Integrasi identitas
Identitas adalah sarana kontrol utama untuk mengelola akses di tempat kerja modern dan sangat penting untuk menerapkan Zero Trust. Solusi identitas mendukung Zero Trust melalui kebijakan autentikasi dan akses yang kuat, akses paling tidak istimewa dengan izin dan akses terperinci, serta kontrol dan kebijakan yang mengelola akses ke sumber daya yang aman dan meminimalkan radius ledakan serangan.
Panduan integrasi ini menjelaskan bagaimana vendor perangkat lunak independen (ISV) dan mitra teknologi dapat berintegrasi dengan ID Microsoft Entra untuk membuat solusi Zero Trust yang aman bagi pelanggan.
Panduan integrasi Zero Trust for Identity
Panduan integrasi ini mencakup ID Microsoft Entra serta Azure Active Directory B2C.
ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud Microsoft. Ini menyediakan autentikasi akses menyeluruh, akses bersyarat, autentikasi tanpa kata sandi dan multifaktor, provisi pengguna otomatis, dan banyak lagi fitur yang memungkinkan perusahaan untuk melindungi dan mengotomatiskan proses identitas dalam skala besar.
Azure Active Directory B2C adalah solusi manajemen akses identitas bisnis ke pelanggan (CIAM) yang digunakan pelanggan untuk menerapkan solusi autentikasi label putih aman yang menskalakan dengan mudah dan menyatu dengan pengalaman aplikasi web dan seluler bermerek. Panduan integrasi tersedia di bagian Azure Active Directory B2C .
Microsoft Entra ID
Ada banyak cara untuk mengintegrasikan solusi Anda dengan MICROSOFT Entra ID. Integrasi dasar adalah tentang melindungi pelanggan Anda menggunakan kemampuan keamanan bawaan MICROSOFT Entra ID. Integrasi tingkat lanjut akan membawa solusi Anda selangkah lebih jauh dengan kemampuan keamanan yang ditingkatkan.
Integrasi dasar
Integrasi dasar melindungi pelanggan Anda dengan kemampuan keamanan bawaan MICROSOFT Entra ID.
Mengaktifkan verifikasi akses menyeluruh dan penerbit
Untuk mengaktifkan akses menyeluruh, sebaiknya publikasikan aplikasi Anda di galeri aplikasi. Ini akan meningkatkan kepercayaan pelanggan, karena mereka tahu bahwa aplikasi Anda telah divalidasi kompatibel dengan ID Microsoft Entra, dan Anda dapat menjadi penerbit terverifikasi sehingga pelanggan yakin Bahwa Anda adalah penerbit aplikasi yang mereka tambahkan ke penyewa mereka.
Penerbitan di galeri aplikasi akan memudahkan admin TI untuk mengintegrasikan solusi ke penyewa mereka dengan pendaftaran aplikasi otomatis. Pendaftaran manual adalah penyebab umum masalah dukungan dengan aplikasi. Menambahkan aplikasi Anda ke galeri akan menghindari masalah ini dengan aplikasi Anda.
Untuk aplikasi seluler, kami sarankan Anda menggunakan Microsoft Authentication Library dan browser sistem untuk menerapkan akses menyeluruh.
Mengintegrasikan provisi pengguna
Mengelola identitas dan akses untuk organisasi dengan ribuan pengguna sangat menantang. Jika solusi Anda akan digunakan oleh organisasi besar, pertimbangkan untuk menyinkronkan informasi tentang pengguna dan akses antara aplikasi Anda dan ID Microsoft Entra. Ini membantu menjaga akses pengguna tetap konsisten saat perubahan terjadi.
SCIM (System for Cross-Domain Identity Management) adalah standar terbuka untuk bertukar informasi identitas pengguna. Anda dapat menggunakan API manajemen pengguna SCIM untuk memprovisikan pengguna dan grup secara otomatis antara aplikasi Anda dan ID Microsoft Entra.
Tutorial kami tentang subjek, mengembangkan titik akhir SCIM untuk provisi pengguna ke aplikasi dari ID Microsoft Entra, menjelaskan cara membangun titik akhir SCIM dan berintegrasi dengan layanan provisi Microsoft Entra.
