Integrazioni delle identità

  • Articolo

L'identità è il piano di controllo chiave per la gestione dell'accesso nell'area di lavoro moderna ed è essenziale per implementare Zero Trust. Le soluzioni di identità supportano Zero Trust tramite criteri di autenticazione e accesso avanzati, accesso con privilegi minimi con autorizzazioni e accesso granulari e controlli e criteri che gestiscono l'accesso alle risorse sicure e riducono al minimo il raggio di attacco.

Questa guida all'integrazione spiega in che modo i fornitori di software indipendenti (ISV) e i partner tecnologici possono integrarsi con Microsoft Entra ID per creare soluzioni Zero Trust sicure per i clienti.

Guida all'integrazione di Zero Trust for Identity

Questa guida all'integrazione illustra Microsoft Entra ID e Azure Active Directory B2C.

Microsoft Entra ID è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Fornisce l'autenticazione Single Sign-On, l'accesso condizionale, l'autenticazione senza password e a più fattori, il provisioning utenti automatizzato e molte altre funzionalità che consentono alle aziende di proteggere e automatizzare i processi di identità su larga scala.

Azure Active Directory B2C è una soluzione CIAM (Business-to-Customer Identity Access Management) che i clienti usano per implementare soluzioni di autenticazione con etichette bianche sicure che si adattano facilmente e si fondono con esperienze di applicazioni Web e per dispositivi mobili personalizzate. Le linee guida per l'integrazione sono disponibili nella sezione Azure Active Directory B2C .

Microsoft Entra ID

Esistono molti modi per integrare la soluzione con Microsoft Entra ID. Le integrazioni fondamentali riguardano la protezione dei clienti usando le funzionalità di sicurezza predefinite di Microsoft Entra ID. Grazie alle funzionalità di sicurezza migliorate delle integrazioni avanzate la soluzione farà un ulteriore passo avanti.

Percorso curvo che mostra le integrazioni fondamentali e avanzate. Le integrazioni di base includono l'accesso Single Sign-On e la verifica dell'editore. Le integrazioni avanzate includono il contesto di autenticazione dell'accesso condizionale, la valutazione dell'accesso continuo e le integrazioni avanzate dell'API di sicurezza.

Integrazioni fondamentali

Le integrazioni di base proteggono i clienti con le funzionalità di sicurezza predefinite di Microsoft Entra ID.

Abilitare l'accesso Single Sign-On e la verifica dell'editore

Per abilitare l'accesso Single Sign-On, è consigliabile pubblicare l'app nella raccolta di app. Ciò aumenterà la fiducia dei clienti, perché sanno che l'applicazione è stata convalidata come compatibile con Microsoft Entra ID e si può diventare un editore verificato in modo che i clienti siano certi di essere l'editore dell'app che stanno aggiungendo al tenant.

La pubblicazione nella raccolta di app consentirà agli amministratori IT di integrare la soluzione nel tenant con la registrazione automatica delle app. Le registrazioni manuali sono una causa comune di problemi di supporto alle applicazioni. Aggiungendo l'app alla raccolta, sarà possibile evitare questo genere di problemi.

Per le app per dispositivi mobili, è consigliabile usare Microsoft Authentication Library e un browser di sistema per implementare l'accesso Single Sign-On.

Integrare il provisioning degli utenti

La gestione delle identità e dell'accesso per le organizzazioni con migliaia di utenti è complessa. Se la soluzione verrà usata da organizzazioni di grandi dimensioni, è consigliabile sincronizzare le informazioni sugli utenti e l'accesso tra l'applicazione e l'ID Microsoft Entra. Questo assicura la coerenza dell'accesso degli utenti in caso di modifiche.

SCIM (System for Cross-domain Identity Management) è uno standard aperto per lo scambio di informazioni sull'identità degli utenti. È possibile usare l'API di gestione utenti SCIM per effettuare automaticamente il provisioning di utenti e gruppi tra l'applicazione e l'ID Microsoft Entra.

L'esercitazione sull'argomento sviluppare un endpoint SCIM per il provisioning utenti nelle app da Microsoft Entra ID, descrive come creare un endpoint SCIM e integrarlo con il servizio di provisioning Di Microsoft Entra.

Integrazioni avanzate

Le integrazioni avanzate aumentano ulteriormente la sicurezza dell'applicazione.

Contesto di autenticazione dell'accesso condizionale

Il contesto di autenticazione dell'accesso condizionale consente alle app di attivare l'imposizione dei criteri quando un utente accede a dati o azioni sensibili, mantenendo gli utenti più produttivi e le risorse sensibili.

Valutazione continua dell'accesso

La valutazione dell'accesso continuo (CAE) consente di revocare i token di accesso in base a eventi critici e valutazione dei criteri anziché basarsi sulla scadenza del token in base alla durata. Per alcune API delle risorse, poiché i rischi e i criteri vengono valutati in tempo reale, questo può aumentare la durata dei token fino a 28 ore, in modo da rendere l'applicazione più resiliente e efficiente.

API di sicurezza

Nella nostra esperienza, molti fornitori di software indipendenti hanno trovato queste API particolarmente utili.

API utente e gruppo

Se l'applicazione deve apportare aggiornamenti agli utenti e ai gruppi nel tenant, è possibile usare le API utente e gruppo tramite Microsoft Graph per eseguire il writeback nel tenant di Microsoft Entra. Per altre informazioni sull'uso dell'API, vedere le informazioni di riferimento sull'API REST di Microsoft Graph v1.0 e la documentazione di riferimento per il tipo di risorsa utente

API di accesso condizionale

L'accesso condizionale è una parte fondamentale di Zero Trust poiché consente di garantire che l'utente corretto abbia il diritto di accedere alle risorse corrette. L'abilitazione dell'accesso condizionale consente a Microsoft Entra ID di prendere decisioni di accesso in base ai rischi calcolati e ai criteri preconfigurati.

I fornitori di software indipendenti possono utilizzare l'accesso condizionale sfruttando l'opzione per applicare i criteri di accesso condizionale quando pertinenti. Ad esempio, se un utente è particolarmente rischioso, è possibile suggerire al cliente di abilitare l'accesso condizionale per tale utente tramite l'interfaccia utente e abilitarlo a livello di codice in Microsoft Entra ID.

Diagramma che mostra un utente che usa un'applicazione, che chiama quindi Microsoft Entra ID per impostare le condizioni per i criteri di accesso condizionale in base all'attività dell'utente.

Per altre informazioni, vedere configurare i criteri di accesso condizionale usando l'esempio dell'API Microsoft Graph in GitHub.

Confermare la compromissione e le API utente rischiose

A volte i fornitori di software indipendenti possono diventare consapevoli della compromissione che non rientra nell'ambito dell'ID Microsoft Entra. Per qualsiasi evento di sicurezza, in particolare quelli che includono la compromissione dell'account, Microsoft e il fornitore di software indipendente possono collaborare condividendo le informazioni da entrambe le parti. L'API di conferma compromissione consente di impostare il livello di rischio di un utente di destinazione su alto. Ciò consente a Microsoft Entra ID di rispondere in modo appropriato, ad esempio richiedendo all'utente di ripetere l'autenticazione o limitando l'accesso ai dati sensibili.

Diagramma che mostra un utente che usa un'applicazione, che chiama quindi Microsoft Entra ID per impostare il livello di rischio utente su alto.

Andando in altra direzione, Microsoft Entra ID valuta continuamente il rischio utente in base a vari segnali e machine learning. L'API Utente rischioso fornisce l'accesso a livello di codice a tutti gli utenti a rischio nel tenant Microsoft Entra dell'app. I fornitori di software indipendenti possono usare questa API per garantire che gestiscano gli utenti in modo appropriato al livello di rischio corrente. tipo di risorsa riskyUser.

Diagramma che mostra un utente che usa un'applicazione, che chiama quindi Microsoft Entra ID per recuperare il livello di rischio dell'utente.

Scenari di prodotto univoci

Le indicazioni seguenti sono destinate ai fornitori di software indipendenti che offrono tipi specifici di soluzioni.

Integrazioni sicure dell'accesso ibrido Molte applicazioni aziendali sono state create per funzionare all'interno di una rete aziendale protetta e alcune di queste applicazioni usano metodi di autenticazione legacy. Poiché le aziende cercano di creare una strategia Zero Trust e supportare ambienti aziendali ibridi e cloud-first, hanno bisogno di soluzioni che connettono le app all'ID Microsoft Entra e forniscono soluzioni di autenticazione moderne per le applicazioni legacy. Usare questa guida per creare soluzioni che forniscono l'autenticazione cloud moderna per le applicazioni locali legacy.

Diventa un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft le chiavi di sicurezza FIDO2 può sostituire le credenziali deboli con credenziali chiave pubblica/privata con supporto hardware sicuro che non possono essere riutilizzate, riprodotte o condivise tra i servizi. È possibile diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft seguendo la procedura descritta in questo documento.

Azure Active Directory B2C

Azure Active Directory B2C è una soluzione di gestione delle identità e degli accessi degli utenti in grado di supportare milioni di utenti e miliardi di autenticazioni al giorno. Si tratta di una soluzione di autenticazione con etichetta bianca che consente esperienze utente che si fondono con applicazioni Web e per dispositivi mobili personalizzate.

Come con Microsoft Entra ID, i partner possono integrarsi con Azure Active Directory B2C usando Microsoft Graph e le API di sicurezza chiave, ad esempio l'accesso condizionale, confermare la compromissione e le API utente rischiose. Per altre informazioni su tali integrazioni, vedere la sezione id di Microsoft Entra in precedenza.

Questa sezione include diverse altre opportunità di integrazione che i partner fornitori di software indipendenti possono supportare.

Nota

È consigliabile che i clienti usino Azure Active Directory B2C (e le soluzioni integrate) attivino Identity Protection e l'accesso condizionale in Azure Active Directory B2C.

Eseguire l'integrazione con gli endpoint RESTful

I fornitori di software indipendenti possono integrare le proprie soluzioni tramite endpoint RESTful per abilitare l'autenticazione a più fattori (MFA) e il controllo degli accessi in base al ruolo (RBAC), abilitare la verifica e la correzione delle identità, migliorare la sicurezza con il rilevamento dei bot e la protezione delle frodi e soddisfare i requisiti di Autenticazione del cliente sicura (PSD2) di Payment Services 2 (PSD2).

Sono disponibili indicazioni su come usare gli endpoint RESTful e procedure dettagliate di esempio dei partner che hanno integrato usando le API RESTful:

Web application firewall

Web Application Firewall (WAF) offre una protezione centralizzata per le applicazioni Web da exploit e vulnerabilità comuni. Azure Active Directory B2C consente ai fornitori di software indipendenti di integrare il servizio WAF in modo che tutto il traffico verso domini personalizzati di Azure Active Directory B2C (ad esempio, login.contoso.com) passino sempre attraverso il servizio WAF, fornendo un ulteriore livello di sicurezza.

L'implementazione di una soluzione WAF richiede la configurazione di domini personalizzati di Azure Active Directory B2C. Per informazioni su come eseguire questa operazione, vedere l'esercitazione sull'abilitazione di domini personalizzati. È anche possibile visualizzare i partner esistenti che hanno creato soluzioni WAF che si integrano con Azure Active Directory B2C.

Passaggi successivi