Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) in die Saviynt Security Manager-Plattform integrieren, die Sichtbarkeit, Sicherheit und Governance aufweist. Saviynt umfasst Anwendungsrisiko und Governance, Infrastrukturmanagement, privileged Account Management und Kundenrisikoanalyse.
Weitere Informationen: Saviynt für Azure AD B2C
Verwenden Sie die folgenden Anweisungen zum Einrichten der delegierten Verwaltung der Zugriffssteuerung für Azure AD B2C-Benutzer. Saviynt bestimmt, ob ein Benutzer berechtigt ist, Azure AD B2C-Benutzer zu verwalten, indem:
- Sicherheit auf Featureebene, um festzustellen, ob Benutzer einen Vorgang ausführen können
- Erstellen Sie z. B. Benutzer, aktualisieren Sie den Benutzer, setzen Sie das Benutzerkennwort zurück usw.
- Sicherheit auf Feldebene, um zu ermitteln, ob Benutzer Benutzerattribute während benutzerverwaltungsvorgängen lesen/schreiben können
- Beispielsweise kann ein Helpdesk-Agent eine Telefonnummer aktualisieren, andere Attribute sind schreibgeschützt
- Sicherheit auf Datenebene, um festzustellen, ob Benutzer einen Vorgang für einen anderen Benutzer ausführen können
- Ein Helpdesk-Administrator für die Region Großbritannien verwaltet z. B. uk-Benutzer
Voraussetzungen
Um zu beginnen, benötigen Sie Folgendes:
Ein Azure-Abonnement
- Wenn Sie keines haben, erstellen Sie ein kostenloses Azure-Konto.
Einen Azure AD B2C-Mandanten, der mit Ihrem Azure-Abonnement verknüpft ist
Wechseln Sie zu saviynt.com Kontaktieren Sie uns , um eine Demo anzufordern
Szenariobeschreibung
Die Integration von Saviynt umfasst die folgenden Komponenten:
- Azure AD B2C – Identität als Dienst zur benutzerdefinierten Kontrolle der Kundenanmeldung, Anmeldung und Profilverwaltung
-
Saviynt für Azure AD B2C: Identitätsgovernance für die delegierte Verwaltung der Benutzerlebenszyklusverwaltung und der Zugriffsgovernance
- Siehe Saviynt für Azure AD B2C
-
Microsoft Graph-API – Schnittstelle für Saviynt zum Verwalten von Azure AD B2C-Benutzern und ihrem Zugriff
- Weitere Informationen: Verwenden der Microsoft Graph-API
Das folgende Architekturdiagramm veranschaulicht die Implementierung.
- Ein delegierter Administrator startet den Azure AD B2C-Benutzervorgang mit Saviynt.
- Saviynt überprüft, ob der delegierte Administrator den Vorgang ausführen kann.
- Saviynt sendet eine Autorisierungserfolgs- oder Fehlerantwort.
- Saviynt ermöglicht es dem delegierten Administrator, den Vorgang auszuführen.
- Saviynt ruft die Microsoft Graph-API mit Benutzerattributen auf, um den Benutzer in Azure AD B2C zu verwalten.
- Die Microsoft Graph-API erstellt, aktualisiert oder löscht den Benutzer in Azure AD B2C.
- Azure AD B2C sendet eine Erfolgs- oder Fehlerantwort.
- Die Microsoft Graph-API gibt die Antwort auf Saviynt zurück.
Erstellen eines Saviynt-Kontos und Erstellen delegierter Richtlinien
- Erstellen Sie ein Saviynt-Konto. Um zu beginnen, wechseln Sie zu saviynt.com Kontaktieren Sie uns.
- Erstellen delegierter Verwaltungsrichtlinien.
- Weisen Sie Benutzern die rolle des delegierten Administrators zu.
Hinweis
Die Rolle des Benutzeradministrators ist erforderlich, damit ein Dienstprinzipalname (Service Principal Name, SPN) in das Saviynt EIC-System integriert werden kann.
Konfigurieren von Azure AD B2C mit Saviynt
Verwenden Sie die folgenden Anweisungen, um eine Anwendung zu erstellen, Benutzer zu löschen und vieles mehr.
Erstellen einer Microsoft Entra-Anwendung für Saviynt
Verwenden Sie für die folgenden Anweisungen das Verzeichnis mit dem Azure AD B2C-Mandanten.
Melden Sie sich beim Azure-Portal an.
Wählen Sie auf der Portalsymbolleiste "Verzeichnisse + Abonnements" aus.
Suchen Sie auf der Seite "Portaleinstellungen, Verzeichnisse + Abonnements " in der Verzeichnisnamenliste Ihr Azure AD B2C-Verzeichnis.
Wählen Sie Wechseln aus.
Suchen Sie im Azure-Portal, und wählen Sie Azure AD B2C aus.
Wählen Sie App-Registrierungen>Neue Registrierung aus.
Geben Sie einen Anwendungsnamen ein. Beispiel: Saviynt.
Wählen Sie "Erstellen" aus.
Navigieren Sie zu API-Berechtigungen.
Wählen Sie + eine Berechtigung hinzufügen aus.
Die Seite "Api-Berechtigungen anfordern" wird angezeigt.
Wählen Sie die Registerkarte Microsoft-APIs aus.
Wählen Sie Microsoft Graph als häufig verwendete Microsoft-APIs aus.
Zur nächsten Seite wechseln.
Wählen Sie Anwendungsberechtigungen.
Wählen Sie "Verzeichnis" aus.
Aktivieren Sie die Kontrollkästchen "Directory.Read.All " und " Directory.ReadWrite.All ".
Klicken Sie auf Berechtigungen hinzufügen.
Berechtigungen überprüfen.
Wählen Sie "Administratorzustimmung für Standardverzeichnis erteilen" aus.
Wählen Sie Speichern aus.
Wechseln Sie zu Zertifikaten und Geheimen Schlüsseln.
Wählen Sie +Geheimen Clientschlüssel hinzufügen.
Geben Sie die Beschreibung des geheimen Clientschlüssels ein.
Wählen Sie die Ablaufoption aus.
Wählen Sie Hinzufügen aus.
Der geheime Schlüssel wird im Abschnitt "Geheimer Clientschlüssel" angezeigt. Speichern Sie den geheimen Clientschlüssel, um es später zu verwenden.
Wechseln Sie zur Übersicht.
Kopieren Sie die Client-ID und die Mandanten-ID.
Speichern Sie die Mandanten-ID, die Client-ID und den geheimen Clientschlüssel, um das Setup abzuschließen.
Aktivieren von Saviynt zum Löschen von Benutzern
Aktivieren Sie Saviynt zum Ausführen von Benutzerlöschvorgängen in Azure AD B2C.
Weitere Informationen: Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID
- Installieren Sie die neueste Version des Microsoft Graph PowerShell-Moduls auf einer Windows-Arbeitsstation oder einem Windows-Server.
Weitere Informationen finden Sie in der Dokumentation zu Microsoft Graph PowerShell.
- Stellen Sie eine Verbindung mit dem PowerShell-Modul her, und führen Sie die folgenden Befehle aus:
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId
Testen der Lösung
Browsen Sie zu Ihrem Saviynt-Anwendungsmandanten, und testen Sie die Anwendungsfälle Benutzerlebenszyklusverwaltung und Zugriffsgovernance.