应用程序进行适当的访问。
权限分类 允许根据组织的策略和风险评估确定不同权限的影响。 例如,可以在同意策略中使用权限分类来标识允许用户同意的权限集。
多重身份验证和条件访问
Microsoft Entra 多重身份验证有助于保护对数据和应用程序的访问,通过使用第二种身份验证形式提供另一层安全性。 有许多方法可用于第二重身份验证。 在开始之前,请为组织中的应用程序规划 MFA 部署。
组织可以通过使用 条件访问 启用 MFA,以便量身定制解决方案以满足其特定需求。 条件访问策略允许管理员将控制分配给特定的 应用程序、操作或身份验证上下文。
令牌和证书
根据所使用的协议,Microsoft Entra ID 中的身份验证流中使用不同类型的安全令牌。 例如,SAML 令牌 用于 SAML 协议,ID 令牌 和 访问令牌 用于 OpenID Connect 协议。 令牌使用 Microsoft Entra ID 生成的唯一证书,并通过特定的标准算法进行签名。
可以通过 加密令牌来提供更多的安全性。 还可以管理令牌中的信息,包括应用程序允许的角色。
Microsoft Entra ID 默认使用 SHA-256 算法 对 SAML 响应进行签名。 除非应用程序需要 SHA-1,否则请使用 SHA-256。 建立管理证书生存期的流程。 签名证书的最大生存期为三年。 若要防止或最小化证书过期导致的中断,请使用角色和电子邮件通讯组列表来确保密切监视与证书相关的更改通知。
治理和监控
Microsoft Entra ID 中的 权限管理 使你能够管理应用程序与管理员、目录所有者、访问包管理器、审批者和请求者之间的交互。
Microsoft Entra 报告和监视解决方案取决于法律、安全性和操作要求以及现有环境和流程。 Microsoft Entra ID 中维护了多个日志。 因此,你应该规划报告和监视部署以尽可能为应用程序保持最佳体验。
清除
可以清除对应用程序的访问权限。 例如,删除用户的访问权限。 还可以禁用用户登录方式。 最后,如果不再需要应用程序,则可以将其删除。 有关如何从 Microsoft Entra 租户中删除企业应用程序的详细信息,请参阅 快速入门:删除企业应用程序。
引导式演练
有关本文中许多建议的引导式演练,请参阅 Microsoft 365 使用单一登录 (SSO) 保护云应用的引导式演练。
后续步骤
- 使用快速入门:添加企业应用程序,开始添加你的第一个企业应用程序。