Apa itu manajemen aplikasi di MICROSOFT Entra ID?

Manajemen aplikasi di MICROSOFT Entra ID adalah proses membuat, mengonfigurasi, mengelola, dan memantau aplikasi di cloud. Ketika aplikasi terdaftar di penyewa Microsoft Entra, pengguna yang sudah ditetapkan ke aplikasi tersebut dapat mengaksesnya dengan aman. Banyak jenis aplikasi dapat didaftarkan di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Jenis aplikasi untuk platform identitas Microsoft.

Dalam artikel ini, Anda mempelajari aspek-aspek penting dalam mengelola siklus hidup aplikasi:

  • Mengembangkan, menambahkan, atau menyambungkan – Anda mengambil jalur yang berbeda tergantung pada apakah Anda mengembangkan aplikasi Anda sendiri, menggunakan aplikasi yang telah diintegrasi sebelumnya, atau menyambungkan ke aplikasi lokal.
  • Mengelola akses – Akses dapat dikelola dengan menggunakan akses menyeluruh (SSO), menetapkan sumber daya, menentukan cara akses diberikan dan disetujui, serta menggunakan provisi otomatis.
  • Mengonfigurasikan properti – Konfigurasikan persyaratan untuk masuk ke aplikasi dan cara aplikasi direpresentasikan dalam portal pengguna.
  • Amankan aplikasi - Kelola konfigurasi izin, autentikasi multifaktor, Akses Bersyar, token, dan sertifikat.
  • Mengelola dan memantau - Kelola aktivitas interaksi dan ulasan menggunakan pengelolaan pemberian hak serta pelaporan dan pemantauan sumber daya.
  • Membersihkan – Ketika aplikasi Anda tidak lagi diperlukan, bersihkan penyewa Anda dengan menghapus akses ke sana dan menghapusnya.

Mengembangkan, menambahkan, atau menghubungkan

Ada beberapa cara agar Anda dapat mengelola aplikasi di MICROSOFT Entra ID. Cara term mudah untuk mulai mengelola aplikasi adalah dengan menggunakan aplikasi yang telah diintegrasi sebelumnya dari galeri Microsoft Entra. Mengembangkan aplikasi Anda sendiri dan mendaftarkannya di MICROSOFT Entra ID adalah opsi, atau Anda dapat terus menggunakan aplikasi lokal.

Gambar berikut menunjukkan bagaimana aplikasi ini berinteraksi dengan MICROSOFT Entra ID.

Diagram showing how your own developed apps, preintegrated apps, and on-premises apps can be used as enterprise apps.

Aplikasi yang telah diinteegrasi sebelumnya

Banyak aplikasi yang sudah diintegrasi sebelumnya (ditampilkan sebagai "Aplikasi cloud" pada gambar sebelumnya dalam artikel ini) dan dapat disiapkan dengan upaya minimal. Setiap aplikasi di galeri Microsoft Entra memiliki artikel yang tersedia yang menunjukkan langkah-langkah yang diperlukan untuk mengonfigurasi aplikasi. Untuk contoh sederhana tentang bagaimana aplikasi dapat ditambahkan ke penyewa Microsoft Entra Anda dari galeri, lihat Mulai Cepat: Menambahkan aplikasi perusahaan.

Aplikasi Anda sendiri

Jika Anda mengembangkan aplikasi bisnis Anda sendiri, Anda dapat mendaftarkannya dengan MICROSOFT Entra ID untuk memanfaatkan fitur keamanan yang disediakan penyewa. Anda dapat mendaftarkan aplikasi di Pendaftaran Aplikasi, atau Anda dapat mendaftarkannya menggunakan tautan Buat aplikasi Anda sendiri saat menambahkan aplikasi baru di Aplikasi Enterprise. Pertimbangkan bagaimana autentikasi diterapkan di aplikasi Anda untuk integrasi dengan ID Microsoft Entra.

Jika Anda ingin membuat aplikasi Anda tersedia melalui galeri, Anda dapat mengirimkan permintaan untuk membuatnya tersedia.

Aplikasi lokal

Jika Anda ingin terus menggunakan aplikasi lokal, tetapi memanfaatkan apa yang ditawarkan MICROSOFT Entra ID, sambungkan dengan ID Microsoft Entra menggunakan proksi aplikasi Microsoft Entra. Proksi Aplikasi dapat diimplementasikan ketika Anda ingin memublikasikan aplikasi lokal secara eksternal. Pengguna jarak jauh yang memerlukan akses ke aplikasi internal dapat mengaksesnya dengan cara yang aman.

Mengelola akses

Untuk mengelola akses aplikasi, Anda perlu menjawab pertanyaan-pertanyaan berikut:

  • Bagaimana cara akses diberikan dan disetujui untuk aplikasi?
  • Apakah aplikasi mendukung SSO?
  • Mana saja pengguna, grup, dan pemilik yang harus ditugaskan ke aplikasi?
  • Apakah ada penyedia identitas lain yang mendukung aplikasi?
  • Apakah berguna untuk mengotomatiskan provisi identitas dan peran pengguna?

