Kimlik tümleştirmeleri
Kimlik, modern çalışma alanında erişimi yönetmek için temel kontrol düzlemidir ve Sıfır Güven uygulamak için gereklidir. Kimlik çözümleri güçlü kimlik doğrulama ve erişim ilkeleri, ayrıntılı izin ve erişim ile en az ayrıcalıklı erişim ve güvenli kaynaklara erişimi yöneten ve saldırıların patlama yarıçapını en aza indiren denetimler ve ilkeler aracılığıyla Sıfır Güven destekler.
Bu tümleştirme kılavuzunda, bağımsız yazılım satıcılarının (ISV) ve teknoloji iş ortaklarının müşteriler için güvenli Sıfır Güven çözümleri oluşturmak üzere Microsoft Entra ID ile nasıl tümleştirilebileceği açıklanmaktadır.
Kimlik tümleştirme kılavuzu için Sıfır Güven
Bu tümleştirme kılavuzu, Microsoft Entra Id ve Azure Active Directory B2C'yi kapsar.
Microsoft Entra Id, Microsoft'un bulut tabanlı kimlik ve erişim yönetimi hizmetidir. Kuruluşların kimlik işlemlerini büyük ölçekte korumasını ve otomatikleştirmesini sağlayan çoklu oturum açma kimlik doğrulaması, koşullu erişim, parolasız ve çok faktörlü kimlik doğrulaması, otomatik kullanıcı sağlama ve daha birçok özellik sağlar.
Azure Active Directory B2C, müşterilerin kolayca ölçeklendirilebilen ve markalı web ve mobil uygulama deneyimleriyle uyumlu güvenli beyaz etiketli kimlik doğrulama çözümleri uygulamak için kullandığı bir işletmeden müşteriye kimlik erişim yönetimi (CIAM) çözümüdür. Tümleştirme kılavuzuna Azure Active Directory B2C bölümünden ulaşabilirsiniz.
Microsoft Entra Kimlik
Çözümünüzü Microsoft Entra ID ile tümleştirmenin birçok yolu vardır. Temel tümleştirmeler, Microsoft Entra ID'nin yerleşik güvenlik özelliklerini kullanarak müşterilerinizi korumaya yöneliktir. Gelişmiş tümleştirmeler, gelişmiş güvenlik özellikleriyle çözümünüzü bir adım ileri götürür.
Temel tümleştirmeler
Temel tümleştirmeler, Microsoft Entra ID'nin yerleşik güvenlik özellikleriyle müşterilerinizi korur.
Çoklu oturum açma ve yayımcı doğrulamasını etkinleştirme
Çoklu oturum açmayı etkinleştirmek için uygulamanızı uygulama galerisinde yayımlamanızı öneririz. Bu, uygulamanızın Microsoft Entra Kimliği ile uyumlu olarak doğrulandığını bildiklerinden ve müşterilerin kiracılarına ekledikleri uygulamanın yayımcısı olduğunuzdan emin olmanız için doğrulanmış bir yayımcı olabileceğinizden müşteri güvenini artırır.
Uygulama galerisinde yayımlamak, BT yöneticilerinin çözümü otomatik uygulama kaydıyla kiracılarıyla tümleştirmesini kolaylaştırır. El ile kayıtlar, uygulamalarla ilgili destek sorunlarının yaygın nedenlerinden biridir. Uygulamanızı galeriye eklemek, uygulamanızla ilgili bu sorunlardan kaçınacaktır.
Mobil uygulamalar için, çoklu oturum açma uygulamak için Microsoft Kimlik Doğrulama Kitaplığı'nı ve bir sistem tarayıcısını kullanmanızı öneririz.
Kullanıcı sağlamayı tümleştirme
Binlerce kullanıcısı olan kuruluşlar için kimlikleri ve erişimi yönetmek zordur. Çözümünüz büyük kuruluşlar tarafından kullanılacaksa, kullanıcılar hakkındaki bilgileri eşitlemeyi ve uygulamanızla Microsoft Entra Kimliği arasında erişim sağlamayı göz önünde bulundurun. Bu, değişiklikler gerçekleştiğinde kullanıcı erişiminin tutarlı kalmasına yardımcı olur.
SCIM (Etki Alanları Arası Kimlik Yönetimi Sistemi), kullanıcı kimliği bilgilerini alışverişe yönelik açık bir standarttır. ScIM kullanıcı yönetimi API'sini kullanarak uygulamanızla Microsoft Entra Id arasında kullanıcıları ve grupları otomatik olarak sağlayabilirsiniz.
