整合應用程式與 Microsoft Entra 識別符,並建立檢閱存取基準
一旦您 為應具有應用程式存取權的人員建立原則,您可以 將應用程式連線到Microsoft Entra ID,然後 部署原則 來管理其存取權。
Microsoft Entra ID Governance 可以與許多應用程式整合,包括 SAP R/3、SAP S/4HANA,以及使用 openID Connect、SAML、SCIM、SQL、LDAP、SOAP 和 REST 等 標準的應用程式。 透過這些標準,您可以使用 Microsoft Entra ID 搭配許多熱門 SaaS 應用程式和內部部署應用程式,包括您組織開發的應用程式。 此部署計劃涵蓋如何將應用程式連線到 Microsoft Entra ID,並啟用要用於該應用程式的身分識別控管功能。
為了讓應用程式能夠使用 Microsoft Entra ID Governance,該應用程式必須先與 Microsoft Entra ID 整合,並在您的目錄中顯示。 與 Microsoft Entra ID 整合的應用程式表示必須符合下列兩個需求之一:
- 應用程式依賴 Microsoft Entra ID 用於聯邦 SSO,而 Microsoft Entra ID 控制驗證令牌的發行。 如果 Microsoft Entra ID 是應用程式的唯一識別提供者,那麼只有在 Microsoft Entra ID 中被指派到該應用程式角色的使用者才能登入該應用程式。 失去其應用程式角色指派的用戶無法再取得新的令牌來登入應用程式。
- 應用程式依賴 Microsoft Entra 識別碼提供的使用者或群組清單。 透過 SCIM 之類的佈建協定、透過 Microsoft Graph 查詢 Microsoft Entra ID 的應用程式,或使用 AD Kerberos 取得使用者的群組成員資格,即可完成此工作。
如果應用程式未符合這些準則,例如當應用程式不依賴 Microsoft Entra ID 時,仍可使用身分識別控管。 不過,使用身分識別控管時可能會有一些限制,而不需要符合準則。 例如,未包含在您的 Microsoft Entra ID 中,或未被指派至 Microsoft Entra ID 應用程式角色的使用者,在您將其指派至應用程式角色之前,將不會被納入應用程式的存取權檢閱。 如需詳細資訊,請參閱 準備存取權檢閱使用者對應用程式的存取權。
將應用程式與 Microsoft Entra 識別元整合,以確保只有授權的使用者才能存取應用程式
當您將應用程式設定為依賴 Microsoft Entra ID 進行使用者驗證,透過同盟單一登入(SSO)協定進行連線,然後新增設置時,應用程式的整合過程就會開始。 SSO 最常使用的通訊協定是 SAML 和 OpenID Connect。 您可以詳細了解用於探索和移轉應用程式驗證至 Microsoft Entra ID的工具和方法
接下來,如果應用程式實作佈建通訊協定,則您應該將 Microsoft Entra ID 設定為將使用者布建至應用程式,以便在用戶獲得存取權或移除使用者的存取權時,Microsoft Entra ID 可以向應用程式發出訊號。 這些布建訊號可讓應用程式進行自動更正,例如將已離職員工所建立的內容重新指派給他們的經理。
檢查您的應用程式是否在企業應用程式的 清單或 清單,或者在應用程式註冊的 清單或清單中。 如果應用程式已存在於您的租戶中,請跳至本節中的步驟 5。
如果您的應用程式是尚未在您的租用戶中註冊的 SaaS 應用程式,請檢查 應用連結庫中是否有可用的應用程式, 可針對同盟 SSO 整合。 如果位於圖庫中,請使用教學指南來整合應用程式與 Microsoft Entra ID。
- 請遵循 教學課程 來設定與 Microsoft Entra ID 同盟 SSO 的應用程式。
- 如果應用程式支援佈建,設定應用程式來佈建。
- 完成時,請跳至本文中的下一節。 如果 SaaS 應用程式不在資源庫中,則 要求 SaaS 廠商上線。
如果這是私人或自定義應用程式,您也可以根據應用程式的位置和功能,選取最適合的單一登錄整合。
如果此應用程式位於 SAP BTP 上,請設定 Microsoft Entra 與 SAP Cloud Identity Services 整合。 如需詳細資訊,請參閱 管理 SAP BTP的存取權。
如果此應用程式位於公用雲端,且支援單一登錄,則直接從 Microsoft Entra ID 設定單一登錄至應用程式。
應用程式支援 後續步驟 OpenID Connect 新增OpenID Connect OAuth 應用程式 SAML 2.0 註冊應用程式,並使用 SAML 端點和Microsoft Entra 識別碼的憑證設定應用程式 SAML 1.1 新增 SAML 型應用程式 如果這是使用 SAP GUI 的 SAP 應用程式,則整合 Microsoft Entra 進行單一登錄,使用 與 SAP Secure Login Service 整合,或 與 Microsoft Entra Private Access整合。
否則,如果這是支援單一登入的內部部署或 IaaS 裝載應用程式,則透過應用程式代理將 Microsoft Entra ID 的單一登入設定至應用程式。
應用程式支援 後續步驟 SAML 2.0 部署 應用程式 Proxy,並為 SAML SSO 設定應用程式 整合式 Windows 驗證 (IWA) 部署應用程式代理 ,為應用程式設定 整合式 Windows 認證 SSO,並設定防火牆規則,以防止直接存取應用程式的端點,僅允許透過代理進行存取。 標頭式驗證 部署 應用程式代理,並為 以標頭為基礎的 SSO 設定應用程式
