将 Microsoft Entra ID 与应用程序集成入门指南

本文总结了将应用程序与 Microsoft Entra ID 集成的过程。 以下每个部分都包含更详细的文章的简要摘要，以便你可以确定本入门指南中哪些部分与你相关。

若要下载深入部署计划，请参阅 后续步骤。

清点

将应用程序与 Microsoft Entra ID 集成之前，请务必了解你所处的位置和要去的地方。 以下问题旨在帮助你思考Microsoft Entra 应用程序集成项目。

策略清单

• 组织管理对应用程序的访问的策略是什么
• 要正确许可并集成的应用程序需要满足哪些符合性要求？

应用程序盘点

• 你所有的应用程序在哪里？ 谁拥有他们？
• 应用程序需要哪种类型的身份验证？
• 谁需要访问哪些应用程序？
• 是否要部署新应用程序？
  • 是否会在内部生成它并将其部署到 Azure 计算实例上？
  • 是否使用 Azure 应用程序库中提供的一个？

用户和组列表

• 用户帐户位于何处？
  • 本地 Active Directory
  • Microsoft Entra ID
  • 另一个 LDAP 目录
  • 在你拥有的独立应用程序数据库中
  • 在其他应用程序中（例如 SAP Cloud Identity Services 中）
  • 在未经批准的应用程序中
  • 所有列出的选项
• 单个用户当前拥有哪些权限和角色分配？ 是否需要查看其访问权限，或者确定用户访问权限和角色分配现在是否合适？
• 是否已在本地 Active Directory 中建立组？
  • 你的组是如何组织的？
  • 组成员是谁？
  • 组当前具有哪些权限/角色分配？
• 在集成之前，是否需要清理用户/组数据库？ （这是一个重要问题。输入垃圾，输出垃圾。）

访问管理清单

• 你当前如何管理对应用程序的用户访问？ 这是否需要更改？ 是否考虑了管理访问权限的其他方法，例如使用 Azure RBAC ？
• 谁需要访问哪些内容？

也许你事先没有所有这些问题的答案， 但没关系。 本指南可帮助你回答其中一些问题并做出一些明智的决策。

使用 Cloud Discovery 查找未经批准的云应用程序

如前一部分所述，组织可能一直管理的应用程序。 作为清单过程的一部分，可以找到未经批准的云应用程序。 请参阅 设置 Cloud Discovery。

将应用程序与 Microsoft Entra ID 集成

以下文章讨论了应用程序与 Microsoft Entra ID 集成的不同方式，并提供一些指导。

• 在 Azure 应用程序库中使用应用程序
• 集成 SaaS 应用程序教程列表
• 将应用程序与 Microsoft Entra ID 集成并建立评审访问基线

Microsoft Entra 库中未列出的应用的功能

可以添加组织中已存在的任何应用程序，也可以添加不属于 Microsoft Entra 库的供应商的任何第三方应用程序。 根据 许可协议，可以使用以下功能：

• 支持 OpenID Connect 或 安全断言标记语言 （SAML） 2.0 标识提供者（SP 发起或 IdP 发起）的任何应用程序的自助服务集成
• 使用 基于密码的 SSO、集成 Windows 身份验证或基于标头的身份验证的任何基于 HTML 的登录页的 Web 应用程序的自助服务集成
• 使用 系统进行跨域标识管理（SCIM）协议进行用户预配或本地用户帐户存储在 SQL 数据库、LDAP 目录中或通过 SOAP 或 REST API 或 MIM 连接器管理的应用程序的自助服务连接
• 能够向 Office 365 应用启动器或“我的应用”中的任何应用程序添加链接

若要查找有关如何将自定义应用与 Microsoft Entra ID 集成的开发人员指南，请参阅 Microsoft Entra ID 的身份验证方案。 开发使用 OpenId Connect/OAuth 等新式协议对用户进行身份验证的应用时，请将其注册到Microsoft标识平台。 可以使用 Azure 门户中 的应用注册 体验进行注册。

身份验证类型

每个应用程序可能有不同的身份验证要求。 使用 Microsoft Entra ID 时，签名证书可与使用 SAML 2.0、WS 联合身份验证或 OpenID Connect 协议和密码单一登录的应用程序一起使用。 有关应用程序身份验证类型的详细信息，请参阅 在 Microsoft Entra ID 中管理联合单一登录的证书 和 基于密码的单一登录。

使用 Microsoft Entra 应用程序代理启用 SSO

使用 Microsoft Entra 应用程序代理，可以从任何位置以及任何设备上安全地访问专用网络内的应用程序。 在环境中安装专用网络连接器后，可以使用 Microsoft Entra ID 轻松配置它。

集成自定义应用程序

如果要将自定义应用程序添加到 Azure 应用程序库，请参阅 将应用发布到 Microsoft Entra 应用库。

管理对应用程序的访问

以下文章介绍了通过使用 Microsoft Entra 连接器和 Microsoft Entra ID 集成后，您可以管理对应用程序访问的各种方法。

• 使用 Microsoft Entra ID 管理对应用的访问
• 使用 Microsoft Entra 连接器进行自动化
• 将用户分配到应用程序
• 将组分配到应用
• 将应用程序与 Microsoft Entra ID 集成，以确保只有经过授权的用户才能访问该应用程序
• 共享帐户

后续步骤

有关深入的信息，可以从 GitHub 下载Microsoft Entra 部署计划。 对于图库应用，您可以通过 Microsoft Entra 管理中心下载单一登录、条件访问和用户预配的部署计划。

从 Microsoft Entra 管理中心下载部署计划：

1. 登录到 Microsoft Entra 管理中心。
2. 选择 “企业应用程序 | ”选择应用 | 部署计划。