Konuyla ilgili öğreticimizde, Microsoft Entra ID'den uygulamalara kullanıcı sağlama için bir SCIM uç noktası geliştirme, SCIM uç noktası oluşturma ve Microsoft Entra sağlama hizmetiyle tümleştirme işlemleri açıklanmaktadır.
Gelişmiş tümleştirmeler
Gelişmiş tümleştirmeler uygulamanızın güvenliğini daha da artırır.
Koşullu Erişim kimlik doğrulaması bağlamı
Koşullu Erişim kimlik doğrulaması bağlamı , bir kullanıcı hassas verilere veya eylemlere eriştiğinde uygulamaların ilke zorlamasını tetiklemesini sağlayarak kullanıcıların daha üretken ve hassas kaynaklarınızın güvenliğini sağlar.
Sürekli erişim değerlendirmesi
Sürekli erişim değerlendirmesi (CAE), erişim belirteçlerinin yaşam süresine göre belirteç süre sonunu kullanmak yerine kritik olaylara ve ilke değerlendirmesine göre iptal edilmesine olanak tanır. Bazı kaynak API'leri için risk ve ilke gerçek zamanlı olarak değerlendirildiğinden, bu durum belirteç ömrünü 28 saate kadar artırabilir ve bu da uygulamanızı daha dayanıklı ve performanslı hale getirir.
Güvenlik API'leri
Deneyimlerimize göre, birçok bağımsız yazılım satıcısı bu API'leri özellikle yararlı buldu.
Kullanıcı ve grup API'leri
Uygulamanızın kiracıdaki kullanıcılara ve gruplara güncelleştirme yapması gerekiyorsa Microsoft Graph aracılığıyla kullanıcı ve grup API'lerini kullanarak Microsoft Entra kiracısına geri yazabilirsiniz. Microsoft Graph REST API v1.0 başvurusu ve kullanıcı kaynak türü için başvuru belgelerinde API'yi kullanma hakkında daha fazla bilgi edinebilirsiniz
Koşullu Erişim API'si
Koşullu erişim, Sıfır Güven önemli bir parçasıdır çünkü doğru kullanıcının doğru kaynaklara doğru erişime sahip olduğundan emin olur. Koşullu Erişimin etkinleştirilmesi, Microsoft Entra Id'nin hesaplanan risk ve önceden yapılandırılmış ilkelere göre erişim kararı vermesine olanak tanır.
Bağımsız yazılım satıcıları, uygun olduğunda koşullu erişim ilkeleri uygulama seçeneğini kullanarak koşullu erişimden yararlanabilir. Örneğin, bir kullanıcı özellikle riskliyse, müşteriye kullanıcı arabiriminiz aracılığıyla bu kullanıcı için Koşullu Erişimi etkinleştirmesini ve Microsoft Entra Id'de program aracılığıyla etkinleştirmesini önerebilirsiniz.
Daha fazla bilgi için GitHub'da Microsoft Graph API örneğini kullanarak koşullu erişim ilkelerini yapılandırma bölümüne göz atın.
Güvenliğin aşılmasına ve riskli kullanıcı API'lerine onay verme
Bazen bağımsız yazılım satıcıları, Microsoft Entra Id kapsamı dışında olan güvenliğin aşıldığını fark edebilir. Microsoft ve bağımsız yazılım satıcısı, özellikle hesap güvenliğinin aşılması dahil olmak üzere her türlü güvenlik olayı için her iki tarafın bilgilerini paylaşarak işbirliği yapabilir. Güvenliğin aşılmasını onaylama API'si, hedeflenen kullanıcının risk düzeyini yüksek olarak ayarlamanıza olanak tanır. Bu, örneğin kullanıcının yeniden kimlik doğrulamasını zorunlu kılarak veya hassas verilere erişimini kısıtlayarak Microsoft Entra Id'nin uygun şekilde yanıt vermesini sağlar.
Diğer taraftan, Microsoft Entra ID çeşitli sinyallere ve makine öğrenmesine göre kullanıcı riskini sürekli olarak değerlendirir. Riskli Kullanıcı API'si, uygulamanın Microsoft Entra kiracısında risk altında olan tüm kullanıcılara program aracılığıyla erişim sağlar. Bağımsız yazılım satıcıları, kullanıcıları geçerli risk düzeylerine uygun şekilde işlediklerinden emin olmak için bu API'yi kullanabilir. riskyUser kaynak türü.
Benzersiz ürün senaryoları
Aşağıdaki kılavuz, belirli türlerde çözümler sunan bağımsız yazılım satıcılarına yöneliktir.
