Identitätsintegrationen
Identität ist die wichtigste Steuerungsebene für die Verwaltung des Zugriffs an einem modernen Arbeitsplatz und ist für die Zero Trust-Implementierung von grundlegender Bedeutung. Identitätslösungen unterstützen Zero Trust durch sichere Authentifizierung und Zugriffsrichtlinien, die Option für den Zugriff mit geringstmöglichen Berechtigungen mit präzisen Einstellungen verwenden und den „Assume Breach“-Ansatz (Voraussetzung von Sicherheitsverletzungen) mit Kontrollen und Richtlinien nutzen, mit denen der Zugriff auf sichere Ressourcen verwaltet und der Umfang von Angriffen begrenzt wird.
In diesem Integrationshandbuch wird erläutert, wie unabhängige Softwareanbieter (ISVs) und Technologiepartner mit Microsoft Entra ID integriert werden können, um sichere Zero Trust-Lösungen für Kunden zu erstellen.
Leitfaden zur Zero Trust for Identity-Integration
In diesem Integrationshandbuch werden Microsoft Entra ID sowie Azure Active Directory B2C behandelt.
Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Er bietet Authentifizierung mit einmaligem Anmelden, bedingten Zugriff, kennwortlose und Multi-Faktor-Authentifizierung, automatisierte Benutzerbereitstellung und viele weitere Features, mit denen Unternehmen Identitätsprozesse im großen Stil schützen und automatisieren können.
Azure Active Directory B2C ist eine Business-to-Customer Identity Access Management (CIAM)-Lösung, die Kunden verwenden, um sichere White-Label-Authentifizierungslösungen zu implementieren, die einfach skaliert und mit markenorientierten Web- und mobilen Anwendungserfahrungen kombiniert werden. Die Integrationsleitfaden sind im Abschnitt Azure Active Directory B2C verfügbar.
Microsoft Entra ID
Es gibt viele Möglichkeiten, Ihre Lösung mit Microsoft Entra ID zu integrieren. Bei grundlegenden Integrationen geht es um den Schutz Ihrer Kunden mithilfe der integrierten Sicherheitsfunktionen von Microsoft Entra ID. Erweiterte Integrationen bringen Ihre Lösung mit verbesserten Sicherheitsfunktionen noch einen Schritt weiter.
Grundlegende Integrationen
Grundlegende Integrationen schützen Ihre Kunden mit den integrierten Sicherheitsfunktionen von Microsoft Entra ID.
Aktivieren des einmaligen Anmeldens und der Herausgeberüberprüfung
Um das einmalige Anmelden zu aktivieren, empfehlen wir, Ihre App im App-Katalog zu veröffentlichen. Dadurch wird das Vertrauen der Kunden gestärkt, da sie wissen, dass Ihre Anwendung als kompatibel mit Microsoft Entra ID überprüft wurde. Außerdem können Sie ein verifizierter Herausgeber werden, sodass die Kunden sicher sein können, dass Sie der Herausgeber der App sind, die sie zu ihrem Mandanten hinzufügen.
Die Veröffentlichung im App-Katalogs erleichtert IT-Administratoren die Integration der Lösung in ihren Mandanten mit automatischer App-Registrierung. Manuelle Registrierungen sind eine häufige Ursache für Supportprobleme bei Anwendungen. Wenn Sie Ihre App dem Katalog hinzufügen, werden diese Probleme mit Ihrer App vermieden.
Für mobile Apps empfehlen wir die Verwendung der Microsoft-Authentifizierungsbibliothek und eines Systembrowsers, um einmaliges Anmelden zu implementieren.
Integrieren der Benutzerbereitstellung
Das Verwalten von Identitäten und des Zugriffs für Organisationen mit Tausenden von Benutzern ist eine Herausforderung. Wenn Ihre Lösung von großen Organisationen verwendet wird, sollten Sie das Synchronisieren von Benutzerinformationen und des Zugriffs zwischen Ihrer Anwendung und Microsoft Entra ID in Betracht ziehen. Dies hilft, den Zugriff der Benutzer bei Änderungen konsistent zu halten.
SCIM (System for Cross-Domain Identity Management) ist ein offener Standard für den Austausch von Benutzeridentitätsinformationen. Sie können die SCIM-Benutzerverwaltungs-API verwenden, um Benutzer und Gruppen automatisch zwischen Ihrer Anwendung und Microsoft Entra ID bereitzustellen.
In unserem Tutorial zu diesem Thema, Entwickeln eines SCIM-Endpunkts für die Benutzerbereitstellung für Apps aus Microsoft Entra ID, wird beschrieben, wie Sie einen SCIM-Endpunkt erstellen und in den Microsoft Entra Provisioning Service integrieren.
