Integrações de identidade
A identidade é o principal plano de controle para gerenciar o acesso no local de trabalho moderno e é essencial para a implementação da Confiança Zero. As soluções de identidade oferecem suporte para Confiança Zero por meio de políticas sólidas de autenticação e acesso, acesso com privilégios mínimos com permissão e acesso granulares, além de controles e políticas que gerenciam o acesso a recursos seguros e minimizam o raio de ação dos ataques.
Este guia de integração explica como os ISVs (fornecedores independentes de software) e parceiros de tecnologias podem se integrar ao Microsoft Entra ID para criar soluções seguras de Confiança Zero para os clientes.
Guia de integração da Confiança Zero para Identidade
Este guia de integração abrange o Microsoft Entra ID, bem como o Azure Active Directory B2C.
O Microsoft Entra ID é a solução de gerenciamento de identidade e acesso baseada em nuvem da Microsoft. Ele fornece autenticação de logon único, acesso condicional, autenticação multifator e sem senha, provisionamento automatizado de usuários e muitos outros recursos, que permitem que as empresas protejam e automatizem processos de identidade em escala.
O Azure Active Directory B2C é uma solução de Gerenciamento de Identidades e Acesso (CIAM) de empresa para cliente que os clientes usam para implementar soluções de autenticação seguras que são escaladas facilmente e se combinam com experiências de aplicativos móveis e aplicativos Web com identidade visual. As diretrizes de integração estão disponíveis na seção Azure Active Directory B2C.
Microsoft Entra ID
Há muitas maneiras de integrar sua solução com o Microsoft Entra ID. As integrações fundamentais tratam de proteger seus clientes usando as funcionalidades internas de segurança do Microsoft Entra ID. Com as integrações avançadas, sua solução dará um passo adiante com as funcionalidades de segurança aprimoradas.
Integrações fundamentais
As integrações fundamentais protegem seus clientes com as funcionalidades internas de segurança do Microsoft Entra ID.
Habilitar o logon único e a verificação do editor
Para habilitar o logon único, recomendamos publicar seu aplicativo na galeria de aplicativos. Isso aumentará a confiança do cliente, porque ele saberá que o seu aplicativo foi validado como compatível com o Microsoft Entra ID, e você poderá se tornar um editor verificado, ou seja, os clientes têm a certeza de que você é o editor do aplicativo que eles estão adicionando ao locatário deles.
A publicação na galeria de aplicativos facilitará para os administradores de TI integrar a solução ao locatário com o registro de aplicativo automatizado. Registros manuais são uma causa comum de problemas de suporte com aplicativos. Adicionar seu aplicativo à galeria evitará esses problemas com seu aplicativo.
Para aplicativos móveis, recomendamos utilizar a Biblioteca de Autenticação da Microsoft e um navegador do sistema para implementar o logon único.
Integrar o provisionamento de usuários
O gerenciamento de identidades e o acesso para organizações com milhares de usuários é desafiador. Se a sua solução é usada por grandes organizações, considere a possibilidade de sincronizar informações sobre usuários e acesso entre seu aplicativo e o Microsoft Entra ID. Isso ajuda a manter o acesso do usuário consistente quando ocorrem alterações.
O SCIM (System for Cross-Domain Identity Management) é um padrão aberto para trocar informações de identidade do usuário. Você pode usar a API de gerenciamento de usuários do SCIM para provisionar automaticamente usuários e grupos entre seu aplicativo e o Microsoft Entra ID.
Nosso tutorial sobre o assunto, desenvolver um ponto de extremidade SCIM para provisionamento de usuários para aplicativos no Microsoft Entra ID, descreve como criar um ponto de extremidade SCIM e integrar-se ao serviço de provisionamento do Microsoft Entra.
Integrações avançadas
Integrações avançadas aumentarão ainda mais a segurança do aplicativo.
Contexto de autenticação de Acesso Condicional
O contexto de autenticação de Acesso Condicional permite que aplicativos acionem a imposição de políticas quando um usuário acessa dados ou ações confidenciais, mantendo os usuários mais produtivos e seus recursos confidenciais protegidos.
Avaliação contínua de acesso
A CAE (Avaliação Contínua de Acesso) permite que tokens de acesso sejam revogados com base em eventos críticos e na avaliação da política, em vez de depender da expiração do token com base no tempo de vida. Para algumas APIs de recursos, como o risco e a política são avaliados em tempo real, isso pode aumentar o tempo de vida do token em até 28 horas., o que tornará seu aplicativo mais resiliente e eficiente.
APIs de segurança
Pela nossa experiência, muitos fornecedores independentes de software acharam essas APIs particularmente úteis.
APIs de usuário e grupo
Se seu aplicativo precisar fazer atualizações para os usuários e os grupos no locatário, você poderá usar as APIs de Usuário e Grupo por meio do Microsoft Graph para fazer write-back no locatário do Microsoft Entra. Você pode ler mais sobre como usar a API na referência da API REST do Microsoft Graph v1.0 na documentação de referência do tipo de recurso de usuário
API de acesso condicional
O acesso condicional é uma parte fundamental da Confiança Zero porque ajuda a garantir que o usuário certo tenha o acesso certo aos recursos certos. Habilitar o acesso condicional permite ao Microsoft Entra ID tomar decisões de acesso com base no risco calculado e em políticas pré-configuradas.