Güvenli karma erişim tümleştirmeleri Korunan bir şirket ağı içinde çalışmak için birçok iş uygulaması oluşturulmuştur ve bu uygulamalardan bazıları eski kimlik doğrulama yöntemlerini kullanır. Şirketler bir Sıfır Güven stratejisi oluşturmak ve hibrit ve bulut öncelikli iş ortamlarını desteklemek için uygulamaları Microsoft Entra ID'ye bağlayan ve eski uygulamalar için modern kimlik doğrulama çözümleri sağlayan çözümlere ihtiyaç duyar. Eski şirket içi uygulamalar için modern bulut kimlik doğrulaması sağlayan çözümler oluşturmak için bu kılavuzu kullanın.
Microsoft uyumlu bir FIDO2 güvenlik anahtarı satıcısı olun FIDO2 güvenlik anahtarları, zayıf kimlik bilgilerini yeniden kullanılamayan, yeniden yürütülemeyen veya hizmetler arasında paylaşılamayan güçlü donanım destekli ortak/özel anahtar kimlik bilgileriyle değiştirebilir. Bu belgedeki işlemi izleyerek Microsoft uyumlu bir FIDO2 güvenlik anahtarı satıcısı olabilirsiniz.
Azure Active Directory B2C
Azure Active Directory B2C, milyonlarca kullanıcıyı ve günde milyarlarca kimlik doğrulamasını destekleyebilecek bir müşteri kimliği ve erişim yönetimi (CIAM) çözümüdür. Markalı web ve mobil uygulamalarla harmanlanan kullanıcı deneyimlerini sağlayan beyaz etiketli bir kimlik doğrulama çözümüdür.
İş ortakları, Microsoft Entra Id'de olduğu gibi, Microsoft Graph ve Koşullu Erişim gibi önemli güvenlik API'lerini kullanarak Azure Active Directory B2C ile tümleştirebilir, güvenliğin aşılması ve riskli kullanıcı API'lerini onaylayabilir. Bu tümleştirmeler hakkında daha fazla bilgiyi yukarıdaki Microsoft Entra Id bölümünden okuyabilirsiniz.
Bu bölüm, bağımsız yazılım satıcısı iş ortaklarının destekleyebileceğiniz diğer çeşitli tümleştirme fırsatlarını içerir.
Not
Azure Active Directory B2C kullanan müşterilerin (ve onunla tümleştirilmiş çözümlerin) Azure Active Directory B2C'de Kimlik Koruması ve Koşullu Erişimi etkinleştirmesini kesinlikle öneririz.
RESTful uç noktalarıyla tümleştirme
Bağımsız yazılım satıcıları, çok faktörlü kimlik doğrulamasını (MFA) ve rol tabanlı erişim denetimini (RBAC) etkinleştirmek, kimlik doğrulamasını ve yazım denetlemesini etkinleştirmek, bot algılama ve sahtekarlık koruması ile güvenliği geliştirmek ve Ödeme Hizmetleri Yönergesi 2 (PSD2) Güvenli Müşteri Kimlik Doğrulaması (SCA) gereksinimlerini karşılamak için çözümlerini RESTful uç noktaları aracılığıyla tümleştirebilir.
RESTful api'lerini kullanarak tümleştirilmiş iş ortaklarının ayrıntılı örnek kılavuzlarının yanı sıra RESTful uç noktalarımızı kullanma konusunda yönergelere sahibiz:
- Müşterilerin son kullanıcılarının kimliğini doğrulamasını sağlayan kimlik doğrulama ve yazım denetleme
- Son kullanıcılara ayrıntılı erişim denetimi sağlayan rol tabanlı erişim denetimi
- Son kullanıcıların modern kimlik doğrulama protokolleri ile şirket içi ve eski uygulamalara erişmesini sağlayan şirket içi uygulamaya karma erişimin güvenliğini sağlama
- Müşterilerin uygulamalarını ve son kullanıcılarını sahte oturum açma girişimlerine ve bot saldırılarına karşı korumasını sağlayan sahtekarlık koruması
Web uygulaması güvenlik duvarı
Web Uygulaması Güvenlik Duvarı (WAF), web uygulamaları için yaygın açıklardan ve güvenlik açıklarından merkezi koruma sağlar. Azure Active Directory B2C, bağımsız yazılım satıcılarının WAF hizmetlerini tümleştirmesine olanak tanır; böylece Azure Active Directory B2C özel etki alanlarına (örneğin, login.contoso.com) gelen tüm trafik her zaman WAF hizmetinden geçer ve ek bir güvenlik katmanı sağlar.
WAF çözümü uygulamak için Azure Active Directory B2C özel etki alanlarını yapılandırmanız gerekir. Bunun nasıl yapılacağını özel etki alanlarını etkinleştirme öğreticimizde okuyabilirsiniz. Azure Active Directory B2C ile tümleşen WAF çözümleri oluşturan mevcut iş ortaklarını da görebilirsiniz.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin