许多公司仍然让我看到他们使用单个帐户使用SaaS / Web应用程序,并且该帐户的凭据与组织内的多个人员共享。一个例子;市场部使用Twitter,Facebook,Instagram和LinkedIn等多种社交媒体渠道,每个市场部都有这些帐户的登录凭据。
安全性不是实现此目的的最佳方法,例如,如果其中一个人被解雇或离开公司,该怎么办?
If you are using 蔚蓝 AD in your environment there are better ways to arrange this. You can use “Shared Credentials”, a.k.a. “Password Vaulting”. With 共享凭证, the user will be logging in with his own (Azure) AD account to the application, in the back, the real credentials will be used for the authentication without the user knowing them.
在此博客中,我将向您展示配置的简单程度“Shared Credentials” / “Password Vaulting”。在以下示例中,我将发布Twitter Web应用程序。我已经创建了一个市场营销安全组,以将该应用程序发布给正确的用户。
对于下一步,请登录到 微软 蔚蓝 门户.
导航: 蔚蓝 AD >企业应用 然后点击 +新申请 纽扣
在里面 从图库中添加 窗口,搜索 推特 然后点击 加 按钮。
请点击 配置单点登录(必填)
请点击 基于密码
保持登录URL为默认值,然后单击 保存
请点击 用户和组 然后点击 +添加用户 纽扣
选择正确的组,在这种情况下,它将是“市场营销”组。
请点击 分配凭证 并设置 分配凭据以在所有组成员之间共享? 选择 是 并填写Twitter帐户的用户凭据。请点击 好 和 分配
转到 MyApps门户 并使用Marketing组成员的用户登录。如你看到的 推特 现在可以作为应用程序使用。打开应用程序。
如您所见,用户可以使用他/她自己的(Azure)AD凭据通过单点登录启动Twitter应用程序。在背面,用户使用Twitter帐户凭据登录,而自己不知道凭据。因此,现在,当用户离开公司并且其帐户被禁用时,该用户将无法再访问该Twitter帐户。
5条评论。 离开新的
您可以在登录“我的应用程序”门户的用户上启用MFA,这将起作用。
你好我已经在Booking.com和LinkedIn上进行了检查,在我的环境中,两个网站,预订和Linkedin都要求我提供用户名和密码。
我已经在企业应用程序上配置了sso,并为代表用户设置了用户权限。
我忘了什么?
嗨,诺伯特,您是否遵循本博客中所述的确切步骤?那么,添加SaaS应用程序并配置SSO吗?登录URL可能有问题吗?
是的,它现在可以在Linkedin上使用,但是在booking.com上我收到了密码请求。 --
感谢您的博客文章。这使我考虑将这种机制用于其他各种Azure租户(在这里我们可以’t添加每个用户,但需要拥有一个共享帐户)。您是否知道是否也可以将其用于Azure(带有MFA)本身?