使用 Azure Active Directory B2C 設定 Saviynt 的教學課程

瞭解如何整合 Azure Active Directory B2C （Azure AD B2C） 與 Saviynt Security Manager 平臺，此平臺具有可見度、安全性和治理能力。 Saviynt 包含應用程式風險和治理、基礎結構管理、特殊許可權帳戶管理和客戶風險分析。

深入瞭解： 適用于 Azure AD B2C 的 Saviynt

使用下列指示來設定 Azure AD B2C 使用者的存取控制委派管理。 Saviynt 會決定使用者是否已獲得授權，以使用：

• 判斷使用者是否可以執行作業的功能層級安全性
  • 例如，建立使用者、更新使用者、重設使用者密碼等等
• 欄位層級安全性，以判斷使用者是否可以在使用者管理作業期間讀取/寫入使用者屬性
  • 例如，技術支援中心代理程式可以更新電話號碼;其他屬性是唯讀的
• 資料層級安全性，以判斷使用者是否可以在另一位使用者上執行作業
  • 例如，英國區域的技術支援中心系統管理員會管理英國使用者

必要條件

若要開始，您需要：

• Azure 訂用帳戶

  • 如果您沒有訂用帳戶，請取得 Azure 免費帳戶

• 連結至 Azure 訂用帳戶的 Azure AD B2C 租使用者

• 移至 saviynt.com 與我們連絡 以要求示範

案例描述

Saviynt 整合包含下列元件：

• Azure AD B2C – 身分識別即服務，可自訂控制客戶註冊、登入和設定檔管理
  • 請參閱 Azure AD B2C，開始使用
• 適用于 Azure AD B2C 的 Saviynt – 委派管理使用者生命週期管理和存取控管的身分識別治理
  • 請參閱適用于 Azure AD B2C 的 Saviynt
• Microsoft Graph API – Saviynt 用來管理 Azure AD B2C 使用者及其存取權的介面
  • 請參閱使用 Microsoft Graph API

下列架構圖說明實作。

1. 委派的系統管理員會使用 Saviynt 啟動 Azure AD B2C 使用者作業。
2. Saviynt 會驗證委派的系統管理員可執行作業。
3. Saviynt 會傳送授權成功或失敗回應。
4. Saviynt 可讓委派的系統管理員執行作業。
5. Saviynt 會使用使用者屬性叫用 Microsoft Graph API，以管理 Azure AD B2C 中的使用者。
6. Microsoft Graph API 會在 Azure AD B2C 中建立、更新或刪除使用者。
7. Azure AD B2C 會傳送成功或失敗回應。
8. Microsoft Graph API 會傳回 Saviynt 的回應。

建立 Saviynt 帳戶並建立委派的原則

1. 建立 Saviynt 帳戶。 若要開始使用，請移至 saviynt.com 與我們連 絡。
2. 建立委派的管理原則。
3. 將委派的系統管理員角色指派給使用者。

使用 Saviynt 設定 Azure AD B2C

使用下列指示來建立應用程式、刪除使用者等等。

建立 Saviynt 的 Microsoft Entra 應用程式

如需下列指示，請使用 目錄搭配 Azure AD B2C 租使用者。

1. 登入 Azure 入口網站。

2. 在入口網站工具列中，選取 [目錄 + 訂用帳戶 ]。

3. 在 [ 入口網站設定] 的 [目錄 + 訂 用帳戶] 頁面上，于 [目錄名稱] 清單中，尋找您的 Azure AD B2C 目錄。

4. 選取切換。

5. 在Azure 入口網站中，搜尋並選取 [Azure AD B2C ]。

6. 選取 [應用程式註冊]>[新增註冊]。

7. 輸入應用程式名稱。 例如，Saviynt。

8. 選取建立。

9. 移至 API 權限。

10. 選取 + 新增權限。

11. [要求 API 許可權] 頁面隨即出現。

12. 選取 [Microsoft API] 索引 標籤。

13. 選取 [Microsoft Graph ] 作為常用的 Microsoft API。

14. 移至下一頁。

15. 選取應用程式權限。

16. 選取 [目錄 ]。

17. 選取 [Directory.Read.All ] 和 [Directory.ReadWrite.All ] 核取方塊。

18. 選取 [ 新增許可權 ]。

19. 檢閱許可權。

20. 選取 [ 授與預設目錄 的管理員同意]。

21. 選取 [儲存]。

22. 移至 [憑證] 和 [ 秘密]。

23. 選取 [+ 新增用戶端密碼 ]。

24. 輸入用戶端密碼描述。

25. 選取到期選項。

26. 選取新增。

27. 秘密金鑰會出現在 [用戶端密碼] 區段中。 儲存用戶端密碼以供稍後使用。

28. 移至概觀。

29. 複製用戶端識別碼 和 租使用者識別碼 。

儲存租使用者識別碼、用戶端識別碼和用戶端密碼，以完成設定。

啟用 Saviynt 刪除使用者

啟用 Saviynt 以在 Azure AD B2C 中執行使用者刪除作業。

深入瞭解： Microsoft Entra ID 中的應用程式和服務主體物件

1. 在 Windows 工作站或伺服器上安裝最新版本的 Microsoft Graph PowerShell 模組。

如需詳細資訊，請參閱 Microsoft Graph PowerShell 檔 。

2. 連線 PowerShell 模組並執行下列命令：

Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

測試解決方案

流覽至您的 Saviynt 應用程式租使用者，並測試使用者生命週期管理和存取治理使用案例。

下一步

• Azure AD B2C 自訂原則概觀
• 教學課程：在 Azure AD B2C 中建立使用者流程和自訂原則
• 將 Web API 應用程式新增至您的 Azure Active Directory B2C 租用戶