Anda dapat mengelola pengaturan persetujuan pengguna untuk memilih apakah pengguna dapat mengizinkan aplikasi atau layanan untuk mengakses profil pengguna dan data organisasi. Ketika aplikasi diberikan akses, pengguna dapat masuk ke aplikasi yang terintegrasi dengan ID Microsoft Entra, dan aplikasi dapat mengakses data organisasi Anda untuk memberikan pengalaman berbasis data yang kaya.

Dalam situasi di mana pengguna tidak dapat menyetujui izin yang diminta aplikasi, pertimbangkan untuk mengonfigurasi alur kerja persetujuan admin. Alur kerja memungkinkan pengguna untuk memberikan pembenaran dan meminta tinjauan dan persetujuan administrator atas aplikasi. Untuk mempelajari cara mengonfigurasi alur kerja persetujuan admin di penyewa Microsoft Entra Anda, lihat Mengonfigurasi alur kerja persetujuan admin.

Sebagai administrator, Anda dapat memberikan izin admin untuk seluruh penyewa ke aplikasi. Persetujuan admin di seluruh penyewa diperlukan ketika aplikasi memerlukan izin yang tidak diizinkan untuk diberikan oleh pengguna reguler. Memberikan persetujuan admin di seluruh penyewa juga memungkinkan organisasi untuk menerapkan proses peninjauan mereka sendiri. Selalu tinjau dengan cermat izin yang diminta aplikasi sebelum memberikan persetujuan. Ketika aplikasi diberikan persetujuan admin di seluruh penyewa, semua pengguna dapat masuk ke aplikasi kecuali Anda mengonfigurasinya untuk memerlukan penetapan pengguna.

Akses menyeluruh

Pertimbangkan untuk menerapkan SSO dalam aplikasi Anda. Anda dapat mengonfigurasi sebagian besar aplikasi secara manual untuk SSO. Opsi paling populer di Microsoft Entra ID adalah SSO berbasis SAML dan SSO berbasis OpenID Koneksi. Sebelum memulai, pastikan Anda memahami persyaratan untuk SSO dan cara merencanakan penyebaran. Untuk informasi selengkapnya tentang cara mengonfigurasi SSO berbasis SAML untuk aplikasi perusahaan di penyewa Microsoft Entra Anda, lihat Mengaktifkan akses menyeluruh untuk aplikasi dengan menggunakan ID Microsoft Entra.

Penugasan pengguna, grup, dan pemilik

Secara default, semua pengguna dapat mengakses aplikasi perusahaan Anda tanpa perlu ditetapkan kepada mereka. Namun, jika Anda ingin menetapkan aplikasi ke sekumpulan pengguna, konfigurasikan aplikasi untuk memerlukan penetapan pengguna dan tetapkan pengguna yang dipilih ke aplikasi. Untuk contoh sederhana tentang cara membuat dan menugaskan akun pengguna ke aplikasi, lihat Mulai Cepat: Membuat dan menetapkan akun pengguna.

Jika disertakan dalam langganan Anda, tetapkan grup ke aplikasi agar Anda dapat mendelegasikan manajemen akses berkelanjutan ke pemilik grup.

Menetapkan pemilik adalah cara sederhana untuk memberikan kemampuan untuk mengelola semua aspek konfigurasi Microsoft Entra untuk aplikasi. Sebagai pemilik, pengguna dapat mengelola konfigurasi khusus organisasi pada aplikasi. Sebagai praktik terbaik, Anda harus secara proaktif memantau aplikasi di penyewa Anda untuk memastikan mereka memiliki setidaknya dua pemilik, untuk menghindari situasi aplikasi tanpa pemilik.

Mengotomatiskan penyediaan

Provisi aplikasi mengacu pada pembuatan identitas dan peran pengguna secara otomatis di aplikasi yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah.

IdP

Apakah Anda memiliki idP yang Anda inginkan untuk berinteraksi dengan ID Microsoft Entra? Home Realm Discovery menyediakan konfigurasi yang memungkinkan MICROSOFT Entra ID menentukan penyedia identitas mana yang perlu diautentikasi pengguna saat mereka masuk.

Portal pengguna

MICROSOFT Entra ID menyediakan cara yang dapat disesuaikan untuk menyebarkan aplikasi kepada pengguna di organisasi Anda. Misalnya, portal Aplikasi Saya atau peluncur aplikasi Microsoft 365. Aplikasi Saya memberi pengguna satu tempat untuk memulai pekerjaan mereka dan menemukan semua aplikasi yang dapat mereka akses. Sebagai administrator aplikasi, Anda harus merencanakan cara pengguna di organisasi Anda menggunakan Aplikasi Saya.

