Zabezpečení hybridního přístupu pomocí integrace Microsoft Entra
Microsoft Entra ID podporuje moderní ověřovací protokoly, které pomáhají zabezpečit aplikace. Mnoho obchodních aplikací ale pracuje v chráněné podnikové síti a některé používají starší metody ověřování. Vzhledem k tomu, že společnosti vytvářejí nulová důvěra (Zero Trust) strategie a podporují hybridní a cloudová prostředí, existují řešení, která propojují aplikace s ID Microsoft Entra a poskytují ověřování pro starší verze aplikací.
Další informace: nulová důvěra (Zero Trust) zabezpečení
Microsoft Entra ID nativně podporuje moderní protokoly:
- SamL (Security Assertion Markup Language)
- Federace webových služeb (WS-Fed)
- OpenID Připojení (OIDC)
Proxy aplikace Microsoft Entra nebo proxy aplikace Microsoft Entra podporuje ověřování pomocí protokolu Kerberos a hlavičky. Jiné protokoly, jako je Secure Shell (SSH), (Microsoft systém Windows NT LAN Manager) NTLM, Lightweight Directory Access Protocol (LDAP) a soubory cookie, nejsou podporované. Nezávislí dodavatelé softwaru (ISV) ale můžou vytvářet řešení pro propojení těchto aplikací s Microsoft Entra ID.
Nezávislí výrobci softwaru můžou zákazníkům pomoct zjišťovat a migrovat aplikace typu software jako služba (SaaS) do Microsoft Entra ID. Můžou propojit aplikace, které používají starší metody ověřování s ID Microsoft Entra. Zákazníci se můžou konsolidovat na Microsoft Entra ID, aby zjednodušili správu aplikací a implementovali nulová důvěra (Zero Trust) principy.
Přehled řešení
Řešení, které sestavíte, může obsahovat následující části:
- Zjišťování aplikací – zákazníci často neví o každé aplikaci, která se používá
- Zjišťování aplikací najde aplikace a usnadňuje integraci aplikací s ID Microsoft Entra.
- Migrace aplikací – Vytvoření pracovního postupu pro integraci aplikací s ID Microsoft Entra bez použití Centra pro správu Microsoft Entra
- Integrace aplikací, které zákazníci dnes používají
- Podpora starší verze ověřování – Připojení aplikace se staršími metodami ověřování a jednotným přihlašováním
- Podmíněný přístup – Povolení použití zásad Microsoft Entra pro aplikace ve vašem řešení bez použití Centra pro správu Microsoft Entra
Další informace: Co je podmíněný přístup?
Technické aspekty a doporučení najdete v následujících částech.
Publikování aplikací do Azure Marketplace
Azure Marketplace je důvěryhodným zdrojem aplikací pro správce IT. Aplikace jsou kompatibilní s Microsoft Entra ID a podporují jednotné přihlašování, automatizují zřizování uživatelů a integrují se do externích tenantů s automatizovanou registrací aplikací.
Aplikaci můžete předem integrovat s ID Microsoft Entra, abyste mohli podporovat jednotné přihlašování a automatizované zřizování. Podívejte se, odešlete žádost o publikování aplikace v galerii aplikací Microsoft Entra.
Doporučujeme stát se ověřeným vydavatelem, aby zákazníci věděli, že jste důvěryhodným vydavatelem. Viz ověření vydavatele.
Povolení jednotného přihlašování pro správce IT
Existuje několik způsobů, jak povolit jednotné přihlašování pro správce IT k vašemu řešení. Viz, Plánování nasazení jednotného přihlašování, možnosti jednotného přihlašování.
Microsoft Graph používá OIDC/OAuth. Zákazníci používají OIDC k přihlášení k vašemu řešení. K interakci s Microsoft Graphem použijte problémy s ID Microsoft Entra (JSON Web Token) Microsoft Entra. Viz openID Připojení na platformě Microsoft Identity Platform.
Pokud vaše řešení používá SAML pro jednotné přihlašování správce IT, token SAML neumožňuje vašemu řešení pracovat s Microsoft Graphem. Pro jednotné přihlašování správce IT můžete použít SAML, ale vaše řešení musí podporovat integraci OIDC s Microsoft Entra ID, takže může získat JWT z Microsoft Entra ID pro interakci s Microsoft Graphem. Podívejte se, jak platforma Microsoft Identity Platform používá protokol SAML.
Můžete použít jeden z následujících přístupů SAML:
- Doporučený přístup SAML: Vytvořte novou registraci na Azure Marketplace, což je aplikace OIDC. Zákazníci přidají do svého tenanta aplikace SAML a OIDC. Pokud vaše aplikace není v galerii Microsoft Entra, můžete začít s víceklientská aplikace mimo galerii.
- Alternativní přístup SAML: Zákazníci můžou vytvořit registraci aplikace OIDC ve svém tenantovi Microsoft Entra a nastavit identifikátory URI, koncové body a oprávnění.
Použijte typ udělení přihlašovacích údajů klienta, který vyžaduje, aby řešení umožnilo zákazníkům zadat ID klienta a tajný klíč. Řešení také vyžaduje, abyste tyto informace uložili. Získejte JWT z Microsoft Entra ID a pak ho použijte k interakci s Microsoft Graphem. Podívejte se, získejte token. Doporučujeme vám znovu vytvořit dokumentaci pro zákazníky o tom, jak vytvořit registraci aplikace v tenantovi Microsoft Entra. Zahrnují koncové body, identifikátory URI a oprávnění.
Poznámka:
Než se aplikace použijí pro správce IT nebo jednotné přihlašování uživatelů, musí správce IT zákazníka odsouhlasit aplikaci ve svém tenantovi. Viz část Udělení souhlasu správce v rámci celého tenanta k aplikaci.
Toky ověřování
Toky ověřování řešení podporují následující scénáře:
- Správce IT zákazníka se přihlásí pomocí jednotného přihlašování pro správu vašeho řešení.
- Správce IT zákazníka používá vaše řešení k integraci aplikací s Microsoft Entra ID s Microsoft Graphem.
- Uživatelé se přihlašují ke starším aplikacím zabezpečeným vaším řešením a ID Microsoft Entra
Váš správce IT zákazníka provede jednotné přihlašování k vašemu řešení.
Když se správce IT přihlásí, může vaše řešení použít SAML nebo OIDC pro jednotné přihlašování. Doporučujeme, aby se správce IT ke svému řešení přihlašoval pomocí přihlašovacích údajů Microsoft Entra, což umožňuje používat aktuální bezpečnostní prvky. Integrujte s Microsoft Entra ID pro jednotné přihlašování prostřednictvím SAML nebo OIDC.
Následující diagram znázorňuje tok ověřování uživatelů:
- Správce IT se přihlásí k vašemu řešení pomocí svých přihlašovacích údajů Microsoft Entra.
- Řešení přesměruje správce IT na MICROSOFT Entra ID pomocí SAML nebo žádosti o přihlášení OIDC.
- Microsoft Entra ověří správce IT a přesměruje ho do vašeho řešení s tokenem SAML nebo JWT, který má být ve vašem řešení autorizovaný.
Správci IT integrují aplikace s Microsoft Entra ID
Správci IT integrují aplikace s Microsoft Entra ID pomocí vašeho řešení, které využívá Microsoft Graph k vytváření registrací aplikací a zásad podmíněného přístupu Microsoft Entra.
Následující diagram znázorňuje tok ověřování uživatelů:
- Správce IT se přihlásí k vašemu řešení pomocí svých přihlašovacích údajů Microsoft Entra.
- Řešení přesměruje správce IT na MICROSOFT Entra ID pomocí SAML nebo žádosti o přihlášení OIDC.
- Microsoft Entra ověří správce IT a přesměruje je do vašeho řešení pomocí tokenu SAML nebo JWT pro autorizaci.
- Když správce IT integruje aplikaci s Microsoft Entra ID, řešení volá Microsoft Graph s JWT k registraci aplikací nebo použije zásady podmíněného přístupu Microsoft Entra.
Uživatelé se přihlašují k aplikacím
Když se uživatelé přihlásí k aplikacím, používají OIDC nebo SAML. Pokud aplikace potřebují pracovat s rozhraním MICROSOFT Graph nebo rozhraním API chráněným Microsoft Entra, doporučujeme je nakonfigurovat tak, aby používaly OICD. Tato konfigurace zajišťuje, že se JWT použije pro interakci s Microsoft Graphem. Pokud aplikace nepotřebují interagovat s Microsoft Graphem nebo rozhraními API chráněnými Microsoft Entra, použijte SAML.
Následující diagram znázorňuje tok ověřování uživatelů:
- Uživatel se přihlásí k aplikaci.
- Řešení přesměruje uživatele na MICROSOFT Entra ID pomocí SAML nebo žádosti o přihlášení OIDC.
- Microsoft Entra ověří uživatele a přesměruje ho do vašeho řešení pomocí tokenu SAML nebo JWT pro autorizaci.
- Řešení umožňuje požadavek pomocí aplikačního protokolu.
