Integrace identit
Identita je klíčovou řídicí rovinou pro správu přístupu na moderním pracovišti a je nezbytná pro implementaci nulová důvěra (Zero Trust). Řešení identit podporují nulová důvěra (Zero Trust) prostřednictvím zásad silného ověřování a přístupu, nejnižšího privilegovaného přístupu s podrobným oprávněním a přístupem a kontrol a zásad, které spravují přístup k zabezpečeným prostředkům a minimalizují poloměr útoků.
Tento průvodce integrací vysvětluje, jak můžou nezávislí dodavatelé softwaru (ISV) a technologickí partneři integrovat s Microsoft Entra ID a vytvářet zabezpečená nulová důvěra (Zero Trust) řešení pro zákazníky.
Průvodce integrací nulová důvěra (Zero Trust) pro identitu
Tento průvodce integrací se zabývá ID Microsoft Entra a Azure Active Directory B2C.
Microsoft Entra ID je cloudová služba pro správu identit a přístupu od Microsoftu. Poskytuje ověřování pomocí jednotného přihlašování, podmíněný přístup, bez hesla a vícefaktorové ověřování, automatizované zřizování uživatelů a mnoho dalších funkcí, které podnikům umožňují chránit a automatizovat procesy identit ve velkém měřítku.
Azure Active Directory B2C je řešení pro správu přístupu identit (CIAM) mezi zákazníky, které zákazníci používají k implementaci zabezpečených řešení ověřování white-label, která se snadno škálují a kombinují s branded webovými a mobilními aplikacemi. Pokyny k integraci jsou k dispozici v části Azure Active Directory B2C .
Microsoft Entra ID
Existuje mnoho způsobů, jak integrovat vaše řešení s Microsoft Entra ID. Základní integrace jsou o ochraně vašich zákazníků pomocí integrovaných funkcí zabezpečení Microsoft Entra ID. Pokročilé integrace povedou vaše řešení ještě o krok dál s rozšířenými možnostmi zabezpečení.
Základní integrace
Základní integrace chrání vaše zákazníky pomocí integrovaných možností zabezpečení Microsoft Entra ID.
Povolení jednotného přihlašování a ověřování vydavatele
Pokud chcete povolit jednotné přihlašování, doporučujeme publikovat aplikaci v galerii aplikací. Tím se zvýší důvěryhodnost zákazníků, protože vědí, že vaše aplikace byla ověřena jako kompatibilní s ID Microsoft Entra a můžete se stát ověřeným vydavatelem , aby si zákazníci byli jistí, že jste vydavatelem aplikace, kterou přidávají do svého tenanta.
Publikování v galerii aplikací usnadní správcům IT integraci řešení do svého tenanta s automatizovanou registrací aplikací. Ruční registrace jsou běžnou příčinou problémů s podporou aplikací. Přidáním aplikace do galerie se těmto problémům s aplikací vyhnete.
Pro mobilní aplikace doporučujeme použít knihovnu Microsoft Authentication Library a systémový prohlížeč k implementaci jednotného přihlašování.
Integrace zřizování uživatelů
Správa identit a přístupu pro organizace s tisíci uživatelů je náročná. Pokud vaše řešení budou používat velké organizace, zvažte synchronizaci informací o uživatelích a přístupu mezi vaší aplikací a ID Microsoft Entra. To pomáhá udržovat uživatelský přístup konzistentní, když dojde ke změnám.
SCIM (System for Cross-Domain Identity Management) je otevřený standard pro výměnu informací o identitě uživatele. Rozhraní API pro správu uživatelů SCIM můžete použít k automatickému zřizování uživatelů a skupin mezi vaší aplikací a ID Microsoft Entra.
Náš kurz na téma, vývoj koncového bodu SCIM pro zřizování uživatelů pro aplikace z Microsoft Entra ID, popisuje, jak vytvořit koncový bod SCIM a integrovat se službou Microsoft Entra provisioning.
