Freigeben über


Identitätsintegrationen

Identität ist die zentrale Steuerungsebene für die Verwaltung des Zugriffs am modernen Arbeitsplatz und ist für die Implementierung von Zero Trust unerlässlich. Unterstützung von Identitätslösungen:

  • Zero Trust durch starke Authentifizierung und Zugriffsrichtlinien.
  • Zugriff mit geringstmöglichen Rechten mit granularer Berechtigung und granularem Zugriff.
  • Kontrollen und Richtlinien, die den Zugriff auf sichere Ressourcen verwalten und den Schadensbereich von Angriffen minimieren.

In diesem Integrationshandbuch wird erläutert, wie unabhängige Softwareanbieter (ISVs) und Technologiepartner mit Microsoft Entra ID integriert werden können, um sichere Zero Trust-Lösungen für Kunden zu erstellen.

Leitfaden zur Zero Trust for Identity-Integration

In diesem Integrationshandbuch werden die Microsoft Entra-ID und die externe Microsoft-ID behandelt.

Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Er zeichnet sich durch Folgendes aus:

  • Single Sign-On-Authentifizierung
  • Bedingter Zugriff
  • Kennwortlose und mehrstufige Authentifizierung
  • Automatisierte Benutzerbereitstellung
  • Und viele weitere Features, mit denen Unternehmen Identitätsprozesse im großen Maßstab schützen und automatisieren können

Microsoft Entra External ID ist eine Business-to-Customer Identity Access Management (CIAM)-Lösung. Kunden verwenden die externe Microsoft Entra-ID, um sichere Whitelabel-Authentifizierungslösungen zu implementieren, die einfach skaliert und mit Branding-Web- und mobilen Anwendungsumgebungen kombiniert werden. Erfahren Sie mehr über integrationsanleitungen im Abschnitt Microsoft Entra External ID.

Microsoft Entra ID

Es gibt viele Möglichkeiten, Ihre Lösung mit Microsoft Entra ID zu integrieren. Grundlegende Integrationen beziehen sich auf den Schutz Ihrer Kunden mithilfe der integrierten Sicherheitsfunktionen von Microsoft Entra ID. Erweiterte Integrationen führen Ihre Lösung einen Schritt weiter mit erweiterten Sicherheitsfunktionen.

Ein gekrümmter Pfad, der grundlegende und erweiterte Integrationen zeigt Grundlegende Integrationen umfassen die Überprüfung des einmaligen Anmeldens und des Herausgebers. Erweiterte Integrationen beziehen den Kontext der Authentifizierung für bedingten Zugriff, die kontinuierliche Zugriffsauswertung und erweiterte Sicherheits-API-Integrationen ein.

Grundlegende Integrationen

Grundlegende Integrationen schützen Ihre Kunden mit den integrierten Sicherheitsfunktionen von Microsoft Entra ID.

Aktivieren des einmaligen Anmeldens und der Herausgeberüberprüfung

Um Single Sign-On zu aktivieren, empfehlen wir, Ihre App in der App-Galeriezu veröffentlichen. Dieser Ansatz erhöht die Kundenvertrauensstellung, da sie wissen, dass Ihre Anwendung mit der Microsoft Entra-ID kompatibel überprüft wird. Sie können verifizierter Herausgeber werden, damit Kunden darauf vertrauen können, dass Sie der Herausgeber der App sind, die sie ihrem Mandanten hinzufügen.

Die Veröffentlichung im App-Katalog erleichtert IT-Administratoren die Integration der Lösung in ihren Mandanten mit automatisierter App-Registrierung. Manuelle Registrierungen sind eine häufige Ursache für Supportprobleme mit Anwendungen. Wenn Sie Ihre App zum Katalog hinzufügen, werden diese Probleme mit Ihrer App vermieden.

Für mobile Apps empfehlen wir die Verwendung der Microsoft-Authentifizierungsbibliothek und eines Systembrowsers, um einmaliges Anmelden zu implementieren.

Integrieren der Benutzerbereitstellung

Das Verwalten von Identitäten und Zugriff für Organisationen mit Tausenden von Benutzern ist eine Herausforderung. Wenn große Organisationen Ihre Lösung verwenden, sollten Sie die Informationen über Benutzer und Zugriffe zwischen Ihrer Anwendung und Microsoft Entra ID synchronisieren. Dadurch bleibt der Benutzerzugriff konsistent, wenn Änderungen vorgenommen werden.

