整合應用程式與 Microsoft Entra ID,並為已檢閱的存取權建立基準
為應具有應用程式存取權的人員建立原則後,您就可以將應用程式連線至 Microsoft Entra ID,然後部署原則以控管其存取權。
Microsoft Entra ID 控管可以與許多應用程式整合,包括 SAP R/3、SAP S/4HANA 等知名的應用程式,以及使用 OpenID Connect、SAML、SCIM、SQL、LDAP、SOAP 和 REST 等標準的應用程式。 透過這些標準,您可以使用 Microsoft Entra ID 搭配許多熱門的 SaaS 應用程式和內部部署應用程式,包括您的組織所開發的應用程式。 此部署計劃說明如何將您的應用程式連線至 Microsoft Entra ID,並啟用該應用程式所要使用的身分識別控管功能。
為了讓應用程式使用 Microsoft Entra ID 控管,應用程式必須先與 Microsoft Entra ID 整合,並在您的目錄中表示。 與 Microsoft Entra ID 整合的應用程式表示必須符合兩個需求之一:
- 應用程式依賴 Microsoft Entra ID 進行同盟 SSO,而 Microsoft Entra ID 會控制驗證權杖核發。 如果 Microsoft Entra ID 是應用程式的唯一識別提供者,則只有獲指派 Microsoft Entra ID 中其中一個應用程式角色的使用者才能登入應用程式。 失去應用程式角色指派的使用者將無法再取得新的權杖來登入應用程式。
- 應用程式依賴 Microsoft Entra ID 提供給應用程式的使用者或群組清單。 透過 SCIM 這類佈建通訊協定、透過 Microsoft Graph 來查詢 Microsoft Entra ID 的應用程式,或使用 AD Kerberos 來取得使用者的群組成員資格,即可完成此履行。
如果應用程式不符合上述任一準則,例如應用程式並未依賴 Microsoft Entra ID,則仍可使用身分識別控管。 不過,在不符合準則的情況下,使用身分識別控管時可能會有一些限制。 例如,使用者若不在 Microsoft Entra ID 中,或若未指派給 Microsoft Entra ID 中的應用程式角色,在您將其指派給應用程式角色之前,使用者將不會包含在應用程式的存取權檢閱中。 如需詳細資訊,請參閱準備使用者對應用程式存取權的存取權檢閱。
整合應用程式與 Microsoft Entra ID 以確保只有授權使用者才能存取應用程式
一般而言,當您將該應用程式設定為依賴 Microsoft Entra ID 進行使用者驗證、使用同盟單一登入 (SSO) 通訊協定連線,然後新增佈建時,這個整合應用程式的程序便已開始。 最常用於 SSO 的通訊協定是 SAML 和 OpenID Connect。 您可以深入了解用來探索應用程式驗證並將其移轉至 Microsoft Entra ID 的工具和程序。
接下來,如果應用程式實作佈建通訊協定,您即應將 Microsoft Entra ID 設定為將使用者佈建至應用程式,如此,當使用者獲得存取權或使用者的存取權遭移除時,Microsoft Entra ID 就可以向應用程式發出訊號。 這些佈建訊號可讓應用程式進行自動校正,例如重新指派已未由經理管轄的員工所建立的內容。
如果您的應用程式是尚未在租用戶中註冊的 SaaS 應用程式,請檢查應用程式是否為應用程式庫中可進行同盟 SSO 整合的應用程式。 如果位於資源庫中,請使用教學課程將應用程式與 Microsoft Entra ID 整合。
- 請依照教學課程的指示,設定要與 Microsoft Entra ID 整合以進行同盟 SSO 的應用程式。
- 如果應用程式支援佈建,請設定要佈建的應用程式。
- 作業完成後,請跳至本文的下一節。 如果 SaaS 應用程式不在資源庫中,請要求 SaaS 廠商上線。
如果這是私人或自訂應用程式,您也可以根據應用程式的位置和功能,選取最適合的單一登入整合。
如果此應用程式位於公用雲端中,且支援單一登入,請直接從 Microsoft Entra ID 設定對應用程式的單一登入。
應用程式支援 下一步 OpenID Connect 新增 OpenID Connect OAuth 應用程式 SAML 2.0 註冊應用程式,並使用 Microsoft Entra ID 的 SAML 端點和憑證來設定應用程式 SAML 1.1 新增 SAML 型應用程式 否則,如果這是支援單一登入的內部部署或 IaaS 託管應用程式,請從 Microsoft Entra ID 透過應用程式 Proxy 設定對應用程式的單一登入。
應用程式支援 下一步 SAML 2.0 部署應用程式 Proxy 並設定應用程式以進行 SAML SSO 整合式 Windows 驗證 (IWA) 部署應用程式 Proxy、設定整合式 Windows 驗證 SSO 的應用程式,並設定防火牆規則,以防止從 Proxy 以外的途徑存取應用程式的端點。 標頭型驗證 部署應用程式 Proxy 並設定應用程式以進行標頭型 SSO
