ID の統合
ID は、最新の職場でアクセスを管理するための主要なコントロール プレーンであり、ゼロ トラストを実装するために不可欠です。 ID ソリューションは、強力な認証とアクセス ポリシー、詳細なアクセス許可とアクセスによる最小限の特権アクセス、セキュリティで保護されたリソースへのアクセスを管理し、攻撃の爆発半径を最小限に抑える制御とポリシーを通じてゼロ トラストをサポートします。
この統合ガイドでは、独立系ソフトウェア ベンダー (ISV) とテクノロジ パートナーが Azure Active Directory と統合して、お客様に安全なゼロ トラスト ソリューションを作成する方法について説明します。
ゼロ トラスト for Identity 統合ガイド
この統合ガイドでは、Azure Active Directory と Azure Active Directory B2C について説明します。
Azure Active Directory は、Microsoft のクラウドベースの ID とアクセス管理サービスです。 シングル サインオン認証、条件付きアクセス、パスワードレスおよび多要素認証、自動化されたユーザー プロビジョニング、および企業が大規模な ID プロセスを保護および自動化できるようにするその他の多くの機能が提供されます。
Azure Active Directory B2C は、顧客がセキュリティで保護されたホワイト ラベル認証ソリューションを実装するために使用する、企業間の ID アクセス管理 (CIAM) ソリューションであり、簡単にスケーリングし、ブランド化された Web およびモバイル アプリケーション エクスペリエンスとブレンドします。 統合ガイダンスは、 Azure Active Directory B2C セクションで入手できます。
Azure Active Directory
ソリューションを Azure Active Directory と統合する方法は多数あります。 基本的な統合は、Azure Active Directory の組み込みセキュリティ機能を使用して顧客を保護することです。 高度な統合により、セキュリティ機能が強化され、ソリューションがさらに一歩進みます。
基本的な統合
基本的な統合により、Azure Active Directory の組み込みセキュリティ機能で顧客が保護されます。
シングル サインオンと発行元の検証を有効にする
シングル サインオンを有効にするには、 アプリ ギャラリーでアプリを発行することをお勧めします。 これにより、お客様のアプリケーションが Azure Active Directory と互換性があることがわかっており、顧客がテナントに追加するアプリの発行元であることを確認できるように 、検証済みの発行元 になることができるため、顧客の信頼が高くなります。
アプリ ギャラリーで発行すると、IT 管理者は、自動化されたアプリ登録を使用してソリューションをテナントに簡単に統合できます。 手動登録は、アプリケーションに関するサポートの問題の一般的な原因です。 ギャラリーにアプリを追加すると、アプリに関するこれらの問題が回避されます。
モバイル アプリの場合は、Microsoft 認証ライブラリとシステム ブラウザーを使用して シングル サインオンを実装することをお勧めします。
ユーザー プロビジョニングを統合する
何千ものユーザーが所属する組織の ID とアクセスを管理することは困難です。 大規模な組織でソリューションを使用する場合は、アプリケーションと Azure Active Directory の間でユーザーとアクセスに関する情報を同期することを検討してください。 これは、変更が発生したときにユーザー アクセスの一貫性を維持するのに役立ちます。
SCIM (クロスドメイン ID 管理システム) は、ユーザー ID 情報を交換するためのオープン スタンダードです。 SCIM ユーザー管理 API を使用して、アプリケーションと Azure Active Directory の間でユーザーとグループを自動的にプロビジョニングできます。
このトピックに関するチュートリアルでは、 Azure Active Directory からアプリへのユーザー プロビジョニング用の SCIM エンドポイントを開発し、SCIM エンドポイントを構築し、Azure Active Directory プロビジョニング サービスと統合する方法について説明します。
高度な統合
高度な統合により、アプリケーションのセキュリティがさらに強化されます。
条件付きアクセス認証コンテキスト
条件付きアクセス認証コンテキスト を使用すると、ユーザーが機密データまたはアクションにアクセスしたときにアプリがポリシーの適用をトリガーし、ユーザーの生産性と機密性の高いリソースのセキュリティを維持できます。
継続的アクセス評価
継続的アクセス評価 (CAE) を使用すると、有効期間に基づいてトークンの有効期限に依存するのではなく、重要なイベントとポリシー評価に基づいてアクセス トークンを取り消すことができます。 一部のリソース API では、リスクとポリシーがリアルタイムで評価されるため、トークンの有効期間が最大 28 時間に長くなり、アプリケーションの回復性とパフォーマンスが向上します。
セキュリティ API
この経験では、多くの独立系ソフトウェア ベンダーが、これらの API が特に役立つことを発見しました。
User および Group API
アプリケーションでテナント内のユーザーとグループを更新する必要がある場合は、Microsoft Graph を通じてユーザーとグループの API を使用して、Azure Active Directory テナントに書き戻すことができます。 API の使用の詳細については、Microsoft Graph REST API v1.0 リファレンスと、ユーザー リソースの種類に関するリファレンス ドキュメントを参照してください。
条件付きアクセス API
条件付きアクセス は、適切なユーザーに適切なリソースへの適切なアクセスを確実に付与するのに役立つため、ゼロ トラストの重要な部分です。 条件付きアクセスを有効にすると、Azure Active Directory は、計算されたリスクと構成済みのポリシーに基づいてアクセスを決定できます。
独立系ソフトウェア ベンダーは、関連する場合に条件付きアクセス ポリシーを適用するオプションを表示することで、条件付きアクセスを利用できます。 たとえば、特に危険なユーザーの場合、顧客がそのユーザーの条件付きアクセスを UI を通じて有効にしてから、Azure Active Directory でプログラムを使って有効にするように提案することができます。
詳細については、Microsoft Graph API を使用した条件付きアクセス ポリシーの構成に関する GitHub 上のサンプルをご確認ください。
Confirm Compromise および Risky User API
独立系ソフトウェア ベンダーが、Azure Active Directory の範囲外にある侵害に気付く場合があります。 セキュリティ イベント (特にアカウントの侵害を含む) の場合、Microsoft と独立系ソフトウェア ベンダーは、両者から情報を共有することで共同作業を行うことができます。 Confirm Compromise API を使用すると、対象のユーザーのリスク レベルを高に設定できます。 これにより、Azure Active Directory によって、ユーザーに再認証を求めたり、機密データへのアクセスを制限したりして、適切に対処することができます。
他の方向に進む Azure Active Directory では、さまざまなシグナルと機械学習に基づいてユーザー リスクが継続的に評価されます。 Risky User API は、アプリの Azure Active Directory テナント内のすべての危険なユーザーにプログラムによるアクセスを許可します。 独立系ソフトウェア ベンダーは、この API を使用して、ユーザーが現在のレベルのリスクに適切に対応していることを確認できます。 riskyUser リソースの種類.