Erweiterte Integrationen
Erweiterte Integrationen erhöhen die Sicherheit Ihrer Anwendung noch weiter.
Authentifizierungskontext für bedingten Zugriff
Der Authentifizierungskontext für bedingten Zugriff ermöglicht Apps das Auslösen der Richtlinienerzwingung, wenn ein Benutzer auf vertrauliche Daten oder Aktionen zugreift, wodurch Benutzer produktiver und sensible Ressourcen geschützt bleiben.
Fortlaufende Zugriffsevaluierung
Mit der fortlaufenden Zugriffsevaluierung (Continuous Access Evaluation, CAE) können Zugriffstoken basierend auf kritischen Ereignissen und Richtlinienauswertungen widerrufen werden, statt sich auf den Tokenablauf zu verlassen, der auf der Lebensdauer basiert. Da bei einigen Ressourcen-APIs Risiken und Richtlinien in Echtzeit ausgewertet werden, kann dies die Tokenlebensdauer auf bis zu 28 Stunden erhöhen, wodurch Ihre Anwendung widerstandsfähiger und leistungsfähiger wird.
Sicherheits-APIs
In unserer Erfahrung haben viele unabhängige Softwareanbieter diese APIs als besonders nützlich gefunden.
Benutzer- und Gruppen-APIs
Wenn Ihre Anwendung Aktualisierungen an den Benutzern und Gruppen im Mandanten vornehmen muss, können Sie die Benutzer- und Gruppen-APIs über Microsoft Graph verwenden, um in den Microsoft Entra-Mandanten zurückzuschreiben. Weitere Informationen zur Verwendung der API finden Sie in der Microsoft Graph-REST-API v1.0-Referenz und in der Referenzdokumentation für den Benutzerressourcentyp.
API für bedingten Zugriff
Bedingter Zugriff ist ein wichtiger Bestandteil von Zero Trust, da er bei der Sicherstellung hilft, dass der richtige Benutzer über den richtigen Zugriff auf die richtigen Ressourcen verfügt. Die Aktivierung des bedingten Zugriffs ermöglicht Microsoft Entra ID, auf Grundlage berechneter Risiken und vorkonfigurierter Richtlinien eine Zugriffsentscheidung zu treffen.
Unabhängige Softwareanbieter können den bedingten Zugriff nutzen, indem sie die Option zum Anwenden von Richtlinien für bedingten Zugriff bereitstellen, wenn sie für Kunden relevant ist. Wenn ein Benutzer beispielsweise besonders riskant ist, können Sie dem Kunden empfehlen, den bedingten Zugriff für diesen Benutzer über Ihre Benutzeroberfläche zu aktivieren und ihn programmgesteuert in Microsoft Entra ID zu aktivieren.
Weitere Informationen finden Sie im Beispiel zum Konfigurieren von Richtlinien für bedingten Zugriff mithilfe der Microsoft Graph-API auf GitHub.
APIs zum Bestätigen von Kompromittierungen und riskanten Benutzern
Manchmal werden unabhängige Softwareanbieter möglicherweise von Kompromittierungen informiert, die sich außerhalb des Umfangs von Microsoft Entra ID befinden. Bei allen Sicherheitsereignissen, insbesondere solchen, die die Kompromittierung eines Kontos beinhalten, können Microsoft und der unabhängige Softwareanbieter zusammenarbeiten, indem Sie Informationen über beide Parteien teilen. Mit der API zum Bestätigen von Kompromittierungen können Sie die Risikostufe eines Benutzerziels auf „Hoch“ festlegen. Auf diese Weise kann Microsoft Entra ID entsprechend reagieren, z. B., indem der Benutzer aufgefordert wird, sich erneut zu authentifizieren, oder indem der Zugriff auf vertrauliche Daten eingeschränkt wird.
Auf der anderen Seite wertet Microsoft Entra ID das Benutzerrisiko kontinuierlich auf der Grundlage diverser Signale und mittels Machine Learning aus. Die API für riskante Benutzer bietet programmgesteuerten Zugriff auf alle gefährdeten Benutzer im Microsoft Entra ID-Mandanten der App. Unabhängige Softwareanbieter können diese API verwenden, um sicherzustellen, dass sie Benutzer entsprechend ihrer aktuellen Risikostufe behandeln. „riskyUser“-Ressourcentyp.
Eindeutige Produktszenarien
Der folgende Leitfaden richtet sich an unabhängige Softwareanbieter, die bestimmte Arten von Lösungen anbieten.