Microsoft Graph API
Doporučujeme použít následující rozhraní API. Ke konfiguraci delegovaných oprávnění nebo oprávnění aplikace použijte MICROSOFT Entra ID. Pro toto řešení použijte delegovaná oprávnění.
- Rozhraní API šablon aplikací – Na Azure Marketplace použijte toto rozhraní API k vyhledání odpovídající šablony aplikace.
- Požadovaná oprávnění: Application.Read.All
- Rozhraní API pro registraci aplikací – Vytvoření registrací aplikací OIDC nebo SAML pro uživatele, kteří se přihlašují k aplikacím zabezpečeným pomocí vašeho řešení
- Požadovaná oprávnění: Application.Read.All, Application.ReadWrite.All
- Rozhraní API instančního objektu – Po registraci aplikace aktualizujte instanční objekt tak, aby nastavil vlastnosti jednotného přihlašování.
- Požadovaná oprávnění: Application.ReadWrite.All, Directory.AccessAsUser.All, AppRoleAssignment.ReadWrite.All (pro přiřazení)
- Rozhraní API podmíněného přístupu – Použití zásad podmíněného přístupu Microsoft Entra pro uživatelské aplikace
- Požadovaná oprávnění: Policy.Read.All, Policy.ReadWrite.ConditionalAccess a Application.Read.All
Další informace o používání rozhraní Microsoft Graph API
Scénáře rozhraní Microsoft Graph API
Následující informace použijte k implementaci registrací aplikací, připojení starších verzí aplikací a povolení zásad podmíněného přístupu. Zjistěte, jak automatizovat souhlas správce, získat podpisový certifikát tokenu a přiřadit uživatele a skupiny.
Použití rozhraní Microsoft Graph API k registraci aplikací s ID Microsoft Entra
Přidání aplikací na Azure Marketplace
Některé aplikace, které vaši zákazníci používají, jsou na Azure Marketplace. Můžete vytvořit řešení, které přidá aplikace do externího tenanta. Pomocí následujícího příkladu s rozhraním Microsoft Graph API vyhledejte šablonu na Azure Marketplace.
Poznámka:
V rozhraní API šablon aplikací se zobrazovaný název rozlišují malá a velká písmena.
Authorization: Required with a valid Bearer token
Method: Get
https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayname eq "Salesforce.com"
Pokud zjistíte shodu z volání rozhraní API, zaznamenejte ID. Proveďte následující volání rozhraní API a zadejte zobrazovaný název aplikace v textu JSON:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/cd3ed3de-93ee-400b-8b19-b61ef44a0f29/instantiate
{
"displayname": "Salesforce.com"
}
Po volání rozhraní API vygenerujete instanční objekt. Zachyťte ID aplikace a ID instančního objektu, které se použije při dalších voláních rozhraní API.
Opravte objekt instančního objektu pomocí protokolu SAML a přihlašovací adresy URL:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"preferredSingleSignOnMode":"saml",
"loginURL": "https://www.salesforce.com"
}
Opravte objekt aplikace pomocí identifikátorů URI přesměrování a identifikátorů URI:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
"web": {
"redirectUris":["https://www.salesforce.com"]},
"identifierUris":["https://www.salesforce.com"]
}
Přidání aplikací, které nejsou na Azure Marketplace
Pokud na Azure Marketplace neexistuje žádná shoda nebo integrace vlastní aplikace, zaregistrujte vlastní aplikaci v ID Microsoft Entra s ID šablony: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Potom v textu JSON zadejte následující volání rozhraní API a zadejte zobrazovaný název aplikace:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
"displayname": "Custom SAML App"
}
Po volání rozhraní API vygenerujete instanční objekt. Zachyťte ID aplikace a ID instančního objektu, které se použije při dalších voláních rozhraní API.
Opravte objekt instančního objektu pomocí protokolu SAML a přihlašovací adresy URL:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"preferredSingleSignOnMode":"saml",
"loginURL": "https://www.samlapp.com"
}
Opravte objekt aplikace pomocí identifikátorů URI přesměrování a identifikátorů URI:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
"web": {
"redirectUris":["https://www.samlapp.com"]},
"identifierUris":["https://www.samlapp.com"]
}
Použití jednotného přihlašování Microsoft Entra
Po registraci aplikací SaaS v Microsoft Entra ID musí aplikace začít používat Microsoft Entra ID jako zprostředkovatele identity (IDP):
- Aplikace podporují jednotné přihlašování jedním kliknutím – Microsoft Entra ID umožňuje aplikace. V Centru pro správu Microsoft Entra zákazník provede jednotné přihlašování jedním kliknutím s přihlašovacími údaji pro správu podporovaných aplikací SaaS.
- Další informace: Konfigurace aplikace jedním kliknutím jednotného přihlašování
- Aplikace nepodporují jednotné přihlašování jedním kliknutím – Zákazník umožňuje aplikacím používat ID Microsoft Entra.
Připojení aplikací do Microsoft Entra ID se starší verzí ověřování
Vaše řešení může zákazníkovi umožnit používat jednotné přihlašování a funkce Microsoft Entra, a to i nepodporované aplikace. Pokud chcete povolit přístup pomocí starších protokolů, vaše aplikace volá Microsoft Entra ID k ověření uživatele a použití zásad podmíněného přístupu Microsoft Entra. Povolte tuto integraci z konzoly. Vytvořte registraci aplikace SAML nebo OIDC mezi vaším řešením a ID Microsoft Entra.
Vytvoření registrace aplikace SAML
Použijte následující ID vlastní šablony aplikace: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Pak proveďte následující volání rozhraní API a do textu JSON zadejte zobrazovaný název:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
"displayname": "Custom SAML App"
}
Po volání rozhraní API vygenerujete instanční objekt. Zachyťte ID aplikace a ID instančního objektu, které se použije při dalších voláních rozhraní API.
Opravte objekt instančního objektu pomocí protokolu SAML a přihlašovací adresy URL:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"preferredSingleSignOnMode":"saml",
"loginURL": "https://www.samlapp.com"
}
Opravte objekt aplikace pomocí identifikátorů URI přesměrování a identifikátorů URI:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/54c4806b-b260-4a12-873c-967116983792
{
"web": {
"redirectUris":["https://www.samlapp.com"]},
"identifierUris":["https://www.samlapp.com"]
}
Vytvoření registrace aplikace OIDC
Pro vlastní aplikaci použijte následující ID šablony: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Proveďte následující volání rozhraní API a do textu JSON zadejte zobrazovaný název:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
"displayname": "Custom OIDC App"
}
Z volání rozhraní API zachyťte ID aplikace a ID instančního objektu, které se mají použít při dalších voláních rozhraní API.
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json
https://graph.microsoft.com/v1.0/applications/{Application Object ID}
{
"web": {
"redirectUris":["https://www.samlapp.com"]},
"identifierUris":["[https://www.samlapp.com"],
"requiredResourceAccess": [
{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "7427e0e9-2fba-42fe-b0c0-848c9e6a8182",
"type": "Scope"
},
{
"id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
"type": "Scope"
},
{
"id": "37f7f235-527c-4136-accd-4a02d197296e",
"type": "Scope"
}]
}]
}
Poznámka:
Oprávnění rozhraní API v resourceAccess uzlu udělují aplikaci oprávnění openid, User.Read a offline_access, která umožňují přihlášení. Podívejte se na přehled oprávnění Microsoft Graphu.
Použití zásad podmíněného přístupu
Zákazníci a partneři můžou pomocí rozhraní Microsoft Graph API vytvářet nebo používat zásady podmíněného přístupu pro jednotlivé aplikace. Pro partnery můžou zákazníci tyto zásady použít z vašeho řešení bez použití Centra pro správu Microsoft Entra. Existují dvě možnosti použití zásad podmíněného přístupu Microsoft Entra:
- Přiřazení aplikace k zásadám podmíněného přístupu
- Vytvoření nové zásady podmíněného přístupu a přiřazení aplikace k ní
Použití zásad podmíněného přístupu
Pro seznam zásad podmíněného přístupu spusťte následující dotaz. Získejte ID objektu zásady, které chcete upravit.
Authorization: Required with a valid Bearer token
Method:GET
https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies
Pokud chcete zásadu opravit, zahrňte ID objektu aplikace, které má být v oboru includeApplications, v textu JSON:
Authorization: Required with a valid Bearer token
Method: PATCH
https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{policyid}
{
"displayName":"Existing Conditional Access Policy",
"state":"enabled",
"conditions":
{
"applications":
{
"includeApplications":[
"00000003-0000-0ff1-ce00-000000000000",
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls":
{
"operator":"OR",
"builtInControls":[
"mfa"
]
}
}
Vytvoření nové zásady podmíněného přístupu
Do textu JSON přidejte ID objektu includeApplicationsaplikace, které má být v oboru:
Authorization: Required with a valid Bearer token
Method: POST
https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/
{
"displayName":"New Conditional Access Policy",
"state":"enabled",
"conditions":
{
"applications": {
"includeApplications":[
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls": {
"operator":"OR",
"builtInControls":[
"mfa"
]
}
}
#Policy Template for Requiring Compliant Device
{
"displayName":"Enforce Compliant Device",
"state":"enabled",
"conditions": {
"applications": {
"includeApplications":[
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls": {
"operator":"OR",
"builtInControls":[
"compliantDevice",
"domainJoinedDevice"
]
}
}
#Policy Template for Block
{
"displayName":"Block",
"state":"enabled",
"conditions": {
"applications": {
"includeApplications":[
"{Application Object ID}"
]
},
"users": {
"includeUsers":[
"All"
]
}
},
"grantControls": {
"operator":"OR",
"builtInControls":[
"block"
]
}
}
Automatizace souhlasu správce
Pokud zákazník přidává aplikace z vašeho řešení do Microsoft Entra ID, můžete automatizovat souhlas správce s Microsoft Graphem. Potřebujete ID objektu instančního objektu aplikace, které jste vytvořili ve voláních rozhraní API, a ID instančního objektu Microsoft Graphu z externího tenanta.
Získejte ID instančního objektu Microsoft Graphu provedením následujícího volání rozhraní API:
Authorization: Required with a valid Bearer token
Method:GET
https://graph.microsoft.com/v1.0/serviceprincipals/?$filter=appid eq '00000003-0000-0000-c000-000000000000'&$select=id,appDisplayName
Pokud chcete automatizovat souhlas správce, proveďte následující volání rozhraní API:
Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json
https://graph.microsoft.com/v1.0/oauth2PermissionGrants
{
"clientId":"{Service Principal Object ID of Application}",
"consentType":"AllPrincipals",
"principalId":null,
"resourceId":"{Service Principal Object ID Of Microsoft Graph}",
"scope":"openid user.read offline_access}"
}
Získání podpisového certifikátu tokenu
Pokud chcete získat veřejnou část podpisového certifikátu tokenu, použijte GET koncový bod metadat Microsoft Entra pro aplikaci:
Method:GET
https://login.microsoftonline.com/{Tenant_ID}/federationmetadata/2007-06/federationmetadata.xml?appid={Application_ID}
Přiřazení uživatelů a skupin
Po publikování aplikace do Microsoft Entra ID můžete aplikaci přiřadit uživatelům a skupinám, aby se zobrazila na portálu Moje aplikace. Toto přiřazení je u instančního objektu vygenerovaného při vytváření aplikace. Viz přehled portálu Moje aplikace.
Získejte AppRole instance, ke kterým je aplikace možná přidružená. Je běžné, že aplikace SaaS mají přidružené různé AppRole instance. Pro vlastní aplikace je obvykle k dispozici jedna výchozí AppRole instance. AppRole Získejte ID instance, které chcete přiřadit:
Authorization: Required with a valid Bearer token
Method:GET
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
Z Microsoft Entra ID získejte ID objektu uživatele nebo skupiny, které chcete přiřadit k aplikaci. Vezměte ID role aplikace z předchozího volání rozhraní API a odešlete ho s textem opravy instančního objektu:
Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json
https://graph.microsoft.com/v1.0/servicePrincipals/3161ab85-8f57-4ae0-82d3-7a1f71680b27
{
"principalId":"{Principal Object ID of User -or- Group}",
"resourceId":"{Service Principal Object ID}",
"appRoleId":"{App Role ID}"
}
Partnerství
Microsoft spolupracuje s následujícími poskytovateli ADC (Application Delivery Controller) a pomáhá chránit starší verze aplikací při používání síťových a doručovacích kontrolerů.
- Přístup k podnikovým aplikacím Akamai
- Citrix ADC
- F5 BIG-IP Access Policy Manager
- Kemp LoadMaster
- Pulse Secure Virtual Traffic Manager
Následující poskytovatelé řešení VPN se připojují pomocí Microsoft Entra ID a umožňují moderní metody ověřování a autorizace, jako je jednotné přihlašování a vícefaktorové ověřování (MFA).
- Cisco Any Připojení
- Fortinet FortiGate
- F5 BIG-IP Access Policy Manager
- Palo Alto Networks GlobalProtect
- Pulse Připojení Secure
Následující poskytovatelé softwarově definovaných hraničních řešení (SDP) se připojují pomocí Microsoft Entra ID pro ověřování a autorizační metody, jako je jednotné přihlašování a vícefaktorové ověřování.
- Datawiza Access Broker
- Obvod 81
- Silverfort Authentication Platform
- Strata Maverics Identity Orchestrator
- Privátní přístup Zscaler