Pokročilé integrace
Pokročilé integrace zvýší zabezpečení vaší aplikace ještě více.
Kontext ověřování podmíněného přístupu
Kontext ověřování podmíněného přístupu umožňuje aplikacím aktivovat vynucení zásad, když uživatel přistupuje k citlivým datům nebo akcím, což uživatelům zajistí vyšší produktivitu a zabezpečení citlivých prostředků.
Nepřetržité vyhodnocování přístupu
Průběžné vyhodnocování přístupu (CAE) umožňuje odvolat přístupové tokeny na základě kritických událostí a vyhodnocení zásad, a nespoléhat se na vypršení platnosti tokenu na základě životnosti. U některých rozhraní API prostředků, protože rizika a zásady se vyhodnocují v reálném čase, může to zvýšit životnost tokenů až o 28 hodin, což zvýší odolnost a výkon vaší aplikace.
Rozhraní API pro zabezpečení
V naší zkušenosti mnoho nezávislých dodavatelů softwaru zjistilo, že tato rozhraní API jsou obzvláště užitečná.
Uživatelská a skupinová rozhraní API
Pokud vaše aplikace potřebuje aktualizovat uživatele a skupiny v tenantovi, můžete pomocí rozhraní API pro uživatele a skupiny prostřednictvím Microsoft Graphu zapisovat zpět do tenanta Microsoft Entra. Další informace o používání rozhraní API najdete v referenčních informacích k rozhraní Microsoft Graph REST API verze 1.0 a referenční dokumentaci k typu prostředku uživatele.
Rozhraní API podmíněného přístupu
Podmíněný přístup je klíčovou součástí nulová důvěra (Zero Trust), protože pomáhá zajistit, aby správný uživatel získal správný přístup ke správným prostředkům. Povolení podmíněného přístupu umožňuje microsoftu Entra ID provádět rozhodnutí o přístupu na základě vypočítaných rizik a předem nakonfigurovaných zásad.
Nezávislí dodavatelé softwaru můžou využívat podmíněný přístup tak, že v případech, kdy jsou relevantní, možnost použít zásady podmíněného přístupu. Pokud je například uživatel obzvláště rizikový, můžete zákazníkovi navrhnout povolení podmíněného přístupu pro daného uživatele prostřednictvím uživatelského rozhraní a programově ho povolit v Microsoft Entra ID.
Další informace najdete v tématu Konfigurace zásad podmíněného přístupu pomocí ukázky rozhraní Microsoft Graph API na GitHubu.
Potvrzení ohrožení zabezpečení a rizikových uživatelských rozhraní API
Někdy můžou nezávislí dodavatelé softwaru vědět o ohrožení, které je mimo rozsah ID Microsoft Entra. U všech událostí zabezpečení, zejména těch, které zahrnují ohrožení zabezpečení, může Microsoft a nezávislý dodavatel softwaru spolupracovat sdílením informací od obou stran. Rozhraní API pro potvrzení ohrožení zabezpečení umožňuje nastavit úroveň rizika cílového uživatele na vysokou. Microsoft Entra ID tak může správně reagovat, například tím, že uživatel bude muset znovu provést ověření nebo omezit přístup k citlivým datům.
Microsoft Entra ID průběžně vyhodnocuje riziko uživatelů na základě různých signálů a strojového učení. Rozhraní API rizikových uživatelů poskytuje programový přístup všem rizikovým uživatelům v tenantovi Microsoft Entra aplikace. Nezávislí dodavatelé softwaru můžou toto rozhraní API využít, aby zajistili, že uživatelé odpovídajícím způsobem zpracovávají aktuální úroveň rizika. rizikový typ prostředkuUser.
Jedinečné scénáře produktů
Následující pokyny jsou určené pro nezávislé dodavatele softwaru, kteří nabízejí konkrétní druhy řešení.