Mengonfigurasikan properti

Saat menambahkan aplikasi ke penyewa Microsoft Entra, Anda memiliki kesempatan untuk mengonfigurasi properti yang memengaruhi cara pengguna dapat berinteraksi dengan aplikasi. Anda dapat mengaktifkan atau menonaktifkan kemampuan untuk masuk dan mengatur aplikasi untuk memerlukan penugasan pengguna. Anda juga dapat menentukan visibilitas aplikasi, logo yang mewakili aplikasi, dan catatan apa pun tentang aplikasi. Untuk informasi selengkapnya tentang properti yang dapat dikonfigurasi, lihat Properti aplikasi perusahaan.

Mengamankan aplikasi

Ada beberapa metode yang tersedia untuk membantu Anda menjaga aplikasi perusahaan tetap aman. Misalnya, Anda dapat membatasi akses penyewa, mengelola visibilitas, data, dan analitik, serta mungkin menyediakan akses hibrida. Menjaga aplikasi perusahaan Anda tetap aman juga melibatkan pengelolaan konfigurasi izin, MFA, Akses Bersyarah, token, dan sertifikat.

Izin

Sangat penting untuk meninjau secara berkala dan, jika perlu, mengelola izin yang diberikan kepada aplikasi atau layanan. Pastikan bahwa Anda hanya mengizinkan akses yang sesuai ke aplikasi dengan secara teratur mengevaluasi apakah ada aktivitas yang mencurigakan.

Klasifikasi izin memungkinkan Anda mengidentifikasi dampak yang ditimbulkan oleh berbagai izin sesuai dengan kebijakan dan evaluasi risiko organisasi Anda. Misalnya, Anda dapat menggunakan klasifikasi izin dalam kebijakan persetujuan untuk mengidentifikasi kumpulan izin yang diizinkan untuk disetujui oleh pengguna.

Autentikasi multifaktor dan Akses Bersyar

Autentikasi multifaktor Microsoft Entra membantu melindungi akses ke data dan aplikasi, menyediakan lapisan keamanan lain dengan menggunakan bentuk autentikasi kedua. Ada banyak metode yang dapat digunakan untuk autentikasi faktor kedua. Sebelum memulai, rencanakan penyebaran MFA untuk aplikasi di dalam organisasi Anda.

Organisasi dapat mengaktifkan MFA dengan Akses Bersyarah untuk membuat solusi sesuai dengan kebutuhan spesifik mereka. Kebijakan Akses Bersyar memungkinkan administrator menetapkan kontrol ke aplikasi, tindakan, atau konteks autentikasi tertentu.

Token dan sertifikat

Berbagai jenis token keamanan digunakan dalam alur autentikasi di ID Microsoft Entra tergantung pada protokol yang digunakan. Misalnya, token SAML digunakan untuk protokol SAML, lalu token ID dan token akses digunakan untuk protokol OpenID Connect. Token ditandatangani dengan sertifikat unik yang dihasilkan MICROSOFT Entra ID dan oleh algoritma standar tertentu.

Anda dapat menyediakan lebih banyak keamanan dengan mengenkripsi token. Anda juga dapat mengelola informasi dalam token termasuk peran yang diizinkan untuk aplikasi.

MICROSOFT Entra ID menggunakan algoritma SHA-256 secara default untuk menandatangani respons SAML. Gunakan SHA-256 kecuali aplikasi memerlukan SHA-1. Buat proses untuk mengelola masa pakai sertifikat. Masa guna maksimum sertifikat penandatanganan adalah tiga tahun. Untuk mencegah atau meminimalkan ketidaktersediaan karena sertifikat kedaluwarsa, gunakan peran dan daftar distribusi email untuk memastikan bahwa pemberitahuan perubahan terkait sertifikat dipantau dengan ketat.

Mengelola dan memantau

Pengelolaan pemberian hak di MICROSOFT Entra ID memungkinkan Anda mengelola interaksi antara aplikasi dan administrator, pemilik katalog, manajer paket akses, pemberi persetujuan, dan pemohon.

Solusi pelaporan dan pemantauan Microsoft Entra Anda bergantung pada persyaratan hukum, keamanan, dan operasional Anda serta lingkungan dan proses yang ada. Ada beberapa log yang dikelola di ID Microsoft Entra. Oleh karena itu, Anda harus merencanakan penyebaran pelaporan dan pemantauan untuk mempertahankan pengalaman terbaik untuk aplikasi Anda.

Penghapusan

Anda dapat membersihkan akses ke aplikasi. Misalnya, menghapus akses pengguna. Anda juga dapat menonaktifkan cara pengguna masuk. Dan terakhir, Anda dapat menghapus aplikasi jika tidak lagi diperlukan oleh organisasi. Untuk informasi selengkapnya tentang cara menghapus aplikasi perusahaan dari penyewa Microsoft Entra Anda, lihat Mulai Cepat: Menghapus aplikasi perusahaan.

Panduan terpandu

Untuk panduan tentang banyak rekomendasi dalam artikel ini, lihat panduan Microsoft 365 Mengamankan aplikasi cloud Anda dengan panduan Akses Menyeluruh (SSO).

Langkah berikutnya