Интеграции идентификаций
Удостоверение является ключевым уровнем управления для управления доступом на современном рабочем месте и является важным для реализации нулевого доверия. Решения для удостоверений поддерживают нулевое доверие с помощью политик сильной аутентификации и доступа, доступа с минимальными привилегиями с детализированными разрешениями и доступом, а также контролей и политик, которые управляют доступом к защищенным ресурсам и минимизировать радиус поражения атак.
В этом руководстве по интеграции объясняется, как независимые поставщики программного обеспечения и партнеры по технологиям могут интегрироваться с идентификатором Microsoft Entra для создания безопасных решений нулевого доверия для клиентов.
Руководство по интеграции удостоверений нулевого доверия
Это руководство по интеграции охватывает идентификатор Microsoft Entra, а также Azure Active Directory B2C.
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. Она обеспечивает проверку подлинности единого входа, условный доступ, без пароля и многофакторную проверку подлинности, автоматическую подготовку пользователей и множество других функций, позволяющих предприятиям защищать и автоматизировать процессы идентификации в масштабе.
Azure Active Directory B2C — это решение для управления доступом к удостоверениям клиентов (CIAM), которое клиенты используют для реализации безопасных решений проверки подлинности с белой меткой, которые легко масштабируются и смешиваются с фирменными веб-приложениями и мобильными приложениями. Руководство по интеграции доступно в разделе Azure Active Directory B2C.
Идентификатор Microsoft Entra
Существует множество способов интеграции решения с идентификатором Microsoft Entra. Базовые интеграции предназначены для защиты клиентов с помощью встроенных возможностей безопасности Идентификатора Microsoft Entra. Расширенные интеграции помогут вам сделать решение еще одним шагом с расширенными возможностями безопасности.
Базовые интеграции
Базовые интеграции защищают клиентов с помощью встроенных возможностей безопасности Идентификатора Microsoft Entra.
Включить единый вход и проверку издателя.
Чтобы включить единый вход, рекомендуется опубликовать приложение в галерее приложений. Это повысит уверенность клиентов, так как они знают, что ваше приложение признано совместимым с Microsoft Entra ID, и вы можете стать проверенным издателем, чтобы клиенты были уверены, что именно вы публикуете приложение, которое они добавляют в свой клиент.
Публикация в галерее приложений позволит ИТ-админам легко интегрировать решение в клиент с автоматической регистрацией приложений. Регистрация вручную является распространенной причиной проблем с поддержкой приложений. Добавление приложения в коллекцию позволит избежать этих проблем с приложением.
Для мобильных приложений мы рекомендуем использовать Библиотеку аутентификации Microsoft и системный браузер для реализации единого входа.
Интеграция подготовки пользователей
Управлять удостоверениями личности и доступом в организациях с тысячами пользователей сложно. Если решение будет использоваться крупными организациями, рассмотрите возможность синхронизации сведений о пользователях и доступе между приложением и идентификатором Microsoft Entra. Это помогает обеспечить согласованность доступа пользователей при изменении.
SCIM (Система управления идентификацией между доменами) — это открытый стандарт для обмена сведениями о пользовательских идентификациях. API управления пользователями SCIM можно использовать для автоматического назначения пользователей и групп между вашим приложением и Microsoft Entra ID.
В нашем руководстве по теме разработка конечной точки SCIM для предоставления пользователей приложениям из Microsoft Entra IDописывается, как создать конечную точку SCIM и интегрировать её со службой предоставления Microsoft Entra.
Расширенные интеграции
Расширенные интеграции еще больше повышают безопасность приложения.
Контекст проверки подлинности условного доступа
контекст проверки подлинности условного доступа позволяет приложениям активировать применение политик, когда пользователь обращается к конфиденциальным данным или действиям, обеспечивая пользователям более продуктивную работу и защиту конфиденциальных ресурсов.
Оценка непрерывного доступа
Непрерывная оценка доступа (CAE) позволяет аннулировать токены доступа на основании критических событий и оценки политики, а не полагаться на истечение срока токена, определенное временем жизни. Для некоторых ресурсных API, так как риск и политики оцениваются в режиме реального времени, это может увеличить время действия токена до 28 часов, что сделает ваше приложение более надежным и производительным.
API безопасности
В нашем опыте многие независимые поставщики программного обеспечения обнаружили, что эти API особенно полезны.
API пользователей и групп
Если приложению необходимо обновить пользователей и групп в клиенте, можно использовать API пользователей и групп с помощью Microsoft Graph для записи обратно в клиент Microsoft Entra. Дополнительные сведения об использовании API см. в справочнике по REST API Microsoft Graph версии 1.0 и справочной документации по типу ресурса пользователя
API условного доступа
Условный доступ является ключевой частью нулевого доверия, так как он помогает обеспечить, чтобы у правильного пользователя был правильный доступ к нужным ресурсам. Включение условного доступа позволяет идентификатору Microsoft Entra принимать решение о доступе на основе вычисляемых рисков и предварительно настроенных политик.
Независимые поставщики программного обеспечения могут воспользоваться условным доступом, используя возможность применения политик условного доступа при необходимости. Например, если пользователь особенно рискованный, вы можете предложить клиенту включить условный доступ для этого пользователя через пользовательский интерфейс и программно включить его в идентификаторе Microsoft Entra.