Integrasi tingkat lanjut
Integrasi tingkat lanjut akan meningkatkan keamanan aplikasi Anda lebih jauh.
Konteksi autentikasi akses bersyarat
Konteks autentikasi Akses Bersyarkat memungkinkan aplikasi untuk memicu penegakan kebijakan saat pengguna mengakses data atau tindakan sensitif, menjaga pengguna lebih produktif dan sumber daya sensitif Anda tetap aman.
Evaluasi akses berkelanjutan
Evaluasi akses berkelanjutan (CAE) memungkinkan token akses dicabut berdasarkan peristiwa penting dan evaluasi kebijakan daripada mengandalkan kedaluwarsa token berdasarkan masa pakai. Untuk beberapa API sumber daya, karena risiko dan kebijakan dievaluasi secara real time, ini dapat meningkatkan masa pakai token hingga 28 jam, yang akan membuat aplikasi Anda lebih tangguh dan berkinerja.
API Keamanan
Dalam pengalaman kami, banyak vendor perangkat lunak independen telah menemukan API ini sangat berguna.
API pengguna dan grup
Jika aplikasi Anda perlu membuat pembaruan untuk pengguna dan grup di penyewa, Anda dapat menggunakan API pengguna dan grup melalui Microsoft Graph untuk menulis kembali ke penyewa Microsoft Entra. Anda dapat membaca selengkapnya tentang menggunakan API dalam referensi Microsoft Graph REST API v1.0 dan dokumentasi referensi untuk jenis sumber daya pengguna
API Akses Bersyarat
Akses bersyarat adalah bagian penting dari Zero Trust karena membantu memastikan pengguna yang tepat memiliki akses yang tepat ke sumber daya yang tepat. Mengaktifkan Akses Bersyarat memungkinkan MICROSOFT Entra ID membuat keputusan akses berdasarkan risiko komputasi dan kebijakan yang telah dikonfigurasi sebelumnya.
Vendor perangkat lunak independen dapat memanfaatkan akses bersyarat dengan memunculkan opsi untuk menerapkan kebijakan akses bersyarat jika relevan. Misalnya, jika pengguna sangat berisiko, Anda dapat menyarankan pelanggan mengaktifkan Akses Bersyarat untuk pengguna tersebut melalui UI Anda, dan mengaktifkannya secara terprogram di ID Microsoft Entra.
Untuk informasi selengkapnya, lihat mengonfigurasi kebijakan akses bersyarah menggunakan sampel Microsoft Graph API di GitHub.
Mengonfirmasi kompromi dan API pengguna berisiko
Terkadang vendor perangkat lunak independen mungkin menyadari kompromi yang berada di luar cakupan ID Microsoft Entra. Untuk setiap peristiwa keamanan, terutama yang termasuk penyusupan akun, Microsoft dan vendor perangkat lunak independen dapat berkolaborasi dengan berbagi informasi dari kedua belah pihak. API konfirmasi kompromi memungkinkan Anda menetapkan tingkat risiko pengguna yang ditargetkan ke tinggi. Ini memungkinkan MICROSOFT Entra ID merespons dengan tepat, misalnya dengan mengharuskan pengguna untuk mengautentikasi ulang atau dengan membatasi akses mereka ke data sensitif.
Ke arah lain, MICROSOFT Entra ID terus mengevaluasi risiko pengguna berdasarkan berbagai sinyal dan pembelajaran mesin. RISKY User API menyediakan akses terprogram ke semua pengguna berisiko di penyewa Microsoft Entra aplikasi. Vendor perangkat lunak independen dapat menggunakan API ini untuk memastikan mereka menangani pengguna dengan tepat ke tingkat risiko mereka saat ini. jenis sumber daya riskyUser.
Skenario produk unik
Panduan berikut adalah untuk vendor perangkat lunak independen yang menawarkan jenis solusi tertentu.
