Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Identita je klíčovou řídicí rovinou pro správu přístupu na moderním pracovišti a je nezbytná pro implementaci nulové důvěry ( Zero Trust). Podpora řešení identit:
- Zero Trust prostřednictvím silného ověřování a zásad přístupu.
- Nejméně privilegovaný přístup s podrobným oprávněním a přístupem.
- Kontroly a zásady, které spravují přístup k zabezpečeným prostředkům a minimalizují rozsah útoků.
Tento průvodce integrací vysvětluje, jak můžou nezávislí dodavatelé softwaru (ISV) a technologickí partneři integrovat s Microsoft Entra ID a vytvářet zabezpečená řešení nulové důvěry (Zero Trust) pro zákazníky.
Průvodce integrací nulové důvěryhodnosti pro identitu
Tento průvodce integrací se zabývá ID Microsoft Entra a externím ID Microsoftu.
Microsoft Entra ID je cloudová služba pro správu identit a přístupu od Microsoftu. Má následující funkce:
- Ověřování pomocí jednotného přihlašování
- Podmíněný přístup
- Bez hesla a vícefaktorové ověřování
- Automatizované zřizování uživatelů
- A mnoho dalších funkcí, které podnikům umožňují chránit a automatizovat procesy identit ve velkém měřítku
Externí ID Microsoft Entra je řešení pro správu přístupu identit zákazníků (CIAM). Zákazníci používají Externí ID Microsoft Entra k implementaci zabezpečených řešení ověřování pod neutrální značkou, která se snadno škálují a zapadají do prostředí webových a mobilních aplikací jejich značky. Další informace o pokynech k integraci najdete v části Externí ID Microsoft Entra.
Microsoft Entra ID
Existuje mnoho způsobů, jak integrovat vaše řešení s Microsoft Entra ID. Základní integrace jsou o ochraně vašich zákazníků pomocí integrovaných funkcí zabezpečení Microsoft Entra ID. Pokročilé integrace vezmou vaše řešení ještě o krok dál s rozšířenými možnostmi zabezpečení.
Základní integrace
Základní integrace chrání vaše zákazníky pomocí integrovaných možností zabezpečení Microsoft Entra ID.
Povolení jednotného přihlašování a ověřování vydavatele
Pokud chcete povolit jednotné přihlašování, doporučujeme aplikaci publikovat v galerii aplikací. Tento přístup zvyšuje důvěru zákazníků, protože ví, že je vaše aplikace ověřená jako kompatibilní s ID Microsoft Entra. Můžete se stát ověřeným vydavatelem, což zákazníkům zaručí, že jste vydavatelem aplikace, kterou přidávají do svého tenant účtu.
Publikování v galerii aplikací usnadňuje správcům IT integraci řešení do svého tenanta s automatizovanou registrací aplikací. Ruční registrace jsou běžnou příčinou problémů s podporou aplikací. Přidáním aplikace do galerie se vyhnete těmto problémům s vaší aplikací.
Pro mobilní aplikace doporučujeme používat knihovnu Microsoft Authentication Library a systémový prohlížeč k implementaci jednotného přihlašování.
Integrace poskytování uživatelů
Správa identit a přístupu pro organizace s tisíci uživatelů je náročná. Pokud vaše řešení používají velké organizace, zvažte synchronizaci informací o uživatelích a přístupu mezi vaší aplikací a ID Microsoft Entra. To pomáhá udržovat uživatelský přístup konzistentní, když dojde ke změnám.
SCIM (System for Cross-Domain Identity Management) je otevřený standard pro výměnu informací o identitě uživatele. Rozhraní API pro správu uživatelů SCIM můžete použít k automatickému zřizování uživatelů a skupin mezi vaší aplikací a ID Microsoft Entra.
Vývoj koncového bodu SCIM pro zřizování uživatelů pro aplikace z ID Microsoft Entra popisuje, jak vytvořit koncový bod SCIM a integrovat se službou Microsoft Entra provisioning.
Pokročilé integrace
Pokročilé integrace zvyšují zabezpečení vaší aplikace ještě více.
Kontext ověřování podmíněného přístupu
kontext ověřování podmíněného přístupu umožňuje aplikacím aktivovat vynucení zásad, když uživatel přistupuje k citlivým datům nebo akcím, což zajistí vyšší produktivitu uživatelů a zabezpečení citlivých prostředků.
Průběžné vyhodnocování přístupu
průběžné vyhodnocování přístupu (CAE) umožňuje odvolání přístupových tokenů na základě kritických událostí a vyhodnocování zásad, a nespoléhat se na vypršení platnosti tokenu na základě doby života. U některých rozhraní API prostředků, protože rizika a zásady se vyhodnocují v reálném čase, může to zvýšit životnost tokenů až o 28 hodin, což zvyšuje odolnost a výkon vaší aplikace.
Rozhraní API zabezpečení
V naší zkušenosti mnoho nezávislých dodavatelů softwaru najdou tato rozhraní API, která jsou užitečná.
Uživatelská a skupinová rozhraní API
Pokud vaše aplikace potřebuje aktualizovat uživatele a skupiny v tenantovi, můžete pomocí rozhraní API pro uživatele a skupiny prostřednictvím Microsoft Graphu zapisovat zpět do tenanta Microsoft Entra. Další informace o používání rozhraní API najdete v referenčních materiálech rozhraní Microsoft Graph REST API verze 1.0 a v referenční dokumentaci pro typ prostředku uživatele .
Rozhraní API podmíněného přístupu
podmíněný přístup je klíčovou součástí nulové důvěryhodnosti, protože pomáhá zajistit, aby správný uživatel získal správný přístup ke správným prostředkům. Povolení podmíněného přístupu umožňuje microsoftu Entra ID provádět rozhodnutí o přístupu na základě vypočítaných rizik a předkonfigurovaných zásad.
Nezávislí dodavatelé softwaru mohou využít podmíněný přístup tím, že nabídnou možnost aplikace zásad podmíněného přístupu, pokud je to relevantní. Pokud je například uživatel obzvláště rizikový, můžete zákazníkovi navrhnout povolení podmíněného přístupu pro daného uživatele prostřednictvím uživatelského rozhraní a programově ho povolit v Microsoft Entra ID.
Další informace najdete v ukázce , jak konfigurovat zásady podmíněného přístupu pomocí rozhraní Microsoft Graph API, na GitHubu.
Potvrzení ohrožení zabezpečení a rizikových uživatelských rozhraní API
Někdy můžou nezávislí dodavatelé softwaru vědět o ohrožení, které je mimo rozsah ID Microsoft Entra. U všech událostí zabezpečení, zejména těch, které zahrnují ohrožení účtu, Microsoft a nezávislý dodavatel softwaru můžou spolupracovat sdílením informací od obou stran. Rozhraní API pro potvrzení ohrožení vám umožňuje nastavit úroveň rizika cílového uživatele na vysokou. Toto rozhraní API umožňuje službě Microsoft Entra ID odpovídajícím způsobem reagovat, například tím, že vyžaduje, aby uživatel znovu provedl ověření nebo omezil přístup k citlivým datům.
Microsoft Entra ID v opačném směru průběžně vyhodnocuje riziko uživatelů na základě různých signálů a strojového učení. Rozhraní API rizikových uživatelů poskytuje programový přístup ke všem rizikovým uživatelům v tenantovi aplikace Microsoft Entra. Nezávislí dodavatelé softwaru mohou toto rozhraní API využít, aby zajistili, že pracují s uživateli odpovídajícím způsobem podle jejich aktuální úrovně rizika. uživatelsky rizikový typ prostředku.
Jedinečné scénáře produktů
Následující pokyny jsou určené pro nezávislé dodavatele softwaru, kteří nabízejí konkrétní druhy řešení.
integrace zabezpečeného hybridního přístupu mnoho obchodních aplikací bylo vytvořeno pro práci uvnitř chráněné podnikové sítě a některé z těchto aplikací využívají starší metody ověřování. Vzhledem k tomu, že společnosti hledají strategii nulové důvěry a podporují hybridní a cloudová pracovní prostředí, potřebují řešení, která propojují aplikace s Microsoft Entra ID a poskytují moderní řešení ověřování pro starší verze aplikací. V této příručce můžete vytvářet řešení, která poskytují moderní cloudové ověřování pro starší místní aplikace.
Stát se dodavatelem klíče zabezpečení FIDO2 kompatibilním s Microsoftem klíče zabezpečení FIDO2 můžou nahradit slabé přihlašovací údaje silnými přihlašovacími údaji s veřejnými nebo privátními klíči, které se nedají opakovaně používat, přehrávat ani sdílet mezi službami. Podle postupu v tomto dokumentu se můžete stát dodavatelem klíče zabezpečení kompatibilního s Technologií FIDO2 kompatibilním s Microsoftem.
Externí ID Microsoft Entra
Microsoft Entra Externí ID kombinuje výkonná řešení pro práci s lidmi mimo vaši organizaci. Díky možnostem externího ID můžete externím identitám umožnit bezpečný přístup k vašim aplikacím a prostředkům. Bez ohledu na to, jestli pracujete s externími partnery, spotřebiteli nebo obchodními zákazníky, můžou uživatelé přinést vlastní identity. Tyto identity můžou být v rozsahu od firemních nebo státních účtů až po poskytovatele sociálních identit, jako je Google nebo Facebook. Další informace o zabezpečení aplikací pro externí partnery, uživatele nebo firemní zákazníky najdete v tématu Úvod k externímu ID Společnosti Microsoft.
Integrovat s koncovými body RESTful
Nezávislí dodavatelé softwaru můžou integrovat svá řešení prostřednictvím koncových bodů RESTful, aby umožnili vícefaktorové ověřování (MFA) a řízení přístupu na základě role (RBAC), povolili ověřování identit a kontrolu pravopisu, zlepšili zabezpečení s využitím detekce robotů a ochranu před podvody a splnili požadavky na zabezpečené ověřování zákazníka (PSD2) Secure Customer Authentication (SCA).
Máme pokyny k používání našich koncových bodů RESTful a podrobné ukázkové návody partnerů, kteří se integrovali s rozhraními RESTful API.
- Ověření a potvrzení identity, což zákazníkům umožňuje ověřovat identitu koncových uživatelů.
- řízení přístupu na základě role, což koncovým uživatelům umožňuje podrobné řízení přístupu.
- zabezpečený hybridní přístup k místním aplikacím, který koncovým uživatelům umožňuje přístup k místním a starším aplikacím pomocí moderních ověřovacích protokolů
- ochrana před podvody, která zákazníkům umožňuje chránit své aplikace a koncové uživatele před podvodnými pokusy o přihlášení a útoky robota
Firewall webových aplikací
Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Externí ID Microsoft Entra umožňuje nezávislým dodavatelům softwaru integrovat svou službu WAF. Veškerý provoz do vlastních domén (například login.contoso.com) vždy prochází službou WAF, aby poskytoval další vrstvu zabezpečení.
Pokud chcete implementovat řešení WAF, nakonfigurujte vlastní domény Microsoft Entra External ID. Přehled vlastních domén URL pro externí ID Microsoft Entra popisuje, jak nakonfigurovat externí ID Microsoft Entra ve vlastních doménách URL v externích tenantech.