标识集成
标识是管理现代工作场所的访问的关键控制平面,并且对于实现零信任至关重要。 标识解决方案通过强身份验证和访问策略,使用具有粒度权限和访问权限的最低特权访问,以及用于管理对安全资源的访问并最大程度减小攻击的影响范围的控制和策略,支持零信任。
本集成指南介绍了独立软件供应商 (ISV) 和技术合作伙伴如何与 Microsoft Entra ID 集成,为客户创建安全的零信任解决方案。
标识零信任集成指南
本集成指南涵盖 Microsoft Entra ID 和 Azure Active Directory B2C。
Microsoft Entra ID 是 Microsoft 基于云的标识和访问管理服务。 它提供单一登录身份验证、条件访问、无密码身份验证和多重身份验证、自动化用户预配和许多其他功能,使企业能够大规模保护和自动执行标识进程。
Azure Active Directory B2C 是一种企业到客户标识和访问管理 (CIAM) 解决方案,客户使用该解决方案实现安全白标签身份验证解决方案,能够可轻松缩放,并与品牌 Web 和移动应用程序体验融为一体。 Azure Active Directory B2C 部分中提供了集成指南。
Microsoft Entra ID
可通过多种方式将解决方案与 Microsoft Entra ID 集成。 基础集成是使用 Microsoft Entra ID 的内置安全功能来保护客户。 高级集成通过增强的安全功能,使解决方案更进一步。
基础集成
基础集成使用 Microsoft Entra ID 的内置安全功能来保护客户。
启用单一登录和发布服务器验证
若要启用单一登录,建议在应用库中发布应用。 客户知道你的应用程序经验证与 Microsoft Entra ID 兼容,这将增加客户的信任,并且你可以成为经验证的发布者,从而使客户确信你是其添加到自己的租户中的应用的发布者。
在应用库中发布将使 IT 管理员可以通过自动应用注册轻松地将解决方案集成到他们的租户中。 手动注册是应用程序支持问题的常见原因。 将应用添加到库可避免应用出现这些问题。
对于移动应用,建议使用 Microsoft 身份验证库和系统浏览器实现单一登录。
集成用户预配
管理拥有数千个用户的组织的标识和访问颇具挑战。 如果你的解决方案将由大型组织使用,则必须在你的应用程序和 Microsoft Entra ID 之间考虑同步有关用户和访问的信息。 这有助于在发生更改时保持用户访问一致。
SCIM(跨域标识管理系统)是用于交换用户标识信息的开放标准。 可以使用 SCIM 用户管理 API 在应用程序和 Microsoft Entra ID 之间自动预配用户和组。
有关开发 SCIM 终结点以实现从 Microsoft Entra ID 到应用的用户预配主题的教程介绍了如何构建 SCIM 终结点以及与 Microsoft Entra 预配服务集成。
高级集成
高级集成将能进一步提高应用程序的安全性。
条件访问身份验证上下文
条件访问身份验证上下文允许应用在用户访问敏感数据或操作时触发策略强制措施,提高用户的工作效率,并确保敏感资源的安全。
连续访问评估
连续访问评估 (CAE) 可以根据关键事件和策略评估撤销访问令牌,而不用依赖基于生存期的令牌过期。 对于某些资源 API,由于风险和策略是实时评估的,因此这可能会将令牌生存期提高到最多 28 小时,这将使你的应用程序更具复原能力和性能。
安全性 API
在我们的经验中,许多独立软件供应商发现这些 API 尤其有用。
用户和组 API
如果应用程序需要对租户中的用户和组进行更新,可以通过 Microsoft Graph 使用用户和组 API 将所做更新写回到 Microsoft Entra 租户。 有关使用 API 的详细信息,请参阅 Microsoft Graph REST API v1.0 参考和用户资源类型的参考文档
条件访问 API
条件访问是零信任的关键部分,因为它有助于确保正确的用户对适当的资源具有适当的访问权限。 启用条件访问后,Microsoft Entra ID 可以基于计算的风险和预配置的策略制定访问决策。
独立软件供应商可以通过在相关时展示应用条件访问策略的选项来利用条件访问。 例如,如果某个用户特别有风险,你可以建议客户通过 UI 对该用户启用条件访问,并以编程方式在 Microsoft Entra ID 中启用条件访问。
有关详细信息,请参阅 GitHub 上的使用 Microsoft Graph API 配置条件访问策略。
确认泄露的和有风险的用户 API
有时候,独立软件供应商可能会意识到 Microsoft Entra ID 范围之外的泄露。 对于任何安全事件,特别是帐户泄露等安全事件,Microsoft 和独立软件供应商可以通过相互共享信息来进行协作。 通过确认泄露的 API,可以将目标用户的风险级别设置为高。 这使 Microsoft Entra ID 可以相应地做出响应,例如,要求用户重新进行身份验证或限制其对敏感数据的访问。
从另一个方向看,Microsoft Entra ID 会根据各种信号和机器学习持续评估用户风险。 有风险用户 API 提供对应用的 Microsoft Entra ID 租户中所有有风险用户的编程访问。 独立软件供应商可以使用此 API 来确保根据当前安全级别适当地处理用户。 riskyUser 资源类型。
独特的产品场景
以下指南适用于提供特定类型解决方案的独立软件供应商。
安全混合访问集成 许多业务应用程序设计为在受保护的企业网络中工作,而且其中一些应用程序使用旧式身份验证方法。 随着公司寻求制定零信任策略并支持混合工作环境和云优先工作环境,他们需要能够将应用连接到 Microsoft Entra ID 并为旧版应用程序提供新式验证解决方案的解决方案。 使用本指南创建可为旧版本地应用程序提供新式云身份验证的解决方案。
成为与 Microsoft 兼容的 FIDO2 安全密钥供应商 FIDO2 安全密钥可以将弱凭据替换为硬件提供支持的公钥/私钥强凭据,这些凭据不能在服务之间重复使用、重播或共享。 可以按照本文档中的流程来成为与 Microsoft 兼容的 FIDO2 安全密钥供应商。
Azure Active Directory B2C
Azure Active Directory B2C 是一种客户标识和访问管理 (CIAM) 解决方案,每天能够支持数百万用户和数十亿次身份验证。 它是一种白标签身份验证解决方案,可实现与品牌 Web 和移动应用程序混合的用户体验。
与 Microsoft Entra ID 一样,合作伙伴可以通过使用 Microsoft Graph 和关键安全 API(如条件访问、确认泄露和风险用户 API)来与 Azure Active Directory B2C 集成。 可以在上面的 Microsoft Entra ID 部分阅读这些集成的详细信息。
这个部分包括其他几个独立软件供应商合作伙伴会支持的集成机会。
注意
强烈建议使用 Azure Active Directory B2C(及其集成的解决方案)的客户激活在 Azure Active Directory B2C 中的标识保护和条件访问。
与 RESTful 终结点集成
独立软件供应商可以通过 RESTful 终结点集成他们的解决方案,以便启用多重身份验证 (MFA) 和基于角色的访问控制 (RBAC),启用身份验证和校对,通过机器人检测和欺诈保护提高安全性,并满足支付服务指令 2 (PSD2 ) 安全客户身份验证 (SCA) 要求。
我们提供有关如何使用 RESTful 终结点的指南以及使用 RESTful API 进行集成的合作伙伴的详细示例演练:
- 身份验证和校对,使客户能够验证其最终用户的身份
- 基于角色的访问控制,可对最终用户进行精细访问控制
- 保护对本地应用程序的混合访问,使最终用户能够使用新式验证协议访问本地和旧版应用程序
- 欺诈保护,使客户能够保护其应用程序和最终用户免受欺诈性登录尝试和机器人攻击的侵害
Web 应用程序防火墙
Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害。 Azure Active Directory B2C 使独立软件供应商能够集成其 WAF 服务,以便所有发往 Azure Active Directory B2C 自定义域(例如,login.contoso.com)的流量始终通过 WAF 服务,从而提供额外的安全层。
要实现 WAF 解决方案,需要配置 Azure Active Directory B2C 自定义域。 可以在我们的启用自定义域教程中了解如何实施。 还可以查看已创建与 Azure Active Directory B2C 集成的 WAF 解决方案的现有合作伙伴。