Integrace zabezpečeného hybridního přístupu Mnoho obchodních aplikací bylo vytvořeno pro práci uvnitř chráněné podnikové sítě a některé z těchto aplikací využívají starší metody ověřování. Vzhledem k tomu, že společnosti hledají strategii nulová důvěra (Zero Trust) a podporují hybridní a cloudová pracovní prostředí, potřebují řešení, která propojují aplikace s Microsoft Entra ID a poskytují moderní řešení ověřování pro starší verze aplikací. V této příručce můžete vytvářet řešení, která poskytují moderní cloudové ověřování pro starší místní aplikace.
Staňte se klíči zabezpečení FIDO2 kompatibilním s Microsoftem a klíči zabezpečení FIDO2 můžou nahradit slabé přihlašovací údaje silnými přihlašovacími údaji s veřejnými nebo privátními klíči, které se nedají opakovaně používat, přehrávat ani sdílet napříč službami. Podle postupu v tomto dokumentu se můžete stát dodavatelem klíče zabezpečení kompatibilního s Technologií FIDO2 kompatibilním s Microsoftem.
Azure Active Directory B2C
Azure Active Directory B2C je řešení pro správu identit a přístupu zákazníků (CIAM) schopné podporovat miliony uživatelů a miliardy ověřování za den. Jedná se o řešení ověřování white-label, které umožňuje uživatelské prostředí, které se sloučují s branded web a mobilní aplikace.
Stejně jako u Microsoft Entra ID můžou partneři integrovat s Azure Active Directory B2C pomocí rozhraní Microsoft Graph a klíčových rozhraní API zabezpečení, jako jsou podmíněný přístup, potvrdit ohrožení zabezpečení a riziková uživatelská rozhraní API. Další informace o těchto integracích najdete v části Microsoft Entra ID výše.
Tato část obsahuje několik dalších příležitostí pro integraci nezávislých partnerů dodavatelů softwaru, které můžou podporovat.
Poznámka:
Důrazně doporučujeme zákazníkům, kteří používají Azure Active Directory B2C (a řešení integrovaná s ní), aktivovat službu Identity Protection a podmíněný přístup v Azure Active Directory B2C.
Integrace s koncovými body RESTful
Nezávislí dodavatelé softwaru můžou integrovat svá řešení prostřednictvím koncových bodů RESTful, aby umožnili vícefaktorové ověřování (MFA) a řízení přístupu na základě role (RBAC), povolili ověřování a ověřování identit, zlepšili zabezpečení s využitím detekce robotů a ochranu před podvody a splnili požadavky na zabezpečené ověřování zákazníka (PSD2) 2 (PSD2) Secure Customer Authentication (SCA).
Máme pokyny, jak používat naše koncové body RESTful a podrobné ukázkové názorné postupy partnerů, kteří integrovali pomocí rozhraní RESTful API:
- Ověření identity a kontrola pravopisu, které zákazníkům umožňuje ověřit identitu koncových uživatelů
- Řízení přístupu na základě role, které koncovým uživatelům umožňuje podrobné řízení přístupu
- Zabezpečený hybridní přístup k místní aplikaci, která koncovým uživatelům umožňuje přístup k místním a starším aplikacím pomocí moderních ověřovacích protokolů
- Ochrana před podvody, která zákazníkům umožňuje chránit své aplikace a koncové uživatele před podvodnými pokusy o přihlášení a útoky robotů
Firewall webových aplikací
Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Active Directory B2C umožňuje nezávislým dodavatelům softwaru integrovat svou službu WAF tak, aby veškerý provoz do vlastních domén Azure Active Directory B2C (například login.contoso.com) vždy prošel službou WAF a poskytoval další vrstvu zabezpečení.
Implementace řešení WAF vyžaduje, abyste nakonfigurovali vlastní domény Azure Active Directory B2C. V našem kurzu si můžete přečíst, jak to udělat při povolování vlastních domén. Můžete se také podívat na stávající partnery, kteří vytvořili řešení WAF, která se integrují s Azure Active Directory B2C.