如果您的應用程式具有多個角色、每個使用者在應用程式中只有一個角色,而且應用程式依賴 Microsoft Entra ID 將使用者單一應用程式特定角色傳送作為使用者登入應用程式的宣告,請在應用程式的 Microsoft Entra ID 中設定這些應用程式角色,然後將每個使用者指派給應用程式角色。 您可以使用應用程式角色 UI 將這些角色新增至應用程式資訊清單。 如果您使用 Microsoft 驗證程式庫,這裡有一個範例程式碼可說明如何在您的應用程式內使用應用程式角色進行存取控制。 如果使用者可以同時具有多個角色,則您可能想要實作應用程式來檢查權杖宣告中或透過 Microsoft Graph 取得的安全性群組,而不是使用應用程式資訊清單中的應用程式角色進行存取控制。
如果應用程式支援佈建,請為指派的使用者和群組設定從 Microsoft Entra ID 到該應用程式的佈建。 如果這是私人或自訂應用程式,您也可以根據應用程式的位置和功能,選取最適合的整合。
如果此應用程式依賴 SAP 雲端識別服務,請透過 SCIM 將使用者佈建到 SAP 雲端識別服務。
應用程式支援 下一步 SAP 雲端識別服務 設定 Microsoft Entra ID 將使用者佈建到 SAP 雲端識別服務 如果此應用程式位於公用雲端,且支援 SCIM,請透過 SCIM 來設定使用者的佈建。
應用程式支援 下一步 SCIM 使用 SCIM 設定應用程式以進行使用者佈建 如果此應用程式使用 AD,請設定群組回寫,然後更新應用程式以使用 Microsoft Entra ID 建立的群組,或將 Microsoft Entra ID 建立的群組巢狀處理至應用程式的現有 AD 安全性群組。
應用程式支援 下一步 Kerberos 設定 Microsoft Entra 雲端同步群組回寫至 AD、在 Microsoft Entra ID 中建立群組,並將這些群組寫入至 AD 否則,如果這是內部部署或 IaaS 託管應用程式,而且未與 AD 整合,請透過 SCIM 或是應用程式的基礎資料庫或目錄來設定對該應用程式的佈建。
應用程式支援 下一步 SCIM 使用為內部部署 SCIM 型應用程式佈建代理程式來設定應用程式 本機使用者帳戶,儲存在 SQL 資料庫中 使用為內部部署 SQL 型應用程式佈建代理程式來設定應用程式 本機使用者帳戶,儲存在 LDAP 目錄中 使用為內部部署 LDAP 型應用程式佈建代理程式來設定應用程式 本機使用者帳戶,透過 SOAP 或 REST API 進行管理 透過使用 Web 服務連接器佈建代理程式來設定應用程式 本機使用者帳戶,透過 MIM 連接器進行管理 透過使用自訂連接器佈建代理程式來設定應用程式 具有 NetWeaver AS ABAP 7.0 或更新版本的 SAP ECC 透過使用設定 SAP ECC 的 Web 服務連接器佈建代理程式來設定應用程式
如果您的應用程式使用 Microsoft Graph 從 Microsoft Entra ID 查詢群組,請同意應用程式具有讀取租用戶的適當權限。
設定只有指派給應用程式的使用者才能存取應用程式。 此設定可防止使用者無意中看到 MyApps 中的應用程式,並嘗試在條件式存取原則啟用之前登入應用程式。
執行初始存取權檢閱
如果這是組織先前未曾使用的新應用程式,因而沒有人具有已存在的存取權,或者如果您已執行此應用程式的存取權檢閱,請跳至下一節。
不過,如果應用程式已存在於您的環境中,則使用者有可能已透過手動或頻外程序取得存取權,因此現在應檢閱這些使用者以確認其存取權仍屬必要,然後適當地繼續操作。 建議您先對已有應用程式存取權的使用者執行存取權檢閱,再啟用原則,讓更多使用者能夠要求存取權。 此檢閱會設定所有使用者至少檢閱過一次的基準,以確保這些使用者會獲得繼續存取的授權。
- 依照準備使用者對應用程式存取權的存取權檢閱中的步驟操作。
- 如果應用程式未使用 Microsoft Entra ID 或 AD,但支援佈建通訊協定或具有基礎 SQL 或 LDAP 資料庫,請匯入任何現有使用者,並為這些使用者建立應用程式角色指派。
- 如果應用程式未使用 Microsoft Entra ID 或 AD,而且不支援佈建通訊協定,請從應用程式取得使用者清單,並為每個使用者建立應用程式角色指派。
- 如果應用程式之前使用 AD 安全性群組,則您需要檢閱這些安全性群組的成員資格。
- 如果應用程式已具有自己的目錄或資料庫,而且未整合以進行佈建,則在檢閱完成後,您可能需要手動更新應用程式的內部資料庫或目錄,以移除遭到拒絕的使用者。
- 如果應用程式使用 AD 安全性群組,而且這些群組是在 AD 中所建立,則在檢閱完成後,您需要手動更新 AD 群組,以移除遭到拒絕的使用者成員資格。 之後,若要自動移除已拒絕的存取權限,您可以更新應用程式以使用在 Microsoft Entra ID 中建立並寫回 Microsoft Entra ID 的 AD 群組,或將成員資格從 AD 群組移至 Microsoft Entra 群組,並將已寫回的群組巢狀處理為 AD 群組的唯一成員。
- 完成檢閱並更新應用程式存取之後,或如果沒有使用者具有存取權,請繼續進行後續步驟,以部署應用程式的條件式存取和權利管理原則。
現在您已有相關基準可確保現有存取權已檢閱,接下來您可以針對後續的存取和任何新的存取要求部署組織的原則。