Интеграция идентификатора Microsoft Entra с руководством по началу работы с приложениями

Статья
12/20/2024

В этой статье описывается процесс интеграции приложений с идентификатором Microsoft Entra. Каждый из следующих разделов содержит краткое описание более подробной статьи, чтобы определить, какие части этого руководства по началу работы относятся к вам.

Чтобы скачать подробные планы развертывания, см. дальнейшие действия.

Проведите инвентаризацию

Прежде чем интегрировать приложения с идентификатором Microsoft Entra, важно знать, где вы находитесь и где вы хотите пойти. Следующие вопросы помогут вам подумать о проекте интеграции приложений Microsoft Entra.

Инвентаризация приложений

Где находятся все ваши приложения? Кто владеет ими?
Какой тип проверки подлинности требуется для приложений?
Кому нужен доступ к каким приложениям?
Вы хотите развернуть новое приложение?
- Вы создадите его в локальной среде и развернете его в вычислительном экземпляре Azure?
- Будет ли вы использовать тот, который доступен в коллекции приложений Azure?

Инвентаризация пользователей и групп

Где находятся учетные записи пользователей?
- Локально установленный Active Directory
- Идентификатор Microsoft Entra
- В отдельной базе данных приложения, принадлежащей вам
- В несанкционированных приложениях
- Все перечисленные варианты
Какие разрешения и назначения ролей сейчас имеют отдельные пользователи? Вам нужно пересмотреть их доступ или вы уверены, что доступ и назначение ролей для ваших пользователей сейчас соответствуют требованиям?
Уже установлены ли группы в локальной среде Active Directory?
- Как организованы группы?
- Кто является членами группы?
- Какие разрешения или назначения ролей в настоящее время имеют группы?
Необходимо ли очистить базы данных пользователей или групп перед интеграцией? Это важный вопрос. Что вошло, то вышло.

Инвентаризация управления доступом

Как в настоящее время управлять доступом пользователей к приложениям? Нужно ли это изменить? Вы рассмотрели другие способы управления доступом, например azure RBAC?
Кто нуждается в доступе к чему?

Может быть, у вас нет ответов на все эти вопросы, но это нормально. Это руководство поможет вам ответить на некоторые из этих вопросов и принять некоторые обоснованные решения.

Поиск неуправляемых облачных приложений с помощью Cloud Discovery

Как упоминалось в предыдущем разделе, могут быть приложения, которыми управляет ваша организация до сих пор. В рамках процесса инвентаризации можно найти неуправляемые облачные приложения. См. настройте Cloud Discovery.

Интеграция приложений с идентификатором Microsoft Entra

В следующих статьях рассматриваются различные способы интеграции приложений с идентификатором Microsoft Entra и предоставление некоторых рекомендаций.

Возможности приложений, не перечисленных в коллекции Microsoft Entra

Вы можете добавить любое приложение, которое уже существует в вашей организации, или любое стороннее приложение от поставщика, который еще не входит в коллекцию Microsoft Entra. В зависимости от лицензионного соглашения , доступны следующие возможности:

Самостоятельная интеграция любого приложения, поддерживающего язык разметки утверждений безопасности (SAML) 2.0 с поставщиками удостоверений (как инициированные поставщиком услуг, так и поставщиком удостоверений).
Самостоятельная интеграция любого веб-приложения с html-страницей входа с использованием единого входа на основе паролей
Самостоятельное подключение приложений, использующих протокол System for Cross-Domain Identity Management (SCIM) для подготовки пользователей
Возможность добавлять ссылки на любое приложение в средства запуска приложений Office 365 или мои приложения

Если вы ищете рекомендации разработчика по интеграции пользовательских приложений с идентификатором Microsoft Entra ID, ознакомьтесь с сценариями проверки подлинности для идентификатора Microsoft Entra ID. При разработке приложения, использующего современный протокол, например OpenId Connect/OAuth, для проверки подлинности пользователей зарегистрируйте его на платформе удостоверений Майкрософт. Вы можете зарегистрироваться, используя функцию регистрации приложений в портале Azure.

Типы проверки подлинности

У каждого приложения могут быть разные требования к проверке подлинности. С помощью идентификатора Microsoft Entra сертификаты подписи можно использовать с приложениями, используюющими SAML 2.0, WS-Federation или OpenID Connect Protocols and Password Single Sign On. Дополнительные сведения о типах проверки подлинности приложений см. в статье "Управление сертификатами для федеративного единого входа в Microsoft Entra ID" и "Единый вход на основе пароля".

Включение SSO (единого входа) с помощью прокси-сервера приложений Microsoft Entra

С помощью прокси приложения Microsoft Entra вы можете обеспечить доступ к приложениям, расположенным в частной сети безопасно, из любого места и на любом устройстве. После установки соединителя частной сети в вашей среде его можно легко настроить с помощью идентификатора Microsoft Entra.

Интеграция пользовательских приложений

Если вы хотите добавить пользовательское приложение в галерею приложений Azure, см. опубликование вашего приложения в галерее приложений Microsoft Entra.

Управление доступом к приложениям

В следующих статьях описаны способы управления доступом к приложениям после их интеграции с идентификатором Microsoft Entra с помощью соединителей Microsoft Entra и идентификатора Microsoft Entra.

Дальнейшие действия

Для подробных сведений можно скачать планы развертывания Microsoft Entra из GitHub. Для приложений галереи можно скачать планы развертывания для единого входа, условного доступа и предоставления пользователей через Центр администрирования Microsoft Entra.

Чтобы скачать план развертывания из Центра администрирования Microsoft Entra, выполните следующие действия.

Войдите в Центр администрирования Microsoft Entra.
Выберите корпоративные приложения | выберите приложение | план развертывания.

Поделиться через