Integrasi akses hibrid yang aman Banyak aplikasi bisnis dibuat untuk bekerja di dalam jaringan perusahaan yang dilindungi, dan beberapa aplikasi ini menggunakan metode autentikasi warisan. Saat perusahaan ingin membangun strategi Zero Trust dan mendukung lingkungan kerja hibrid dan cloud-first, mereka memerlukan solusi yang menghubungkan aplikasi ke ID Microsoft Entra dan menyediakan solusi autentikasi modern untuk aplikasi warisan. Gunakan panduan ini untuk membuat solusi yang menyediakan autentikasi cloud modern untuk aplikasi lokal warisan.
Menjadi kunci keamanan FIDO2 vendor keamanan FIDO2 yang kompatibel dengan Microsoft, kunci keamanan FIDO2 dapat menggantikan kredensial lemah dengan kredensial kunci publik/privat yang didukung perangkat keras yang tidak dapat digunakan kembali, diputar ulang, atau dibagikan di seluruh layanan. Anda dapat menjadi vendor kunci keamanan FIDO2 yang kompatibel dengan Microsoft dengan mengikuti proses dalam dokumen ini.
Azure Active Directory B2C
Azure Active Directory B2C adalah solusi manajemen akses identitas pelanggan (CIAM) yang mampu mendukung jutaan pengguna dan miliaran autentikasi per hari. Ini adalah solusi autentikasi label putih yang memungkinkan pengalaman pengguna yang menyatu dengan aplikasi web dan seluler bermerk.
Seperti halnya MICROSOFT Entra ID, mitra dapat berintegrasi dengan Azure Active Directory B2C dengan menggunakan Microsoft Graph dan API keamanan utama seperti Akses Bersyarah, mengonfirmasi penyusupan, dan API pengguna berisiko. Anda dapat membaca selengkapnya tentang integrasi tersebut di bagian ID Microsoft Entra di atas.
Bagian ini mencakup beberapa peluang integrasi lainnya yang dapat didukung oleh mitra vendor perangkat lunak independen.
Catatan
Kami sangat menyarankan pelanggan yang menggunakan Azure Active Directory B2C (dan solusi yang terintegrasi dengannya) mengaktifkan Perlindungan Identitas dan Akses Bersyar di Azure Active Directory B2C.
Integrasikan dengan titik akhir RESTful
Vendor perangkat lunak independen dapat mengintegrasikan solusi mereka melalui titik akhir RESTful untuk mengaktifkan autentikasi multifaktor (MFA) dan kontrol akses berbasis peran (RBAC), mengaktifkan verifikasi dan pemeriksaan identitas, meningkatkan keamanan dengan deteksi bot dan perlindungan penipuan, dan memenuhi persyaratan Autentikasi Pelanggan Aman (SCA) Payment Services Directive 2 (PSD2).
Kami memiliki panduan tentang cara menggunakan titik akhir RESTful kami serta panduan sampel terperinci dari mitra yang telah terintegrasi menggunakan API RESTful:
- Verifikasi dan pemeriksaan identitas, yang memungkinkan pelanggan untuk memverifikasi identitas pengguna akhir mereka
- Kontrol akses berbasis peran, yang memungkinkan kontrol akses terperinci kepada pengguna akhir
- Mengamankan akses hibrid ke aplikasi lokal, yang memungkinkan pengguna akhir mengakses aplikasi lokal dan warisan dengan protokol autentikasi modern
- Perlindungan penipuan, yang memungkinkan pelanggan untuk melindungi aplikasi mereka dan pengguna akhir dari upaya masuk penipuan dan serangan bot
Firewall aplikasi web
Web Application Firewall (WAF) memberikan perlindungan terpusat untuk aplikasi web dari eksploitasi dan kerentanan umum. Azure Active Directory B2C memungkinkan vendor perangkat lunak independen untuk mengintegrasikan layanan WAF mereka sehingga semua lalu lintas ke domain kustom Azure Active Directory B2C (misalnya, login.contoso.com) selalu melewati layanan WAF, memberikan lapisan keamanan tambahan.
Menerapkan solusi WAF mengharuskan Anda mengonfigurasi domain kustom Azure Active Directory B2C. Anda dapat membaca cara melakukan ini dalam tutorial kami tentang mengaktifkan domain kustom. Anda juga dapat melihat mitra yang sudah ada yang telah membuat solusi WAF yang terintegrasi dengan Azure Active Directory B2C.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk