Intégrations aux identités
Les solutions d’identité sont le plan de contrôle clé pour la gestion de l’accès dans un environnement de travail moderne, et sont essentielles à l’implémentation de la Confiance Zéro. Les solutions d'identité soutiennent la confiance zéro grâce à des stratégies d'authentification stricte et d'accès, un droit d'accès minimal avec des autorisations et des accès granulaires, ainsi que des contrôles et des politiques qui gèrent l'accès aux ressources sécurisées et minimisent le rayon de souffle des attaques.
Ce guide d’intégration explique comment les fournisseurs de logiciels indépendants (ISV) et les partenaires technologiques peuvent s’intégrer à Microsoft Entra ID pour créer des solutions de Confiance Zéro sécurisées pour les clients.
Guide d’intégration de la Confiance Zéro aux identités
Ce guide d’intégration couvre Microsoft Entra ID ainsi que Azure Active Directory B2C.
Microsoft Entra ID est le service cloud de Microsoft qui gère les identités et les accès. Elle offre l'authentification unique, l'accès conditionnel, l'authentification sans mot de passe et multifactorielle, le provisionnement automatisé des utilisateurs et bien d'autres fonctionnalités qui permettent aux entreprises de protéger et d'automatiser les processus d'identité à l'échelle.
Azure Active Directory B2C est une solution de gestion des identités et des accès client (CIAM) que les clients utilisent pour implémenter des solutions d’authentification d’étiquette blanche sécurisées qui s’adaptent facilement et s’intègrent aux expériences d’application web et mobile personnalisées. L'aide à l'intégration est disponible dans la section Azure Active Directory B2C.
Microsoft Entra ID
Il existe de nombreuses façons d’intégrer votre solution à Microsoft Entra ID. Les intégrations fondamentales visent à protéger vos clients en utilisant les capacités de sécurité intégrées de Microsoft Entra ID. Les intégrations avancées enrichissent votre solution avec des fonctionnalités de sécurité améliorées.
Intégrations de base
Les intégrations fondamentales protègent vos clients grâce aux capacités de sécurité intégrées de Microsoft Entra ID.
Activer l’authentification unique et la vérification de l’éditeur
Pour activer l’authentification unique, nous vous recommandons de publier votre application dans la Galerie d’applications. Cela accroît la confiance des clients, car ils savent que votre application a été validée comme étant compatible avec Microsoft Entra ID, et vous pouvez devenir éditeur vérifié afin que les clients soient certains que vous êtes l’éditeur de l’application qu’ils ajoutent à leur locataire.
La publication dans la galerie d'applications permettra aux administrateurs informatiques d'intégrer facilement la solution dans leur locataire grâce à l'enregistrement automatisé des applications. Les inscriptions manuelles sont une cause courante de problèmes de prise en charge des applications. L’ajout de votre application à la Galerie permet d’éviter ces problèmes.
Pour les applications mobiles, nous vous recommandons d’utiliser la bibliothèque Microsoft Authenticator et un navigateur système pour implémenter l’authentification unique.
Intégrer le provisionnement d’utilisateurs
La gestion des identités et de l’accès pour les organisations comptant des milliers d’utilisateurs est difficile. Si votre solution est utilisée par de grandes organisations, envisagez de synchroniser les informations sur les utilisateurs et les accès entre votre application et Microsoft Entra ID. Cela permet de maintenir la cohérence de l’accès utilisateur quand des modifications se produisent.
SCIM (System for Cross-domain Identity Management) est une norme ouverte pour l’échange d’informations d’identités utilisateur. Vous pouvez utiliser l'API de gestion des utilisateurs SCIM pour une attribution automatique des utilisateurs et des groupes entre votre application et Microsoft Entra ID.
Notre tutoriel sur le sujet, Développer un point de terminaison SCIM pour l'approvisionnement des utilisateurs en applications à partir de Microsoft Entra ID, décrit comment construire un point de terminaison SCIM et l'intégrer au service d'approvisionnement Microsoft Entra.
Intégrations avancées
Les intégrations avancées augmenteront encore davantage la sécurité de votre application.
Contexte d’authentification de l’accès conditionnel
Le contexte d’authentification par accès conditionnel permet aux applications de déclencher l’application de la stratégie lorsqu’un utilisateur accède à des données sensibles ou à des actions, ce qui rend les utilisateurs plus productifs et vos ressources sensibles sécurisées.
Évaluation continue de l’accès
Évaluation continue de l'accès (CAE) permet de révoquer les jetons d'accès en fonction d'événements critiques et de l'évaluation de la politique plutôt que de s'appuyer sur l'expiration du jeton en fonction de sa durée de vie. Pour certaines API de ressources, le risque et la stratégie étant évalués en temps réel, la durée de vie des jetons peut atteindre 28 heures, ce qui rendra votre application plus résiliente et plus performante.
API Sécurité
Dans notre expérience, de nombreux fournisseurs de logiciels indépendants ont constaté que ces API seraient particulièrement utiles.
API Utilisateur et Groupe
Si votre application doit mettre à jour les utilisateurs et les groupes du locataire, vous pouvez utiliser les API d'utilisateurs et de groupes via Microsoft Graph pour écrire dans le client Microsoft Entra. Pour plus d’informations sur l’utilisation de l’API, consultez la référence de l’API REST Microsoft Graph v1.0 dans la documentation de référence pour le type de ressource utilisateur
API d’accès conditionnel
L’accès conditionnel est un élément clé de la Confiance Zéro, car il permet de s’assurer que l’utilisateur approprié a le droit d’accéder aux ressources appropriées. L’activation de l’accès conditionnel permet à Microsoft Entra ID de prendre des décisions d'accès en fonction des risques calculés et des stratégies d'accès préconfigurées.
Les éditeurs de logiciels indépendants peuvent tirer parti de l’accès conditionnel en exposant l’option permettant d’appliquer des stratégies d’accès conditionnel lorsque cela est pertinent. Par exemple, si un utilisateur est particulièrement risqué, vous pouvez suggérer au client d'activer l'accès conditionnel pour cet utilisateur à travers votre interface utilisateur, et l'activer de façon programmatique dans Microsoft Entra ID.
Pour plus d’informations, consultez l’exemple de configuration de stratégies d’accès conditionnel à l’aide de l’API Microsoft Graph sur GitHub.
API Confirmer la compromission et Utilisateur à risque
Parfois, les fournisseurs de logiciels indépendants peuvent se rendre compte de compromission qui se trouve en dehors de l’étendue de Microsoft Entra ID. Pour tout événement de sécurité, en particulier ceux qui concernent la compromission d'un compte, Microsoft et le fournisseur de logiciel indépendant peuvent collaborer en partageant les informations fournies par les deux parties. L’API Confirmer la compromission vous permet d’affecter la valeur Élevé au niveau de risque d’un utilisateur ciblé. Cela permet à Microsoft Entra ID de répondre de manière appropriée, par exemple en demandant à l'utilisateur de se réauthentifier ou en limitant son accès aux données sensibles.
Dans l'autre sens, Microsoft Entra ID évalue en permanence le risque pour l'utilisateur sur la base de divers signaux et de l'apprentissage automatique. L’API Utilisateur à risque fournit un accès programmatique à tous les utilisateurs à risque dans le client Microsoft Entra de l'application. Les fournisseurs de logiciels indépendants peuvent utiliser cette API pour s'assurer qu'ils traitent les utilisateurs en fonction de leur niveau de risque actuel. Type de ressource riskyUser.
Scénarios de produit uniques
Les aides suivantes s'adressent aux fournisseurs de logiciels indépendants qui proposent des types de solutions spécifiques.
Sécuriser les intégrations d’accès hybride : de nombreuses applications métier ont été créées pour fonctionner au sein d’un réseau d’entreprise protégé, et certaines d’entre elles utilisent des méthodes d’authentification héritées. Alors que les sociétés cherchent à mettre en place une stratégie de Confiance Zéro et à prendre en charge des environnements de travail hybrides et en nuage, elles ont besoin de solutions d’applications connectées à Microsoft Entra ID et fournissent des solutions d'authentification moderne pour les applications héritées. Servez-vous de ce guide pour créer des solutions qui fournissent une authentification cloud moderne pour les applications locales héritées.
Devenir un fournisseur de clés de sécurité FIDO2 compatibles Microsoft : ces clés peuvent remplacer les informations d’identification faibles par des informations d’identification à clé privée/publique associées au matériel et qui ne peuvent pas être réutilisées, relues ou partagées entre les services. Vous pouvez devenir fournisseur de clés de sécurité FIDO2 compatibles Microsoft en suivant le processus expliqué dans ce document.
Azure Active Directory B2C
Azure Active Directory B2C est une solution de gestion des identités et des accès clients, capable de prendre en charge des millions d’utilisateurs et des milliards d’authentifications par jour. Il s'agit d'une solution d'authentification en marque blanche qui permet aux utilisateurs de bénéficier d'expériences qui s'intègrent aux applications web et mobiles de la marque.
Comme pour Microsoft Entra ID, les partenaires peuvent s’intégrer à Azure Active Directory B2C en utilisant Microsoft Graph et des API de sécurité clés telles que les API d’accès conditionnel, de confirmation de la compromission et de recensement des utilisateurs à risque. Vous pouvez en savoir plus sur ces intégrations dans la section Microsoft Entra ID ci-dessus.
Cette section présente plusieurs autres possibilités d'intégration que les fournisseurs de logiciels indépendants peuvent prendre en charge.
Remarque
Nous vous recommandons vivement d’utiliser Azure Active Directory B2C (et les solutions qui sont intégrées à celui-ci) d’activer Identity Protection et l’accès conditionnel dans Azure Active Directory B2C.
Intégration à des points de terminaison RESTful
Les fournisseurs de logiciels indépendants peuvent intégrer leurs solutions via des points d'extrémité RESTful pour permettre l'authentification multifactorielle (MFA) et le contrôle d'accès basé sur les rôles (RBAC), permettre la vérification et la preuve d'identité, améliorer la sécurité avec la détection des robots et la protection contre la fraude, et répondre aux exigences de la directive sur les services de paiement 2 (PSD2) en matière d'authentification sécurisée des clients (SCA).
Nous avons des guides pratiques sur la façon d'utiliser nos points de terminaison RESTful ainsi que des exemples détaillés de partenaires qui se sont intégrés à l'aide des API RESTful :
- Vérification et contrôle des identités, qui permet aux clients de vérifier l’identité de leurs utilisateurs finaux
- Contrôle d’accès en fonction du rôle, qui permet un contrôle d’accès précis au niveau des utilisateurs finaux
- Accès hybride sécurisé à l’application locale, qui permet aux utilisateurs finaux d’accéder aux applications locales et héritées avec des protocoles d’authentification modernes
- Protection contre la fraude, qui permet aux clients de protéger leurs applications et les utilisateurs finaux contre les tentatives de connexion frauduleuses et les attaques par bot
Pare-feu d’application web
Web Application Firewall (WAF) Azure offre une protection centralisée des applications web contre les vulnérabilités et les attaques courantes. Azure Active Directory B2C permet aux fournisseurs de logiciels indépendants d’intégrer leur service WAF afin que tout le trafic vers des domaines personnalisés Azure Active Directory B2C (par exemple, login.contoso.com) passe toujours par le service WAF, fournissant une couche supplémentaire de sécurité.
L’implémentation d’une solution WAF nécessite de configurer des domaines personnalisés Azure Active Directory B2C. Vous pouvez lire comment procéder dans notre tutoriel sur l’activation de domaines personnalisés. Vous pouvez également voir les partenaires existants qui ont créé des solutions WAF qui s’intègrent à Azure Active Directory B2C.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour