Integracje tożsamości

  • Artykuł

Tożsamość to kluczowa płaszczyzna sterowania do zarządzania dostępem w nowoczesnym miejscu pracy i jest niezbędna do zaimplementowania modelu Zero Trust. Rozwiązania do obsługi tożsamości Zero Trust za pośrednictwem zasad silnego uwierzytelniania i dostępu, najmniej uprzywilejowanego dostępu ze szczegółowymi uprawnieniami i dostępem oraz kontroli i zasad, które zarządzają dostępem do bezpiecznych zasobów i minimalizują promień ataków.

W tym przewodniku integracji wyjaśniono, jak niezależni dostawcy oprogramowania (ISV) i partnerzy technologiczni mogą zintegrować się z identyfikatorem Entra firmy Microsoft w celu utworzenia bezpiecznych rozwiązań Zero Trust dla klientów.

Przewodnik integracji z usługą Zero Trust for Identity

Ten przewodnik integracji obejmuje identyfikator Entra firmy Microsoft oraz usługę Azure Active Directory B2C.

Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Zapewnia uwierzytelnianie jednokrotne, dostęp warunkowy, uwierzytelnianie bez hasła i uwierzytelnianie wieloskładnikowe, automatyczne aprowizowanie użytkowników i wiele innych funkcji, które umożliwiają przedsiębiorstwom ochronę i automatyzowanie procesów tożsamości na dużą skalę.

Usługa Azure Active Directory B2C to rozwiązanie do zarządzania dostępem do tożsamości firmowych (CIAM, business-to-customer identity access management), które jest używane przez klientów do implementowania bezpiecznych rozwiązań uwierzytelniania z etykietami białymi, które można łatwo skalować i łączyć z markowymi środowiskami aplikacji internetowych i mobilnych. Wskazówki dotyczące integracji są dostępne w sekcji Azure Active Directory B2C .

Microsoft Entra ID

Istnieje wiele sposobów integrowania rozwiązania z identyfikatorem Entra firmy Microsoft. Podstawowe integracje dotyczą ochrony klientów przy użyciu wbudowanych funkcji zabezpieczeń identyfikatora Entra firmy Microsoft. Zaawansowane integracje będą jeszcze bardziej bardziej zaawansowane dzięki ulepszonym funkcjom zabezpieczeń.

Ścieżka zakrzywiona przedstawiająca podstawowe i zaawansowane integracje. Podstawowe integracje obejmują logowanie jednokrotne i weryfikację wydawcy. Zaawansowane integracje obejmują kontekst uwierzytelniania dostępu warunkowego, ciągłą ocenę dostępu i zaawansowane integracje interfejsu API zabezpieczeń.

Podstawowe integracje

Podstawowe integracje chronią klientów za pomocą wbudowanych funkcji zabezpieczeń identyfikatora Entra firmy Microsoft.

Włączanie logowania jednokrotnego i weryfikacji wydawcy

Aby włączyć logowanie jednokrotne, zalecamy opublikowanie aplikacji w galerii aplikacji. Zwiększy to zaufanie klientów, ponieważ wiedzą, że Aplikacja została zweryfikowana jako zgodna z identyfikatorem Entra firmy Microsoft i możesz zostać zweryfikowanym wydawcą, aby klienci byli pewni, że jesteś wydawcą aplikacji dodawanej do dzierżawy.

Publikowanie w galerii aplikacji ułatwi administratorom IT zintegrowanie rozwiązania z dzierżawą z automatyczną rejestracją aplikacji. Rejestracje ręczne są częstą przyczyną problemów z obsługą aplikacji. Dodanie aplikacji do galerii pozwoli uniknąć tych problemów z aplikacją.

W przypadku aplikacji mobilnych zalecamy użycie biblioteki Microsoft Authentication Library i przeglądarki systemowej w celu zaimplementowania logowania jednokrotnego.

Integrowanie aprowizacji użytkowników

Zarządzanie tożsamościami i dostępem dla organizacji z tysiącami użytkowników jest trudne. Jeśli Twoje rozwiązanie będzie używane przez duże organizacje, rozważ synchronizowanie informacji o użytkownikach i dostępie między aplikacją a identyfikatorem Entra firmy Microsoft. Pomaga to zapewnić spójny dostęp użytkowników w przypadku wystąpienia zmian.

SCIM (system zarządzania tożsamościami między domenami) to otwarty standard wymiany informacji o tożsamości użytkownika. Za pomocą interfejsu API zarządzania użytkownikami SCIM możesz automatycznie aprowizować użytkowników i grupy między aplikacją a identyfikatorem Entra firmy Microsoft.

W naszym samouczku dotyczącym tego tematu omówiono tworzenie punktu końcowego SCIM na potrzeby aprowizacji użytkowników z poziomu identyfikatora Entra firmy Microsoft, opisano sposób tworzenia punktu końcowego SCIM i integracji z usługą aprowizacji firmy Microsoft.

