Integrações de identidade

  • Artigo

A identidade é o plano de controle chave para gerenciar o acesso no local de trabalho moderno e é essencial para implementar o Zero Trust. As soluções de identidade suportam Zero Trust por meio de políticas de autenticação e acesso fortes, acesso menos privilegiado com permissão e acesso granulares e controles e políticas que gerenciam o acesso para proteger recursos e minimizar o raio de explosão dos ataques.

Este guia de integração explica como fornecedores independentes de software (ISVs) e parceiros de tecnologia podem se integrar ao Microsoft Entra ID para criar soluções Zero Trust seguras para os clientes.

Guia de integração do Zero Trust for Identity

Este guia de integração abrange o Microsoft Entra ID e o Azure Ative Directory B2C.

O Microsoft Entra ID é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Ele fornece autenticação de logon único, acesso condicional, autenticação sem senha e multifator, provisionamento automatizado de usuários e muitos outros recursos que permitem que as empresas protejam e automatizem processos de identidade em escala.

O Azure Ative Directory B2C é uma solução de gerenciamento de acesso de identidade (CIAM) de empresa para cliente que os clientes usam para implementar soluções seguras de autenticação de marca branca que podem ser dimensionadas facilmente e se misturam com experiências de aplicativos móveis e da Web de marca. As diretrizes de integração estão disponíveis na seção Azure Ative Directory B2C .

Microsoft Entra ID

Há muitas maneiras de integrar sua solução com o Microsoft Entra ID. As integrações básicas visam proteger seus clientes usando os recursos de segurança internos do Microsoft Entra ID. As integrações avançadas levarão sua solução um passo adiante com recursos de segurança aprimorados.

Um caminho curvo mostrando as integrações fundamentais e avançadas. As integrações básicas incluem logon único e verificação do editor. As integrações avançadas incluem contexto de autenticação de acesso condicional, avaliação contínua de acesso e integrações avançadas de API de segurança.

Integrações fundamentais

As integrações básicas protegem seus clientes com os recursos de segurança integrados do Microsoft Entra ID.

Habilitar o logon único e a verificação do editor

Para habilitar o logon único, recomendamos publicar seu aplicativo na galeria de aplicativos. Isso aumentará a confiança do cliente, porque ele sabe que seu aplicativo foi validado como compatível com o Microsoft Entra ID e você pode se tornar um editor verificado para que os clientes tenham certeza de que você é o editor do aplicativo que estão adicionando ao locatário.

A publicação na galeria de aplicativos facilitará para os administradores de TI a integração da solução em seu locatário com o registro automatizado do aplicativo. Os registros manuais são uma causa comum de problemas de suporte com aplicativos. Adicionar seu aplicativo à galeria evitará esses problemas com seu aplicativo.

Para aplicativos móveis, recomendamos que você use a Biblioteca de Autenticação da Microsoft e um navegador do sistema para implementar o logon único.

Integre o provisionamento de usuários

Gerenciar identidades e acesso para organizações com milhares de usuários é um desafio. Se sua solução for usada por grandes organizações, considere sincronizar informações sobre usuários e acesso entre seu aplicativo e o Microsoft Entra ID. Isso ajuda a manter o acesso do usuário consistente quando ocorrem alterações.

SCIM (System for Cross-Domain Identity Management) é um padrão aberto para a troca de informações de identidade do usuário. Você pode usar a API de gerenciamento de usuários SCIM para provisionar automaticamente usuários e grupos entre seu aplicativo e o Microsoft Entra ID.

Nosso tutorial sobre o assunto, desenvolver um ponto de extremidade SCIM para provisionamento de usuários para aplicativos do Microsoft Entra ID, descreve como criar um ponto de extremidade SCIM e integrar com o serviço de provisionamento Microsoft Entra.

Integrações avançadas

As integrações avançadas aumentarão ainda mais a segurança do seu aplicativo.

Contexto de autenticação de Acesso Condicional

O contexto de autenticação de Acesso Condicional permite que os aplicativos acionem a imposição de políticas quando um usuário acessa dados ou ações confidenciais, mantendo os usuários mais produtivos e seus recursos confidenciais seguros.

Avaliação contínua de acesso

A avaliação contínua de acesso (CAE) permite que os tokens de acesso sejam revogados com base em eventos críticos e avaliação de políticas, em vez de depender da expiração do token com base no tempo de vida. Para algumas APIs de recursos, como o risco e a política são avaliados em tempo real, isso pode aumentar a vida útil do token em até 28 horas, o que tornará seu aplicativo mais resiliente e com desempenho.

APIs de segurança

Em nossa experiência, muitos fornecedores independentes de software acharam essas APIs particularmente úteis.

APIs de usuário e grupo

Se seu aplicativo precisar fazer atualizações para os usuários e grupos no locatário, você poderá usar as APIs de usuário e grupo por meio do Microsoft Graph para gravar novamente no locatário do Microsoft Entra. Você pode ler mais sobre como usar a API na referência da API REST do Microsoft Graph v1.0 e na documentação de referência para o tipo de recurso do usuário

API de acesso condicional

O acesso condicional é uma parte fundamental do Zero Trust porque ajuda a garantir que o usuário certo tenha o acesso certo aos recursos certos. A habilitação do Acesso Condicional permite que o Microsoft Entra ID tome decisões de acesso com base no risco computado e em políticas pré-configuradas.

Os fornecedores independentes de software podem tirar proveito do acesso condicional, apresentando a opção de aplicar políticas de acesso condicional quando relevante. Por exemplo, se um usuário for especialmente arriscado, você pode sugerir que o cliente habilite o Acesso Condicional para esse usuário por meio de sua interface do usuário e habilite-o programaticamente no Microsoft Entra ID.

Diagrama mostrando um usuário usando um aplicativo, que chama o ID do Microsoft Entra para definir condições para uma política de acesso condicional com base na atividade do usuário.

Para saber mais, confira a configuração de políticas de acesso condicional usando o exemplo de API do Microsoft Graph no GitHub.

Confirme o comprometimento e as APIs de usuário arriscadas

Às vezes, fornecedores independentes de software podem tomar conhecimento de comprometimento que está fora do escopo do Microsoft Entra ID. Para qualquer evento de segurança, especialmente aqueles que incluem comprometimento de conta, a Microsoft e o fornecedor independente de software podem colaborar compartilhando informações de ambas as partes. A API de confirmação de compromisso permite que você defina o nível de risco de um usuário alvo como alto. Isso permite que o Microsoft Entra ID responda adequadamente, por exemplo, exigindo que o usuário se autentique novamente ou restringindo seu acesso a dados confidenciais.

Diagrama mostrando um usuário usando um aplicativo, que chama o ID do Microsoft Entra para definir o nível de risco do usuário como alto.

Indo na outra direção, o Microsoft Entra ID avalia continuamente o risco do usuário com base em vários sinais e aprendizado de máquina. A API de Usuário Arriscado fornece acesso programático a todos os usuários em risco no locatário do Microsoft Entra do aplicativo. Fornecedores de software independentes podem fazer uso dessa API para garantir que estão lidando com os usuários de forma adequada ao seu nível atual de risco. riskyUser tipo de recurso.

Diagrama mostrando um usuário usando um aplicativo, que chama o ID do Microsoft Entra para recuperar o nível de risco do usuário.

Cenários exclusivos de produtos

As orientações a seguir são para fornecedores independentes de software que oferecem tipos específicos de soluções.

Integrações de acesso híbrido seguro Muitos aplicativos de negócios foram criados para funcionar dentro de uma rede corporativa protegida, e alguns desses aplicativos usam métodos de autenticação herdados. À medida que as empresas procuram construir uma estratégia Zero Trust e oferecer suporte a ambientes de trabalho híbridos e que priorizam a nuvem, elas precisam de soluções que conectem aplicativos ao Microsoft Entra ID e forneçam soluções modernas de autenticação para aplicativos legados. Use este guia para criar soluções que forneçam autenticação moderna na nuvem para aplicativos locais herdados.

Torne-se um fornecedor de chaves de segurança FIDO2 compatível com a Microsoft As chaves de segurança FIDO2 podem substituir credenciais fracas por credenciais de chave pública/privada fortes apoiadas por hardware que não podem ser reutilizadas, repetidas ou compartilhadas entre serviços. Você pode se tornar um fornecedor de chave de segurança FIDO2 compatível com a Microsoft seguindo o processo neste documento.

Azure Active Directory B2C

O Azure Ative Directory B2C é uma solução de gerenciamento de acesso e identidade do cliente (CIAM) capaz de suportar milhões de usuários e bilhões de autenticações por dia. É uma solução de autenticação de marca branca que permite experiências de usuário que se misturam com aplicativos web e móveis de marca.

Tal como acontece com o Microsoft Entra ID, os parceiros podem integrar-se com o Azure Ative Directory B2C utilizando o Microsoft Graph e APIs de segurança chave, como o Acesso Condicional, confirmar compromisso e APIs de utilizador arriscadas. Você pode ler mais sobre essas integrações na seção Microsoft Entra ID acima.

Esta seção inclui várias outras oportunidades de integração que os parceiros independentes de fornecedores de software podem suportar.

Nota

É altamente recomendável que os clientes que usam o Azure Ative Directory B2C (e as soluções integradas a ele) ativem a Proteção de Identidade e o Acesso Condicional no Azure Ative Directory B2C.

Integração com endpoints RESTful

Os fornecedores independentes de software podem integrar suas soluções por meio de endpoints RESTful para habilitar a autenticação multifator (MFA) e o controle de acesso baseado em função (RBAC), habilitar a verificação e a prova de identidade, melhorar a segurança com deteção de bots e proteção contra fraudes e atender aos requisitos da Autenticação Segura do Cliente (SCA) da Diretiva de Serviços de Pagamento 2 (PSD2).

Temos orientações sobre como usar nossos endpoints RESTful, bem como exemplos detalhados de passo a passo de parceiros que se integraram usando as APIs RESTful:

  • Verificação e prova de identidade, que permite que os clientes verifiquem a identidade de seus usuários finais
  • Controle de acesso baseado em função, que permite o controle de acesso granular para usuários finais
  • Acesso híbrido seguro a aplicativos locais, o que permite que os usuários finais acessem aplicativos locais e herdados com protocolos de autenticação modernos
  • Proteção contra fraudes, que permite que os clientes protejam seus aplicativos e usuários finais contra tentativas de login fraudulentas e ataques de bots

Firewall de aplicações Web

O Web Application Firewall (WAF) fornece proteção centralizada para aplicativos Web contra exploits e vulnerabilidades comuns. O Azure Ative Directory B2C permite que fornecedores de software independentes integrem seu serviço WAF de modo que todo o tráfego para domínios personalizados do Azure Ative Directory B2C (por exemplo, login.contoso.com) sempre passe pelo serviço WAF, fornecendo uma camada adicional de segurança.

A implementação de uma solução WAF requer que você configure domínios personalizados do Azure Ative Directory B2C. Você pode ler como fazer isso em nosso tutorial sobre como habilitar domínios personalizados. Você também pode ver parceiros existentes que criaram soluções WAF que se integram ao Azure Ative Directory B2C.

Próximos passos