Больше информации вы найдете в примере настройки политик условного доступа через API Microsoft Graph на сайте GitHub.
Подтверждение компрометации безопасности и рискованных пользовательских API-интерфейсов
Иногда независимые поставщики программного обеспечения могут знать о компрометации, которая находится за пределами области идентификатора Microsoft Entra. Для любого события безопасности, особенно тех, которые связаны с компрометацией учетных записей, корпорация Майкрософт и независимый поставщик программного обеспечения могут сотрудничать, обмениваясь информацией от обеих сторон. подтвердить API компрометации позволяет установить высокий уровень риска целевого пользователя. Это позволяет идентификатору Microsoft Entra отвечать соответствующим образом, например, требуя от пользователя повторной проверки подлинности или путем ограничения доступа к конфиденциальным данным.
В другом направлении идентификатор Microsoft Entra ID постоянно оценивает риск пользователей на основе различных сигналов и машинного обучения. API рискованных пользователей предоставляет программный доступ ко всем пользователям, находящимся под угрозой, в клиенте Microsoft Entra данного приложения. Независимые поставщики программного обеспечения могут использовать этот API, чтобы гарантировать, что они обрабатывают пользователей соответствующим образом для их текущего уровня риска. riskyUser тип ресурса.
Уникальные сценарии продуктов
Ниже приведены рекомендации для независимых поставщиков программного обеспечения, которые предлагают конкретные типы решений.
Интеграции безопасного гибридного доступа Многие бизнес-приложения разработаны для работы в защищенной корпоративной сети, и часть этих приложений использует устаревшие методы аутентификации. Поскольку компании хотят создать стратегию нулевого доверия и поддерживать гибридные и облачные рабочие среды, им нужны решения, которые подключают приложения к идентификатору Microsoft Entra ID и предоставляют современные решения проверки подлинности для устаревших приложений. Используйте это руководство для создания решений, которые обеспечивают современную облачную проверку подлинности для устаревших локальных приложений.
Стать поставщиком ключей безопасности, совместимым с Майкрософт, ключи безопасности FIDO2 могут заменить слабые учетные данные строгими учетными данными открытого и закрытого ключа, которые нельзя повторно использовать, воспроизводить или совместно использовать между службами. Вы можете стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2, следуя процессу в этом документе.
Azure Active Directory B2C
Azure Active Directory B2C — это решение для управления удостоверениями клиентов и доступом (CIAM), которое может поддерживать миллионы пользователей и миллиарды проверок подлинности в день. Это решение для аутентификации с белой этикеткой, которое обеспечивает интеграцию пользовательского опыта с фирменными веб- и мобильными приложениями.
Как и с Microsoft Entra ID, партнеры могут интегрироваться с Azure Active Directory B2C с помощью Microsoft Graph и ключевых API безопасности, таких как API условного доступа, подтверждения компрометации и рискованных пользователей. Дополнительные сведения об этих интеграциях см. в разделе Microsoft Entra ID выше.
Этот раздел содержит несколько других возможностей интеграции, которые могут поддерживать партнеры независимых поставщиков программного обеспечения.
Заметка
Мы настоятельно рекомендуем клиентам использовать Azure Active Directory B2C (и решения, интегрированные с ним), активировать защиту идентификации и условный доступ в Azure Active Directory B2C.
Интеграция с конечными точками RESTful
Независимые поставщики программного обеспечения могут интегрировать свои решения с помощью конечных точек RESTful, чтобы обеспечить многофакторную проверку подлинности (MFA) и управление доступом на основе ролей (RBAC), включить проверку идентификации и проверку подлинности, повысить безопасность с помощью обнаружения ботов и защиты от мошенничества, а также обеспечить соответствие требованиям директивы 2 (PSD2) Secure Customer Authentication (SCA).
У нас есть рекомендации по использованию наших конечных точек RESTful, а также подробные примеры партнеров, которые интегрировали свои системы с помощью API RESTful:
- Проверка личности и удостоверение личности, которая позволяет клиентам подтверждать личность своих конечных пользователей.
- управление доступом на основе ролей, которое обеспечивает тонкий контроль доступа для конечных пользователей
- безопасный гибридный доступ к локальному приложению, что позволяет конечным пользователям получать доступ к локальным и устаревшим приложениям с помощью современных протоколов проверки подлинности.
- защиту от мошенничества, которая позволяет клиентам защищать свои приложения и конечных пользователей от мошеннических попыток входа и атак ботов
Брандмауэр для веб-приложений
Брандмауэр веб-приложений (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. Azure Active Directory B2C позволяет независимым поставщикам программного обеспечения интегрировать свою службу WAF, чтобы весь трафик в пользовательские домены Azure Active Directory B2C (например, login.contoso.com) всегда проходил через службу WAF, обеспечивая дополнительный уровень безопасности.
Реализация решения WAF требует настройки пользовательских доменов Azure Active Directory B2C. Вы можете прочитать об этом в нашем руководстве по включению пользовательских доменов. Вы также можете увидеть существующих партнеров, которые создали решения WAF, которые интегрируются с Azure Active Directory B2C.