Zaawansowane integracje

Zaawansowane integracje jeszcze bardziej zwiększają bezpieczeństwo aplikacji.

Kontekst uwierzytelniania dostępu warunkowego

Kontekst uwierzytelniania dostępu warunkowego umożliwia aplikacjom wyzwalanie wymuszania zasad, gdy użytkownik uzyskuje dostęp do poufnych danych lub akcji, zapewniając użytkownikom większą produktywność i bezpieczeństwo poufnych zasobów.

Ciągła weryfikacja dostępu

Ciągła ocena dostępu (CAE) umożliwia odwoływanie tokenów dostępu na podstawie zdarzeń krytycznych i oceny zasad, a nie polegania na wygaśnięciu tokenu na podstawie okresu istnienia. W przypadku niektórych interfejsów API zasobów, ponieważ ryzyko i zasady są oceniane w czasie rzeczywistym, może to zwiększyć okres istnienia tokenu do 28 godzin, co sprawi, że aplikacja będzie bardziej odporna i wydajna.

interfejs API Zabezpieczenia

W naszym doświadczeniu wielu niezależnych dostawców oprogramowania uznało, że te interfejsy API są szczególnie przydatne.

Interfejsy API użytkowników i grup

Jeśli aplikacja musi wprowadzać aktualizacje dla użytkowników i grup w dzierżawie, możesz użyć interfejsów API użytkowników i grup za pośrednictwem programu Microsoft Graph, aby zapisać z powrotem do dzierżawy firmy Microsoft Entra. Więcej informacji na temat używania interfejsu API można uzyskać w dokumentacji interfejsu API REST programu Microsoft Graph w wersji 1.0 oraz dokumentacji referencyjnej dla typu zasobu użytkownika

Interfejs API dostępu warunkowego

Dostęp warunkowy jest kluczową częścią programu Zero Trust, ponieważ pomaga zagwarantować, że właściwy użytkownik ma odpowiedni dostęp do odpowiednich zasobów. Włączenie dostępu warunkowego umożliwia usłudze Microsoft Entra ID podejmowanie decyzji o dostępie na podstawie obliczonego ryzyka i wstępnie skonfigurowanych zasad.

Niezależni dostawcy oprogramowania mogą korzystać z dostępu warunkowego, wyświetlając opcję stosowania zasad dostępu warunkowego w razie potrzeby. Jeśli na przykład użytkownik jest szczególnie ryzykowny, możesz zasugerować klientowi włączenie dostępu warunkowego dla tego użytkownika za pośrednictwem interfejsu użytkownika i programowo włączyć go w identyfikatorze Entra firmy Microsoft.

Diagram przedstawiający użytkownika korzystającego z aplikacji, która następnie wywołuje identyfikator Entra firmy Microsoft, aby ustawić warunki dla zasad dostępu warunkowego na podstawie aktywności użytkownika.

Aby uzyskać więcej informacji, zapoznaj się z przykładowym konfigurowaniem zasad dostępu warunkowego przy użyciu przykładu interfejsu API programu Microsoft Graph w usłudze GitHub.

Potwierdzanie naruszenia zabezpieczeń i ryzykownych interfejsów API użytkowników

Czasami niezależni dostawcy oprogramowania mogą wiedzieć o naruszeniu, który znajduje się poza zakresem identyfikatora Entra firmy Microsoft. W przypadku wszelkich zdarzeń zabezpieczeń, zwłaszcza takich jak naruszenie zabezpieczeń konta, firma Microsoft i niezależny dostawca oprogramowania mogą współpracować, udostępniając informacje od obu stron. Interfejs API potwierdzania naruszenia zabezpieczeń umożliwia ustawienie docelowego poziomu ryzyka użytkownika na wysoki. Dzięki temu firma Microsoft Entra ID odpowiednio odpowiada, na przykład wymagając od użytkownika ponownego uwierzytelnienia lub ograniczenia dostępu do poufnych danych.

Diagram przedstawiający użytkownika korzystającego z aplikacji, która następnie wywołuje identyfikator Firmy Microsoft Entra, aby ustawić poziom ryzyka użytkownika na wysoki.

W innym kierunku firma Microsoft Entra ID stale ocenia ryzyko użytkowników na podstawie różnych sygnałów i uczenia maszynowego. Interfejs API ryzykownych użytkowników zapewnia dostęp programowy do wszystkich zagrożonych użytkowników w dzierżawie firmy Microsoft Entra aplikacji. Niezależni dostawcy oprogramowania mogą korzystać z tego interfejsu API, aby zapewnić odpowiednią obsługę użytkowników na bieżącym poziomie ryzyka. typ zasobu riskyUser.

Diagram przedstawiający użytkownika korzystającego z aplikacji, która następnie wywołuje identyfikator Entra firmy Microsoft w celu pobrania poziomu ryzyka użytkownika.

Unikatowe scenariusze produktów

Poniższe wskazówki dotyczą niezależnych dostawców oprogramowania, którzy oferują określone rodzaje rozwiązań.

Bezpieczne integracje dostępu hybrydowego Wiele aplikacji biznesowych zostało utworzonych do pracy w chronionej sieci firmowej, a niektóre z tych aplikacji korzystają ze starszych metod uwierzytelniania. Ponieważ firmy chcą utworzyć strategię Zero Trust i obsługiwać środowiska pracy hybrydowe i oparte na chmurze, potrzebują rozwiązań łączących aplikacje z identyfikatorem Entra firmy Microsoft i dostarczających nowoczesne rozwiązania uwierzytelniania dla starszych aplikacji. Skorzystaj z tego przewodnika, aby utworzyć rozwiązania zapewniające nowoczesne uwierzytelnianie w chmurze dla starszych aplikacji lokalnych.

Zostań zgodnym z firmą Microsoft kluczem zabezpieczeń FIDO2 dostawcą kluczy zabezpieczeń FIDO2 może zastąpić słabe poświadczenia silnymi poświadczeniami publicznymi/prywatnymi opartymi na sprzęcie, które nie mogą być ponownie używane, odtwarzane ani współużytkowane przez usługi. Możesz zostać dostawcą kluczy zabezpieczeń FIDO2 zgodnym z firmą Microsoft, postępując zgodnie z procesem w tym dokumencie.

Azure Active Directory B2C

Usługa Azure Active Directory B2C to rozwiązanie do zarządzania tożsamościami i dostępem klientów (CIAM) umożliwiające obsługę milionów użytkowników i miliardów uwierzytelnień dziennie. Jest to rozwiązanie do uwierzytelniania z etykietą białą, które umożliwia środowisko użytkownika, które łączy się z markowymi aplikacjami internetowymi i mobilnymi.

Podobnie jak w przypadku identyfikatora Entra firmy Microsoft, partnerzy mogą integrować się z usługą Azure Active Directory B2C przy użyciu programu Microsoft Graph i kluczowych interfejsów API zabezpieczeń, takich jak dostęp warunkowy, potwierdzanie naruszenia zabezpieczeń i ryzykowne interfejsy API użytkowników. Więcej informacji na temat tych integracji można przeczytać w sekcji Microsoft Entra ID powyżej.

Ta sekcja zawiera kilka innych możliwości integracji, które mogą obsługiwać niezależni partnerzy dostawcy oprogramowania.

Uwaga

Zdecydowanie zalecamy klientom korzystanie z usługi Azure Active Directory B2C (i rozwiązań, które są z nią zintegrowane) aktywowanie usługi Identity Protection i dostępu warunkowego w usłudze Azure Active Directory B2C.

Integracja z punktami końcowymi RESTful

Niezależni dostawcy oprogramowania mogą zintegrować swoje rozwiązania za pośrednictwem punktów końcowych RESTful, aby włączyć uwierzytelnianie wieloskładnikowe (MFA) i kontrolę dostępu opartą na rolach (RBAC), włączyć weryfikację tożsamości i weryfikację, poprawić bezpieczeństwo dzięki ochronie przed wykrywaniem i oszustwami botów oraz spełnić wymagania dyrektywy PSD2 (Secure Customer Authentication) (PSD2) Secure Customer Authentication (SCA).

Mamy wskazówki dotyczące używania naszych punktów końcowych RESTful oraz szczegółowych przykładowych przewodników partnerów, którzy zintegrowali się przy użyciu interfejsów API RESTful:

  • Weryfikacja tożsamości i weryfikacja, która umożliwia klientom weryfikowanie tożsamości użytkowników końcowych
  • Kontrola dostępu oparta na rolach, która umożliwia szczegółową kontrolę dostępu użytkownikom końcowym
  • Zabezpieczanie dostępu hybrydowego do aplikacji lokalnej, która umożliwia użytkownikom końcowym dostęp do aplikacji lokalnych i starszych przy użyciu nowoczesnych protokołów uwierzytelniania
  • Ochrona przed oszustwami, która umożliwia klientom ochronę swoich aplikacji i użytkowników końcowych przed fałszywymi próbami logowania i atakami bota

Zapora aplikacji internetowej

Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach. Usługa Azure Active Directory B2C umożliwia niezależnym dostawcom oprogramowania integrację usługi zapory aplikacji internetowej, tak aby cały ruch do domen niestandardowych usługi Azure Active Directory B2C (na przykład login.contoso.com) zawsze przechodził przez usługę zapory aplikacji internetowej, zapewniając dodatkową warstwę zabezpieczeń.

Zaimplementowanie rozwiązania zapory aplikacji internetowej wymaga skonfigurowania domen niestandardowych usługi Azure Active Directory B2C. Możesz dowiedzieć się, jak to zrobić w naszym samouczku dotyczącym włączania domen niestandardowych. Możesz również zobaczyć istniejących partnerów, którzy utworzyli rozwiązania zapory aplikacji internetowej zintegrowane z usługą Azure Active Directory B2C.

Następne kroki