身分識別整合

身分識別是管理新式工作場所存取的關鍵控制平面，對於實作 零信任 至關重要。 身分識別解決方案支援 零信任 透過強式驗證和存取原則、具有細微許可權和存取權的最低特殊許可權存取，以及管理存取安全資源的控制和原則，以及將攻擊的爆破半徑降到最低。

此整合指南說明獨立軟體廠商（ISV）和技術合作夥伴如何與 Microsoft Entra ID 整合，為客戶建立安全的 零信任 解決方案。

身分識別整合指南的 零信任

本整合指南涵蓋 Microsoft Entra ID 以及 Azure Active Directory B2C。

Microsoft Entra ID 是 Microsoft 的雲端式身分識別與存取管理服務。 它提供單一登錄驗證、條件式存取、無密碼和多重要素驗證、自動化使用者布建，以及許多其他功能，可讓企業大規模保護和自動化身分識別程式。

Azure Active Directory B2C 是企業對客戶身分識別存取管理 （CIAM） 解決方案，客戶會用來實作安全白標籤驗證解決方案，以輕鬆調整規模，並與品牌 Web 和行動應用程式體驗混合。 Azure Active Directory B2C 一節提供整合指引。

Microsoft Entra ID

有許多方式可將解決方案與 Microsoft Entra ID 整合。 基礎整合是關於使用 Microsoft Entra ID 的內建安全性功能來保護您的客戶。 進階整合以更強的安全性功能讓解決方案更上一層樓。

基礎整合

基礎整合會使用 Microsoft Entra ID 的內建安全性功能來保護您的客戶。

啟用單一登入和發行者驗證

若要啟用單一登入，建議在應用程式資源庫中發佈您的應用程式。 這會增加客戶信任，因為他們知道您的應用程式已驗證為與 Microsoft Entra ID 相容，而且您可以成為 已驗證的發行者 ，讓客戶確定您是他們新增至其租使用者的應用程式發行者。

在應用連結庫中發佈可讓IT系統管理員使用自動化應用程式註冊，輕鬆地將解決方案整合到其租使用者中。 手動註冊是應用程式發生支援問題的常見原因。 將應用程式新增至資源庫可避免應用程式發生這些問題。

針對行動應用程式，我們建議您使用 Microsoft 驗證連結庫和系統瀏覽器來 實作單一登錄。

整合使用者佈建

管理具有數千個使用者之組織的身分識別和存取是一項挑戰。 如果您的解決方案將由大型組織使用，請考慮同步處理使用者的相關信息，以及應用程式與 Microsoft Entra 識別符之間的存取。 這有助於發生變更時保持使用者存取權一致。

SCIM (跨網域身分識別管理系統) 是交換使用者身分識別資訊的一套開放性標準。 您可以使用 SCIM 使用者管理 API，在應用程式與 Microsoft Entra ID 之間自動佈建使用者和群組。

我們的主題教學課程， 開發 SCIM 端點，以從 Microsoft Entra ID 佈建至應用程式，說明如何建置 SCIM 端點，並與 Microsoft Entra 布建服務整合。

進階整合

進階整合可進一步提升應用程式的安全性。

條件式存取驗證內容

條件式存取驗證內容 可讓應用程式在使用者存取敏感數據或動作時觸發原則強制執行，讓使用者更有生產力，並保護您的敏感性資源。

持續性存取評估

持續存取評估 （CAE） 允許根據重大事件和原則評估來撤銷存取令牌，而不是根據存留期依賴令牌到期。 針對某些資源 API，因為風險和原則會實時評估，這可增加令牌存留期，最多 28 小時，讓您的應用程式更具復原性和效能。

安全性 API

在我們的經驗中，許多獨立軟體廠商發現這些 API 特別有用。

使用者和群組 API

如果您的應用程式需要更新租使用者中的使用者和群組，您可以透過 Microsoft Graph 使用使用者和群組 API 來回寫至 Microsoft Entra 租使用者。 您可以在 Microsoft Graph REST API v1.0 參考中深入瞭解如何使用 API，以及使用者資源類型的參考檔

條件式存取 API

條件式存取是零信任的重要部分，因為有助於確保正確的使用者具有正確資源的存取權。 啟用條件式存取可讓 Microsoft Entra ID 根據計算風險和預先設定的原則做出存取決策。

獨立軟體廠商可以在情況相關時顯示套用條件式存取原則的選項，以便利用條件式存取功能。 例如，如果用戶特別有風險，您可以建議客戶透過UI為該使用者啟用條件式存取，並以程序設計方式在 Microsoft Entra ID 中加以啟用。