固有の製品シナリオ
次のガイダンスは、特定の種類のソリューションを提供する独立系ソフトウェア ベンダー向けです。
セキュア ハイブリッド アクセス統合 多くのビジネス アプリケーションは、保護されている企業ネットワークの内部で動作するように作成されており、一部のアプリケーションでは従来の認証方法が使用されています。 多くの企業はゼロ トラスト戦略の構築と、ハイブリッドおよびクラウドファーストの仕事環境のサポートを検討しているため、アプリを Azure Active Directory に接続して、レガシ アプリケーションに最新の認証ソリューションを提供するソリューションを必要としています。 このガイドを使用して、従来のオンプレミス アプリケーションに最新のクラウド認証を提供するソリューションを作成します。
Microsoft と互換性のある FIDO2 セキュリティ キー ベンダーになる: FIDO2 セキュリティ キーにより、脆弱な資格情報が、サービス間で再利用、再生、共有できない、強力なハードウェアを基盤にした公開または秘密キー資格情報に置き換えられます。 Microsoft と互換性のある FIDO2 セキュリティ キー ベンダーになるには、このドキュメントのプロセスに従います。
Azure Active Directory B2C
Azure Active Directory B2C は、1 日に何百万人ものユーザーと数十億の認証をサポートできる顧客 ID とアクセス管理 (CIAM) ソリューションです。 これは、ブランド化された Web アプリケーションとモバイル アプリケーションを組み合わせたユーザー エクスペリエンスを可能にするホワイト ラベル認証ソリューションです。
Azure Active Directory と同様に、パートナーは 、Microsoft Graph と、条件付きアクセス、侵害の確認、危険なユーザー API などの主要なセキュリティ API を使用して、Azure Active Directory B2C と統合できます。 これらの統合の詳細については、上記の Azure AD セクションを参照してください。
このセクションには、独立系ソフトウェア ベンダー パートナーがサポートできるその他のいくつかの統合機会が含まれています。
注意
Azure Active Directory B2C (およびそれに統合されているソリューション) を使用しているお客様は、 Azure Active Directory B2C で Identity Protection と条件付きアクセスをアクティブ化することを強くお勧めします。
RESTful エンドポイントとの統合
独立系ソフトウェア ベンダーは、RESTful エンドポイントを介してソリューションを統合して、多要素認証 (MFA) とロールベースのアクセス制御 (RBAC) を有効にし、ID の検証と証明を有効にし、ボットの検出と不正行為の保護によるセキュリティを向上させ、Payment Services ディレクティブ 2 (PSD2) Secure Customer Authentication (SCA) 要件を満たすことができます。
RESTful エンドポイントの使用方法に関するガイダンスと、RESTful API を使用して統合されたパートナーの詳細なサンプル チュートリアルがあります。
- 顧客がエンド ユーザーの ID を確認できるようにする ID の検証と証明
- ロールベースのアクセス制御。エンド ユーザーに対するきめ細かいアクセス制御が可能
- オンプレミス アプリケーションへのハイブリッド アクセスをセキュリティで保護します。これにより、エンド ユーザーは最新の認証プロトコルを使用してオンプレミスおよびレガシ アプリケーションにアクセスできます。
- 不正なログイン試行やボット攻撃からアプリケーションとエンド ユーザーを保護できる不正な保護
Web アプリケーション ファイアウォール
Web アプリケーション ファイアウォール (WAF) は、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 Azure Active Directory B2C を使用すると、独立系ソフトウェア ベンダーは、Azure Active Directory B2C カスタム ドメイン (login.contoso.com など) へのすべてのトラフィックが常に WAF サービスを通過するように WAF サービスを統合できるため、セキュリティの層が強化されます。
WAF ソリューションを実装するには、Azure Active Directory B2C カスタム ドメインを構成する必要があります。 これを行う方法については、 カスタム ドメインの有効化に関するチュートリアルを参照してください。 また、Azure Active Directory B2C と統合する WAF ソリューションを作成した既存のパートナーを確認することもできます。