Schützen von Integrationen mit Hybridzugriff Viele Geschäftsanwendungen wurden für die Nutzung innerhalb eines geschützten Unternehmensnetzwerks entwickelt, und für einige dieser Anwendungen werden Legacy-Authentifizierungsmethoden verwendet. Wenn Unternehmen eine Zero Trust-Strategie entwickeln und Hybrid- und Cloud-First-Arbeitsumgebungen unterstützen, benötigen sie Lösungen, die Apps mit Microsoft Entra ID verbinden und moderne Authentifizierungslösungen für Legacy-Anwendungen bereitstellen. Verwenden Sie diese Anleitung zum Erstellen von Lösungen, mit denen eine moderne Cloudauthentifizierung für lokale Legacyanwendungen bereitgestellt wird.
Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden Mit FIDO2-Sicherheitsschlüsseln können unsichere Anmeldeinformationen durch sichere hardwarebasierte Anmeldeinformationen mit öffentlichem/privatem Schlüssel ersetzt werden, die nicht wiederverwendet, wiedergegeben oder dienstübergreifend freigegeben werden können. Sie können ein Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden, indem Sie die Vorgehensweise in diesem Dokument befolgen.
Azure Active Directory B2C
Azure Active Directory B2C ist eine CIAM-Lösung (Customer Identity and Access Management), die Millionen von Benutzern und Milliarden von Authentifizierungen pro Tag unterstützt. Es handelt sich um eine White-Label-Authentifizierungslösung, die Benutzererfahrungen ermöglicht, die sich in Web- und mobile Anwendungen mit Branding einfügen.
Wie bei Microsoft Entra ID können Partner die Integration mit Azure Active Directory B2C mithilfe von Microsoft Graph und wichtigen Sicherheits-APIs wie „Bedingter Zugriff“, „Bestätigen der Kompromittierung“ und Risikobenutzer-APIs vornehmen. Weitere Informationen zu diesen Integrationen finden Sie im Abschnitt "Microsoft Entra ID" weiter oben.
Dieser Abschnitt enthält mehrere weitere Integrationsmöglichkeiten, die unabhängige Softwareanbieter-Partner unterstützen können.
Hinweis
Es wird dringend empfohlen, dass Kunden, die Azure Active Directory B2C (und Lösungen, die darin integriert sind) nutzen, den Identitätsschutz und bedingten Zugriff in Azure Active Directory B2C aktivieren.
Integrieren mit RESTful-Endpunkten
Unabhängige Softwarehersteller können ihre Lösungen über RESTful-Endpunkte integrieren, um Multi-Faktor-Authentifizierung (MFA) und rollenbasierte Zugriffssteuerung (RBAC) sowie Identitätsüberprüfung und -nachweis zu ermöglichen, die Sicherheit mit Bot-Erkennung und Fraud Protection zu verbessern und die Anforderungen von PSD2 (Payment Services Directive 2) für SCA (Secure Customer Authentication) zu erfüllen.
Wir verfügen über Leitfäden zur Verwendung unserer RESTful-Endpunkte sowie über detaillierte Beispiele von Partnern, die die Integration mithilfe der RESTful-APIs durchgeführt haben:
- Identitätsüberprüfung und -nachweis, die es Kunden ermöglichen, die Identität ihrer Endbenutzer zu überprüfen.
- Rollenbasierte Zugriffssteuerung, die eine differenzierte Zugriffssteuerung für Endbenutzer ermöglicht.
- Sicherer Hybridzugriff auf die lokale Anwendung, der Endbenutzern den Zugriff auf lokale und Legacyanwendungen mit modernen Authentifizierungsprotokollen ermöglicht.
- Fraud Protection, mit dem Kunden ihre Anwendungen und Endbenutzer vor betrügerischen Anmeldeversuchen und Bot-Angriffen schützen können.
Web Application Firewall
Web Application Firewall (WAF) bietet zentralisierten Schutz für Webanwendungen vor verbreiteten Exploits und Sicherheitsrisiken. Azure Active Directory B2C ermöglicht es unabhängigen Softwareanbietern, ihren WAF-Dienst so zu integrieren, dass der gesamte Datenverkehr zu Custom Domains von Azure Active Directory B2C (z. B. login.contoso.com) immer über den WAF-Dienst geleitet wird und eine zusätzliche Sicherheitsebene bietet.
Für die Implementierung einer WAF-Lösung müssen Sie Custom Domains für Azure Active Directory B2C konfigurieren. In unserem Lernprogramm zum Aktivieren von Custom Domains erfahren Sie, wie Sie dies tun können. Sie können auch vorhandene Partner sehen, die WAF-Lösungen erstellt haben, die in Azure Active Directory B2C integriert sind.