如果您的應用程式位於 SAP BTP 上,您可以使用 Microsoft Entra 群組來維護每個角色的成員資格。 如需將群組指派給 BTP 角色集合的詳細資訊,請參閱 管理 SAP BTP的存取權。
如果您的應用程式具有多個角色,每個使用者在應用程式中只擁有一個角色,且應用程式依賴 Microsoft Entra ID 將此角色作為使用者登入時的宣告,那麼您應在應用程式的 Microsoft Entra ID 中設定這些應用程式角色,然後將每個使用者指派到一個應用程式角色。 您可以使用 應用程式角色 UI,將這些角色新增至應用程式設定檔。 如果您使用 Microsoft 驗證庫,有一個 範例程式碼,說明如何在應用程式內使用應用程式角色進行訪問控制。 如果使用者可以同時擁有多個角色,則您可能想要實作應用程式來檢查安全性群組,無論是在令牌宣告中,還是可透過 Microsoft Graph 取得,而不是使用應用設定清單中的應用程式角色進行訪問控制。
如果應用程式支援布建,則 設定從Microsoft Entra ID 到該應用程式的指派使用者和群組的布建。 如果這是私人或自定義應用程式,您也可以根據應用程式的位置和功能,選取最適合的整合。
如果此應用程式依賴 SAP 雲端身分識別服務,請透過 SCIM 將使用者佈建到 SAP 雲端身分識別服務。
應用程式支援 後續步驟 SAP Cloud Identity Services 設定 Microsoft Entra ID,以將使用者布建至 SAP Cloud Identity Services 如果此應用程式位於公用雲端並支援 SCIM,請透過 SCIM 設定使用者佈建。
應用程式支援 後續步驟 SCIM 使用 SCIM 設定應用程式以佈建使用者 如果此應用程式使用 AD,請設定群組回寫,然後更新應用程式以使用由 Microsoft Entra ID 建立的群組,或者將由 Microsoft Entra ID 建立的群組嵌套於應用程式現有的 AD 安全性群組中。
應用程式支援 後續步驟 Kerberos 設定 Microsoft Entra Cloud Sync 群組回寫至 AD、Microsoft 在 Entra 識別符中建立群組,將這些群組寫入 AD 否則,如果這是一個在內部部署或 IaaS 裝載的應用程式,且未與 AD 整合,則需設定布建至該應用程式,可以透過 SCIM,或是透過應用程式的基礎資料庫或目錄來實現。
應用程式支援 後續步驟 SCIM 使用 布建代理程式來配置內部部署 SCIM 型應用程式 本機用戶帳戶,儲存在 SQL 資料庫中 使用 布建代理程式設定內部部署的 SQL 應用程式 儲存在 LDAP 目錄中的本機用戶帳戶 使用 布建代理程式來設定內部部署的LDAP型應用程式 本地用戶帳號,透過SOAP或REST API管理 使用布建代理程式 和 web 服務連接器 來設定應用程式。 透過 MIM 連接器管理的本機用戶帳戶 使用名為 的自訂連接器透過 布建代理程式來配置應用程式 SAP ECC 與 NetWeaver AS ABAP 7.0 或更新版本 使用布建代理程式 與已配置 SAP ECC 的 Web 服務連接器 來配置應用程式。
如果您的應用程式使用 Microsoft Graph 查詢來自 Microsoft Entra 識別碼的群組,則 同意 應用程式,讓應用程式具有從租使用者讀取的適當許可權。
將 應用程式的訪問權限設定為只允許分配給應用程式的使用者。 此設定可防止使用者在 MyApps 中不小心看到應用程式,並在啟用條件式存取原則之前嘗試登入應用程式。
執行初始存取權檢閱
如果這是一個您的組織以前未使用過的新應用程式,因而沒有人有既存的存取權,或者如果您已經為此應用程式進行了存取權檢閱,那麼請直接跳到下一節的
不過,如果應用程式已在您的環境中,用戶可能曾透過手動或非正式程序取得過存取權。 您應該檢閱這些使用者,以確認其存取權仍為必要且適當。 建議您先對已有應用程式存取權的使用者執行存取權檢閱,再啟用原則,讓更多用戶能夠要求存取權。 此檢閱會設定基準,讓所有使用者至少檢閱一次,以確保他們已獲授權才能繼續存取。
- 請遵循 中的步驟,為檢閱使用者對應用程式之存取權做準備。
- 如果應用程式未使用 Microsoft Entra ID 或 AD,但支援布建通訊協定或具有基礎 SQL 或 LDAP 資料庫,請引進任何 現有的使用者,併為其建立應用程式角色指派。
- 如果應用程式未使用 Microsoft Entra ID 或 AD,而且不支援佈建通訊協定,則 從應用程式取得使用者清單,並為每個使用者建立應用程式角色指派。
- 如果應用程式使用AD安全組,則您必須檢閱這些安全組的成員資格。
- 如果應用程式有自己的目錄或資料庫且未整合以進行布建,則一旦檢閱完成,您可能需要手動更新應用程式的內部資料庫或目錄,以移除拒絕的使用者。
- 如果應用程式使用AD安全組,且這些群組是在AD中建立的,則檢閱完成後,您必須手動更新AD群組,以移除那些遭到拒絕的使用者成員資格。 之後,若要自動移除拒絕訪問許可權,您可以將應用程式更新為使用在 entra ID Microsoft 中建立的 AD 群組,並將 寫回至 Microsoft Entra ID,或將成員資格從 AD 群組移至 Microsoft Entra 群組,並將寫入群組巢狀為 AD 群組的唯一成員。
- 檢閱完成後並更新應用程式存取權,或如果用戶沒有存取權,請繼續進行後續步驟,以部署應用程式的條件式存取和權利管理原則。
既然您已擁有確保檢閱現有存取權的基準,您可以 部署組織的政策 以持續管理存取權,以及任何新的存取要求。