Os fornecedores independentes de software podem aproveitar o acesso condicional detectando a opção de aplicar políticas de acesso condicional quando relevantes. Por exemplo, se um usuário for especialmente arriscado, você poderá sugerir que o cliente habilite o Acesso Condicional para esse usuário por meio da interface do usuário e habilitá-lo programaticamente no Microsoft Entra ID.
Para obter mais informações, confira a amostra Configurar políticas de acesso condicional usando a API do Microsoft Graph no GitHub.
Confirmar as APIs de usuário suspeito e comprometimento
Às vezes, fornecedores independentes de software podem tomar conhecimento de comprometimentos que estão fora do escopo do Microsoft Entra ID. Para qualquer evento de segurança, especialmente aqueles que incluem o comprometimento da conta, a Microsoft e o fornecedor independente de software podem colaborar compartilhando informações de ambas as partes. A API Confirmar comprometimento permite definir o nível de risco de um usuário almejado como alto. Isso permite que o Microsoft Entra ID responda adequadamente, por exemplo, exigindo que o usuário se autentique novamente ou restringindo seu acesso a dados confidenciais.
Indo na outra direção, o Microsoft Entra ID avalia continuamente o risco do usuário com base em vários sinais e aprendizado de máquina. A API de usuário suspeito fornece acesso programático a todos os usuários em risco no locatário do Microsoft Entra do aplicativo. Os fornecedores independentes de software podem usar essa API para garantir que estejam manipulando os usuários adequadamente para o nível de risco atual. tipo de recurso riskyUser.
Cenários de produtos exclusivos
A orientação a seguir é para fornecedores independentes de software que oferecem tipos específicos de soluções.
Integrações de acesso híbrido seguro: muitos aplicativos de negócios foram criados para funcionar dentro de uma rede corporativa protegida e alguns desses aplicativos usam métodos de autenticação herdados. À medida que as empresas buscam criar uma estratégia de Confiança Zero e dar suporte a ambientes de trabalho híbridos e de trabalho prioritário na nuvem, elas precisam de soluções que conectem aplicativos ao Microsoft Entra ID e forneçam soluções de autenticação modernas para aplicativos herdados. Use este guia para criar soluções que fornecem autenticação de nuvem moderna para aplicativos locais herdados.
Torne-se um fornecedor de chave de segurança FIDO2 compatível com a Microsoft: as chaves de segurança FIDO2 podem substituir credenciais fracas por credenciais de chave pública/privada com suporte de hardware forte que não podem ser reutilizadas, reproduzidas nem compartilhadas entre serviços. Você pode se tornar um fornecedor de chave de segurança FIDO2 compatível com a Microsoft seguindo o processo neste documento.
Azure Active Directory B2C
O Azure Active Directory B2C é uma solução de CIAM (gerenciamento de identidades e acesso do cliente) capaz de dar suporte a milhões de usuários e a bilhões de autenticações por dia. É uma solução de autenticação de rótulo branco que proporciona experiências do usuário que se combinam com aplicativos Web e móveis exclusivos.
Assim como acontece com o Microsoft Entra ID, os parceiros podem se integrar ao Azure Active Directory B2C usando o Microsoft Graph e as principais APIs de segurança, como o acesso condicional, confirmar o comprometimento e APIs de usuários suspeitos. É possível ler mais sobre essas integrações na seção do Microsoft Entra ID acima.
Ela inclui várias outras oportunidades de integração que parceiros fornecedores independentes de software podem aceitar.
Observação
É altamente recomendável que os clientes que usam o Azure Active Directory B2C (e as soluções integradas) ativem a Proteção de Identidade e o Acesso Condicional no Azure Active Directory B2C.
Integração aos pontos de extremidade RESTful
Os fornecedores independentes de software podem integrar soluções por meio de pontos de extremidade RESTful para habilitar a MFA (autenticação multifator) e o RBAC (controle de acesso baseado em função), permitir a verificação e a comprovação da identidade, aprimorar a segurança com a detecção de bot e a proteção contra fraudes e atender aos requisitos de SCA (Autenticação Segura do Cliente) da PSD2 (Diretiva de Serviços de Pagamento 2).
Temos diretrizes sobre como usar nossos pontos de extremidade RESTful, bem como passo a passos de exemplos detalhados de parceiros que se integraram usando as APIs RESTful:
- Verificação e comprovação da identidade, que permite que os clientes verifiquem a identidade dos usuários finais
- Controle de acesso baseado em função, que permite o controle de acesso granular aos usuários finais
- Acesso híbrido seguro ao aplicativo local, que permite aos usuários finais acessar aplicativos locais e herdados com protocolos de autenticação modernos
- Proteção contra fraudes, que permite aos clientes proteger aplicativos e usuários finais contra tentativas de logon fraudulentas e ataques de bot
Firewall do aplicativo Web
O WAF (Firewall de Aplicativo Web) do Azure fornece proteção centralizada para aplicativos Web contra explorações e vulnerabilidades comuns. O Azure Active Directory B2C permite que fornecedores independentes de software integrem seu serviço WAF de forma que todo o tráfego para domínios personalizados do Azure Active Directory B2C (por exemplo, login.contoso.com) sempre passe pelo serviço WAF, proporcionando uma camada adicional de segurança.
A implementação de uma solução do WAF requer configurar domínios personalizados do Azure Active Directory B2C. Veja como fazer isso em nosso tutorial sobre como habilitar domínios personalizados. Você também pode ver parceiros existentes que criaram soluções do WAF que se integram ao Azure Active Directory B2C.