如需詳細資訊，請參閱 在 GitHub 上使用 Microsoft Graph API 範例設定條件式存取原則。

確認入侵和有風險的使用者 API

有時候，獨立軟體廠商可能會意識到 Microsoft Entra 標識符範圍之外的入侵。 對於任何安全性事件，特別是包括帳戶入侵在內的安全性事件，Microsoft 和獨立軟體廠商可以藉由共用雙方的資訊共同作業。 確認 入侵 API 可讓您將目標用戶的風險等級設定為高。 這可讓 Microsoft Entra ID 適當地回應，例如要求使用者重新驗證或限制其敏感數據的存取權。

往另一個方向走，Microsoft Entra ID 會根據各種訊號和機器學習持續評估用戶風險。 Risky User API 會以程式設計方式存取應用程式 Microsoft Entra 租使用者中的所有高風險使用者。 獨立軟體廠商可以使用此 API 來確保他們已適當地將用戶處理到其目前的風險層級。 riskyUser 資源類型。

獨特的産品案例

下列指引適用於提供特定解決方案類型的獨立軟體廠商。

安全混合式存取整合 建立許多商務應用程式，以在受保護的公司網路內運作，而其中一些應用程式會使用舊版驗證方法。 當公司想要建置 零信任 策略並支援混合式和雲端優先工作環境時，他們需要將應用程式連線到 Microsoft Entra ID 的解決方案，併為舊版應用程式提供新式驗證解決方案。 使用本指南來建立為舊版內部部署應用程式提供新式雲端驗證的解決方案。

成為與 Microsoft 相容的 FIDO2 安全性金鑰廠商 FIDO2 安全性金鑰，可以將弱式認證取代為強硬體支援的公開/私鑰認證，這些認證無法跨服務重複使用、重新執行或共用。 您可以遵循本檔中的程式，成為 Microsoft 相容的 FIDO2 安全性金鑰廠商。

Azure Active Directory B2C

Azure Active Directory B2C 是一套客戶身分識別和存取管理 (CIAM) 解決方案，能夠支援每天數百萬個使用者和數十億次驗證。 這是一種白標籤驗證解決方案，可讓用戶體驗與品牌 Web 和行動應用程式混合。

如同 Microsoft Entra ID，合作夥伴可以使用 Microsoft Graph 和密鑰安全性 API，例如條件式存取、確認入侵和有風險的使用者 API，與 Azure Active Directory B2C 整合。 您可以在上述的 Microsoft Entra ID 一節中深入了解這些整合。

本節包含數個其他整合機會，獨立軟體廠商合作夥伴可以支援。

注意

強烈建議使用與 Azure Active Directory B2C 整合的解決方案的客戶，在 Azure Active Directory B2C 中啟用 Identity Protection 和條件式存取。

與 RESTful 端點整合

獨立軟體廠商可以透過 RESTful 端點整合其解決方案，以啟用多重要素驗證 （MFA） 和角色型存取控制 （RBAC）、啟用身分識別驗證和校訂、使用 Bot 偵測和詐騙保護來改善安全性，以及符合付款服務指示詞 2 （PSD2） 安全客戶驗證 （SCA） 需求。

我們有如何使用 RESTful 端點的指引，以及已使用 RESTful API 整合之合作夥伴的詳細範例逐步解說：

• 身分識別驗證和證明，可讓客戶驗證其終端使用者的身分識別
• 角色型存取控制，可對終端使用者進行細微存取控制
• 保護內部部署應用程式的混合式存取，讓用戶能夠使用新式驗證通訊協定存取內部部署和舊版應用程式
• 防止詐騙，可讓客戶保護應用程式和終端使用者，防範詐騙登入嘗試和 Bot 攻擊

Web 應用程式防火牆

Web 應用程式防火牆 （WAF） 為 Web 應用程式提供集中式保護，免於常見的惡意探索和弱點。 Azure Active Directory B2C 可讓獨立軟體廠商整合其 WAF 服務，讓所有流量都流向 Azure Active Directory B2C 自定義網域（例如，login.contoso.com）一律通過 WAF 服務，以提供額外的安全性層。

實作 WAF 解決方案需要您設定 Azure Active Directory B2C 自定義網域。 您可以在我們的 教學課程中瞭解如何啟用自定義網域。 您也可以 查看已建立與 Azure Active Directory B2C 整合之 WAF 解決方案的現有合作夥伴。

下一步

• 什麼是 Microsoft Entra 識別碼？
• Azure Active Directory B2C 的合作夥伴資源庫
• Azure Active Directory B2C 的身分識別保護和條件式存取