SCIM (System for Cross-Domain Identity Management) ist ein offener Standard für den Austausch von Benutzeridentitätsinformationen. Sie können die SCIM-Benutzerverwaltungs-API verwenden, um Benutzer und Gruppen zwischen Ihrer Anwendung und Microsoft Entra ID automatisch bereitzustellen.

Entwickeln eines SCIM-Endpunkts für die Benutzerbereitstellung in Apps von Microsoft Entra ID beschreibt, wie Sie einen SCIM-Endpunkt erstellen und diesen in den Microsoft Entra-Bereitstellungsdienst integrieren.

Erweiterte Integrationen

Erweiterte Integrationen erhöhen die Sicherheit Ihrer Anwendung noch weiter.

Authentifizierungskontext für bedingten Zugriff

Authentifizierungskontext für bedingten Zugriff ermöglicht es Apps, die Durchsetzung von Richtlinien auszulösen, wenn ein Benutzer auf vertrauliche Daten oder Aktionen zugreift, um die Produktivität der Benutzer zu steigern und Ihre vertraulichen Ressourcen zu sichern.

Fortlaufende Zugriffsevaluierung

Die kontinuierliche Zugriffsevaluierung (Continuous Access Evaluation, CAE) bietet die Möglichkeit, Zugriffstoken auf der Grundlage von kritischen Ereignissen und der Evaluierung von Richtlinien zu widerrufen, anstatt sich auf den Ablauf von Token auf der Grundlage ihrer Lebensdauer zu verlassen. Bei einigen Ressourcen-APIs kann dies, da Risiken und Richtlinien in Echtzeit ausgewertet werden, die Tokenlebensdauer bis zu 28 Stunden erhöhen, wodurch Ihre Anwendung stabiler und leistungsfähiger wird.

Sicherheits-APIs

In unserer Erfahrung finden viele unabhängige Softwareanbieter diese APIs als nützlich.

Benutzer- und Gruppen-APIs

Wenn Ihre Anwendung Aktualisierungen an den Benutzern und Gruppen im Mandanten vornehmen muss, können Sie die Benutzer- und Gruppen-APIs über Microsoft Graph verwenden, um in den Microsoft Entra-Mandanten zurückzuschreiben. Weitere Informationen zur Verwendung der API finden Sie in der Microsoft Graph REST API v1.0-Referenz und der Referenzdokumentation für den Benutzerressourcentyp

API für bedingten Zugriff

bedingter Zugriff ist ein wichtiger Bestandteil von Zero Trust, da dadurch sichergestellt wird, dass der richtige Benutzer über den richtigen Zugriff auf die richtigen Ressourcen verfügt. Durch aktivieren des bedingten Zugriffs kann Microsoft Entra-ID basierend auf berechneten Risiken und vorkonfigurierten Richtlinien Zugriffsentscheidungen treffen.

Unabhängige Softwareanbieter können den bedingten Zugriff nutzen, indem sie die Option zum Anwenden von Richtlinien für bedingten Zugriff aktivieren, wenn dies relevant ist. Wenn ein Benutzer beispielsweise besonders riskant ist, können Sie dem Kunden empfehlen, den bedingten Zugriff für diesen Benutzer über Ihre Benutzeroberfläche zu aktivieren und ihn programmgesteuert in Microsoft Entra ID zu aktivieren.

Diagramm, das einen Benutzer zeigt, der eine Anwendung verwendet, die dann Microsoft Entra ID aufruft, um Bedingungen für eine Richtlinie für bedingten Zugriff basierend auf der Aktivität des Benutzers festzulegen.

Weitere Informationen finden Sie im Beispiel "Konfigurieren von Richtlinien für bedingten Zugriff mithilfe der Microsoft Graph-API" auf GitHub.

Bestätigen kompromittierter und riskanter Benutzer-APIs

Manchmal werden unabhängige Softwareanbieter möglicherweise von Kompromittierungen informiert, die sich außerhalb des Umfangs der Microsoft Entra-ID befinden. Für jedes Sicherheitsereignis, insbesondere bei Kontokompromittierungen, können Microsoft und der unabhängige Softwareanbieter zusammenarbeiten, durch den Austausch von Informationen zwischen beiden Parteien. Mit der API zum Bestätigen von Kompromittierungen können Sie die Risikostufe eines Benutzerziels auf „Hoch“ festlegen. Mit dieser API kann Microsoft Entra-ID entsprechend reagieren, z. B. indem der Benutzer den Zugriff auf vertrauliche Daten erneut authentifizieren oder einschränken muss.

In der anderen Richtung bewertet die Microsoft Entra ID kontinuierlich das Benutzerrisiko basierend auf verschiedenen Signalen und maschinellem Lernen. Die API für riskante Benutzer bietet programmgesteuerten Zugriff auf alle gefährdeten Benutzer im Microsoft Entra ID-Mandanten der App. Unabhängige Softwareanbieter können diese API verwenden, um sicherzustellen, dass sie Benutzer entsprechend ihrem aktuellen Risikoniveau behandeln. RiskyUser-Ressourcentyp.

Diagramm, das zeigt, wie ein Benutzer eine Anwendung verwendet, die dann Microsoft Entra-ID aufruft, um das Risikoniveau des Benutzers abzurufen.

Eindeutige Produktszenarien

Der folgende Leitfaden richtet sich an unabhängige Softwareanbieter, die bestimmte Arten von Lösungen anbieten.

Sichere Hybridzugriffsintegrationen Viele Geschäftsanwendungen wurden entwickelt, um innerhalb eines geschützten Unternehmensnetzwerks zu funktionieren. Einige dieser Anwendungen verwenden veraltete Authentifizierungsmethoden. Da Unternehmen eine Zero Trust-Strategie entwickeln und hybride und cloudbasierte Arbeitsumgebungen unterstützen, benötigen sie Lösungen, die Apps mit Microsoft Entra ID verbinden und moderne Authentifizierungslösungen für ältere Anwendungen bereitstellen. Verwenden Sie dieses Handbuch, um Lösungen zu erstellen, die moderne Cloudauthentifizierung für ältere lokale Anwendungen bereitstellen.

Werden Sie ein Microsoft-kompatibler FIDO2-Sicherheitsschlüsselanbieter FIDO2-Sicherheitsschlüssel können schwache Anmeldeinformationen durch starke, hardwaregestützte Anmeldeinformationen für öffentliche und private Schlüssel ersetzen, die nicht erneut verwendet, wiedergenutzt oder dienstübergreifend freigegeben werden können. Sie können ein microsoftkompatibler FIDO2-Sicherheitsschlüsselanbieter werden, indem Sie den Prozess in diesem Dokument ausführen.

Microsoft Entra External ID

Die externe Microsoft Entra-ID kombiniert leistungsstarke Lösungen für das Arbeiten mit Personen außerhalb Ihrer Organisation. Mit externen ID-Funktionen können Sie externen Identitäten den sicheren Zugriff auf Ihre Apps und Ressourcen ermöglichen. Unabhängig davon, ob Sie mit externen Partnern, Verbrauchern oder Geschäftskunden arbeiten, können Benutzer ihre eigenen Identitäten mitbringen. Diese Identitäten können von Unternehmenskonten oder von Behörden ausgestellten Konten bis hin zu Social Identity-Anbietern wie Google oder Facebook reichen. Weitere Informationen zum Sichern Ihrer Apps für externe Partner, Verbraucher oder Geschäftskunden finden Sie unter Einführung in Microsoft External ID.

Integrieren mit RESTful-Endpunkten

Unabhängige Softwareanbieter können ihre Lösungen über RESTful-Endpunkte integrieren, um die mehrstufige Authentifizierung (MFA) und die rollenbasierte Zugriffssteuerung (RBAC) zu ermöglichen, Identitätsüberprüfung und -nachweise zu ermöglichen, die Sicherheit mit Boterkennung und Betrugsschutz zu verbessern und die Anforderungen der Richtlinie über die sichere Kundenauthentifizierung (PAYMENT Services Directive 2, PSD2) zu erfüllen.

Wir verfügen über Leitfäden zur Verwendung unserer RESTful-Endpunkte sowie über detaillierte Beispiele von Partnern, die eine Integration mit RESTful-APIs durchgeführt haben:

Web Application Firewall

Die Webanwendungsfirewall (WAF) bietet einen zentralen Schutz für Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken. Die externe Microsoft Entra-ID ermöglicht es unabhängigen Softwareanbietern, ihren WAF-Dienst zu integrieren. Der gesamte Datenverkehr zu benutzerdefinierten Domänen (z. B. login.contoso.com) durchläuft immer den WAF-Dienst, um eine zusätzliche Sicherheitsebene bereitzustellen.

Um eine WAF-Lösung zu implementieren, konfigurieren Sie benutzerdefinierte Microsoft Entra External ID-Domänen. Übersicht über benutzerdefinierte URL-Domänen für Microsoft Entra External ID beschreibt, wie Microsoft Entra External ID in benutzerdefinierten URL-Domänen bei externen Mandanten konfiguriert wird.

Nächste Schritte