Identitätsintegrationen
Identität ist die wichtigste Steuerungsebene für das Verwalten des Zugriffs am modernen Arbeitsplatz und ist wichtig für die Implementierung von Zero Trust. Identitätslösungen unterstützen Zero Trust durch starke Authentifizierungs- und Zugriffsrichtlinien, geringsten privilegierten Zugriff mit detaillierter Berechtigung und Zugriff und Kontrollen und Richtlinien, die Den Zugriff auf sichere Ressourcen verwalten und den Explosionsradius von Angriffen minimieren.
In diesem Integrationshandbuch wird erläutert, wie unabhängige Softwareanbieter (ISVs) und Technologiepartner in Azure Active Directory integriert werden können, um sichere Zero Trust-Lösungen für Kunden zu erstellen.
Zero Trust for Identity Integrationshandbuch
In diesem Integrationshandbuch werden Azure Active Directory sowie Azure Active Directory B2C behandelt.
Azure Active Directory ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Es bietet eine einmalige Anmeldeauthentifizierung, bedingten Zugriff, kennwortlose und mehrstufige Authentifizierung, automatisierte Benutzerbereitstellung und viele weitere Features, die Unternehmen ermöglichen, Identitätsprozesse zu schützen und zu automatisieren.
Azure Active Directory B2C ist eine Business-to-Customer Identity Access Management (CIAM)-Lösung, die Kunden verwenden, um sichere White-Label-Authentifizierungslösungen zu implementieren, die einfach und mit markenbasierten Web- und mobilen Anwendungserfahrungen skaliert und kombiniert werden. Die Integrationsleitlinien sind im Abschnitt Azure Active Directory B2C verfügbar.
Azure Active Directory
Es gibt viele Möglichkeiten, Ihre Lösung in Azure Active Directory zu integrieren. Grundlegende Integrationen sind das Schützen Ihrer Kunden mit den integrierten Sicherheitsfunktionen von Azure Active Directory. Erweiterte Integrationen führen Ihre Lösung einen Schritt weiter mit erweiterten Sicherheitsfunktionen aus.
Grundlagenintegrationen
Grundlegende Integrationen schützen Ihre Kunden mit den integrierten Sicherheitsfunktionen von Azure Active Directory.
Aktivieren einer einmaligen Anmeldung und Herausgeberüberprüfung
Um die einmalige Anmeldung zu aktivieren, empfehlen wir, Ihre App im App-Katalog zu veröffentlichen. Dies erhöht die Kundenvertrauenswürdigkeit, da sie wissen, dass Ihre Anwendung mit Azure Active Directory kompatibel ist, und Sie können zu einem überprüften Herausgeber werden, damit Kunden sicher sind, dass Sie der Herausgeber der App sind, die sie ihrem Mandanten hinzufügen.
Die Veröffentlichung im App-Katalog erleichtert IT-Administratoren die Integration der Lösung in ihren Mandanten mit automatisierter App-Registrierung. Manuelle Registrierungen sind eine häufige Ursache für Supportprobleme bei Anwendungen. Wenn Sie Ihre App dem Katalog hinzufügen, werden diese Probleme mit Ihrer App vermieden.
Für mobile Apps empfiehlt es sich, die Microsoft-Authentifizierungsbibliothek und einen Systembrowser zu verwenden, um einmaliges Anmelden zu implementieren.
Integrieren der Benutzerbereitstellung
Das Verwalten von Identitäten und des Zugriffs für Organisationen mit Tausenden von Benutzern ist eine Herausforderung. Wenn Ihre Lösung von großen Organisationen verwendet wird, sollten Sie Informationen zu Benutzern synchronisieren und zwischen Ihrer Anwendung und Azure Active Directory zugreifen. Dadurch wird der Benutzerzugriff beim Auftreten von Änderungen konsistent gehalten.
SCIM (System for Cross-Domain Identity Management) ist ein offener Standard für den Austausch von Benutzeridentitätsinformationen. Sie können die SCIM-Benutzerverwaltungs-API verwenden, um Benutzer und Gruppen automatisch zwischen Ihrer Anwendung und Azure Active Directory bereitzustellen.
Unser Lernprogramm zum Thema, entwickeln Sie einen SCIM-Endpunkt für die Benutzerbereitstellung in Apps aus Azure Active Directory, beschreibt, wie Sie einen SCIM-Endpunkt erstellen und in den Azure Active Directory-Bereitstellungsdienst integrieren.
Erweiterte Integrationen
Erweiterte Integrationen erhöhen die Sicherheit Ihrer Anwendung noch weiter.
Authentifizierungskontext für bedingten Zugriff
Mit dem Kontext der bedingten Zugriffsauthentifizierung können Apps die Richtlinienerzwingung auslösen, wenn ein Benutzer auf vertrauliche Daten oder Aktionen zugreift, wodurch Benutzer produktiver und vertrauliche Ressourcen sicher sind.
Fortlaufende Zugriffsevaluierung
Die kontinuierliche Zugriffsbewertung (CAE) ermöglicht es Zugriffstoken, basierend auf kritischen Ereignissen und Richtlinienbewertungen zu widerrufen, anstatt auf Tokenablauf basierend auf der Lebensdauer zu vertrauen. Für einige Ressourcen-APIs, da Risiko und Richtlinie in Echtzeit ausgewertet werden, kann dies die Tokenlebensdauer bis zu 28 Stunden erhöhen, wodurch Ihre Anwendung widerstandsfähiger und performanter wird.
Sicherheits-APIs
In unserer Erfahrung haben viele unabhängige Softwareanbieter diese APIs besonders nützlich gefunden.
Benutzer- und Gruppen-APIs
Wenn Ihre Anwendung Updates für die Benutzer und Gruppen im Mandanten vornehmen muss, können Sie die Benutzer- und Gruppen-APIs über Microsoft Graph verwenden, um zurück in den Azure Active Directory-Mandanten zurückzugeben. Weitere Informationen zur Verwendung der API in der Microsoft Graph REST-API v1.0 und der Referenzdokumentation für den Benutzerressourcentyp finden Sie
API für bedingten Zugriff
Bedingter Zugriff ist ein wichtiger Bestandteil von Zero Trust, da er bei der Sicherstellung hilft, dass der richtige Benutzer über den richtigen Zugriff auf die richtigen Ressourcen verfügt. Durch aktivieren des bedingten Zugriffs kann Azure Active Directory die Entscheidung basierend auf berechneten Risiko- und vorkonfigurierten Richtlinien treffen.
Unabhängige Softwareanbieter können den bedingten Zugriff nutzen, indem sie die Option zum Anwenden von Richtlinien für bedingten Zugriff beim relevanten Zeitpunkt verwenden. Wenn ein Benutzer beispielsweise besonders riskant ist, können Sie dem Kunden empfehlen, den bedingten Zugriff für diesen Benutzer über Ihre Benutzeroberfläche zu aktivieren und ihn programmgesteuert in Azure Active Directory zu aktivieren.
Weitere Informationen finden Sie im Beispiel zum Konfigurieren von Richtlinien für bedingten Zugriff mithilfe der Microsoft Graph-API auf GitHub.
APIs zum Bestätigen von Kompromittierungen und riskanten Benutzern
Manchmal werden unabhängigen Softwareanbietern möglicherweise die Kompromittierung bewusst, die außerhalb des Bereichs von Azure Active Directory liegt. Für jedes Sicherheitsereignis, insbesondere für Kontokompromittiert, kann Microsoft und der unabhängige Softwareanbieter zusammenarbeiten, indem Informationen aus beiden Parteien geteilt werden. Mit der API zum Bestätigen von Kompromittierungen können Sie die Risikostufe eines Benutzerziels auf „Hoch“ festlegen. Dadurch kann Azure Active Directory entsprechend reagieren, z. B. indem der Benutzer aufgefordert wird, sich erneut zu authentifizieren, oder indem sein Zugriff auf vertrauliche Daten eingeschränkt wird.
In der anderen Richtung bewertet Azure Active Directory kontinuierlich das Benutzerrisiko basierend auf verschiedenen Signalen und maschinellem Lernen. Die API für riskante Benutzer bietet programmgesteuerten Zugriff auf alle gefährdeten Benutzer im Azure Active Directory-Mandanten der App. Unabhängige Softwareanbieter können diese API nutzen, um sicherzustellen, dass benutzer entsprechend ihrem aktuellen Risikoniveau behandelt werden. „riskyUser“-Ressourcentyp.
Eindeutige Produktszenarien
Die folgenden Anleitungen dienen unabhängigen Softwareanbietern, die bestimmte Arten von Lösungen anbieten.
Schützen von Integrationen mit Hybridzugriff Viele Geschäftsanwendungen wurden für die Nutzung innerhalb eines geschützten Unternehmensnetzwerks entwickelt, und für einige dieser Anwendungen werden Legacy-Authentifizierungsmethoden verwendet. Wenn Unternehmen eine Zero Trust-Strategie entwickeln und Hybrid- und Cloud-First-Arbeitsumgebungen unterstützen möchten, benötigen sie Lösungen, die Apps mit Azure Active Directory verbinden und moderne Authentifizierungslösungen für Legacyanwendungen bereitstellen. Verwenden Sie diese Anleitung zum Erstellen von Lösungen, mit denen eine moderne Cloudauthentifizierung für lokale Legacyanwendungen bereitgestellt wird.
Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden Mit FIDO2-Sicherheitsschlüsseln können unsichere Anmeldeinformationen durch sichere hardwarebasierte Anmeldeinformationen mit öffentlichem/privatem Schlüssel ersetzt werden, die nicht wiederverwendet, wiedergegeben oder dienstübergreifend freigegeben werden können. Sie können ein Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden, indem Sie die Vorgehensweise in diesem Dokument befolgen.
Azure Active Directory B2C
Azure Active Directory B2C ist eine Kundenidentitäts- und Zugriffsverwaltungslösung,die Millionen von Benutzern und Milliarden von Authentifizierungen pro Tag unterstützen kann. Es ist eine White-Label-Authentifizierungslösung, die Benutzeroberflächen ermöglicht, die mit Markenweb- und mobilen Anwendungen kombiniert werden.
Wie bei Azure Active Directory können Partner mit Azure Active Directory B2C integriert werden, indem Microsoft Graph und wichtige Sicherheits-APIs wie z. B. bedingter Zugriff, Kompromittierung und risikoige Benutzer-APIs verwendet werden. Weitere Informationen zu diesen Integrationen finden Sie im obigen Azure AD-Abschnitt.
Dieser Abschnitt enthält mehrere weitere Integrationsmöglichkeiten, die unabhängigen Softwareanbieterpartner unterstützen können.
Hinweis
Wir empfehlen Kunden, Azure Active Directory B2C (und Lösungen, die in sie integriert sind) den Identitätsschutz und bedingten Zugriff in Azure Active Directory B2C zu aktivieren.
Integrieren mit RESTful-Endpunkten
Unabhängige Softwareanbieter können ihre Lösungen über RESTful-Endpunkte integrieren, um die mehrstufige Authentifizierung (MFA) und rollenbasierte Zugriffssteuerung (RBAC) zu ermöglichen, Identitätsüberprüfung und Überprüfung zu ermöglichen, Die Sicherheit mit Boterkennung und Betrugsschutz zu verbessern und die Anforderungen der Sicheren Kundenauthentifizierung (PSD2) zu erfüllen.
Wir haben Anleitungen zur Verwendung unserer RESTful-Endpunkte sowie detaillierte Beispielbeispiele von Partnern, die mithilfe der RESTful-APIs integriert sind:
- Identitätsüberprüfung und Überprüfung, mit der Kunden die Identität ihrer Endbenutzer überprüfen können
- Rollenbasierte Zugriffssteuerung, die eine granulare Zugriffssteuerung für Endbenutzer ermöglicht
- Sicherer Hybridzugriff auf lokale Anwendung, mit der Endbenutzer auf lokale und ältere Anwendungen mit modernen Authentifizierungsprotokollen zugreifen können.
- Betrugsschutz, mit dem Kunden ihre Anwendungen und Endbenutzer vor betrügerischen Anmeldeversuchen und Botangriffen schützen können
Web Application Firewall
Die Webanwendungs-Firewall (WAF) bietet zentralisierten Schutz für Webanwendungen aus gängigen Exploits und Sicherheitsrisiken. Azure Active Directory B2C ermöglicht unabhängigen Softwareanbietern die Integration ihres WAF-Diensts, sodass alle Datenverkehr in Azure Active Directory B2C-benutzerdefinierte Domänen (z. B. login.contoso.com) immer über den WAF-Dienst übergeben und eine zusätzliche Sicherheitsebene bereitstellen.
Die Implementierung einer WAF-Lösung erfordert, dass Sie benutzerdefinierte Azure Active Directory B2C-Domänen konfigurieren. Sie können dies in unserem Lernprogramm zum Aktivieren benutzerdefinierter Domänen lesen. Sie können auch vorhandene Partner sehen, die WAF-Lösungen erstellt haben, die in Azure Active Directory B2C integriert sind.