共用方式為


身分識別整合

身分識別是管理新式工作場所存取的關鍵控制平面,對於實作零信任至關重要。 身分識別解決方案透過強身份驗證和存取政策來支援零信任,實現細緻化權限和存取的最低權限模型,並採用控制措施和政策來管理對安全資源的存取,將攻擊影響範圍降到最低。

本整合指南說明獨立軟體供應商(ISV)和技術合作夥伴如何與Microsoft Entra ID整合,為客戶建立安全的零信任解決方案。

零信任身分識別整合指南

本整合指南涵蓋Microsoft Entra ID 以及 Azure Active Directory B2C。

Microsoft Entra 識別碼是Microsoft雲端式身分識別和存取管理服務。 它提供單一登錄驗證、條件式存取、無密碼和多重要素驗證、自動化使用者布建,以及許多其他功能,可讓企業大規模保護和自動化身分識別程式。

Azure Active Directory B2C 是企業對客戶身分識別存取管理 (CIAM) 解決方案,客戶會用來實作安全白標籤驗證解決方案,以輕鬆調整規模,並與品牌 Web 和行動應用程式體驗混合。 在 Azure Active Directory B2C 一節中可以找到整合指引。

Microsoft Entra ID

有許多方式可將解決方案與 Microsoft Entra ID 整合。 基礎整合是關於使用 Microsoft Entra ID 的內建安全性功能來保護您的客戶。 進階整合會將解決方案進一步提升安全性功能。

顯示基礎和進階整合的弧形路徑。基礎整合包括單一登錄和發行者驗證。進階整合包括條件式存取驗證內容、持續存取評估,以及進階安全性 API 整合。

基礎整合

Microsoft Entra ID 的基礎整合及其內建的安全功能可保護您的客戶。

啟用單一登錄和發行者驗證

若要啟用單一登入,建議您將您的應用程式發佈在應用程式資源庫 。 這會增加客戶信任,因為他們知道您的應用程式已驗證為與 Microsoft Entra 識別符相容,而且您可以成為 已驗證的發行者,讓客戶確定您是他們新增至其租使用者之應用程式的發行者。

在應用程式畫廊中發佈將使 IT 管理員能輕鬆地透過自動化的應用程式註冊,將解決方案整合到其租戶中。 手動註冊是應用程式支援問題的常見原因。 將您的應用程式新增至資源庫將可避免您的應用程式發生這些問題。

針對行動應用程式,建議您使用 Microsoft 驗證連結庫和系統瀏覽器來 實作單一登入

整合使用者配置

管理具有數千個使用者之組織的身分識別和存取是一項挑戰。 如果您的解決方案將由大型組織使用,請考慮同步應用程式與 Microsoft Entra ID 之間的使用者和存取資訊。 這有助於在發生變更時保持使用者存取一致。

SCIM(跨網域身分識別管理系統)是交換使用者身分識別資訊的開放標準。 您可以使用 SCIM 使用者管理 API,在您的應用程式與 Microsoft Entra 識別碼之間自動佈建使用者和群組。

我們的主題教學課程 開發 SCIM 端點,以從 Microsoft Entra ID將使用者布建至應用程式,說明如何建置 SCIM 端點,並與 Microsoft Entra 布建服務整合。

進階整合

進階整合可進一步提升應用程式的安全性。

條件式存取驗證內容

條件式存取驗證內容 可讓應用程式在使用者存取敏感數據或動作時觸發原則強制執行,讓使用者更有生產力,並保護您的敏感性資源。

持續存取評估

持續存取評估 (CAE) 允許根據重大事件和原則評估來撤銷存取令牌,而不是依賴以存留期為基礎的令牌到期。 針對某些資源 API,因為風險和原則會實時評估,這可增加令牌存留期,最多 28 小時,讓您的應用程式更具復原性和效能。

安全 API

在我們的經驗中,許多獨立軟體廠商發現這些 API 特別有用。

使用者和群組 API

如果您的應用程式需要更新租戶中的使用者和群組,您可以透過 Microsoft Graph 使用使用者和群組 API 來寫回至 Microsoft Entra 租戶。 您可以在 Microsoft Graph REST API v1.0 參考文件使用者資源類型的參考文件中,深入瞭解如何使用 API

條件式存取 API

條件式存取 是零信任的關鍵部分,因為它有助於確保正確的使用者具有正確的資源存取權。 啟用條件式存取可讓Microsoft Entra ID 根據計算風險和預先設定的原則做出存取決策。

獨立軟體廠商可以藉由提供在適當時機套用條件式存取原則的選項來利用條件式存取。 例如,如果用戶特別有風險,您可以建議客戶透過UI為該使用者啟用條件式存取,並以程序設計方式在 Microsoft Entra ID 中啟用它。

圖表顯示使用應用程式的使用者,然後呼叫 Microsoft Entra ID,以根據用戶活動設定條件式存取原則的條件。

如需詳細資訊,請參閱使用 GitHub 上的 Microsoft Graph API 範例來設定條件式存取原則

確認妥協情況和有風險的使用者 API

有時候,獨立軟體廠商可能會發現超出 Microsoft Entra ID 範圍的入侵。 對於任何安全性事件,尤其是涉及帳戶入侵的事件,Microsoft 可以與獨立軟體廠商透過共用雙方的資訊共同合作。 確認入侵 API 可讓您將目標用戶的風險層級設定為高。 這可讓Microsoft Entra ID 適當地回應,例如要求使用者重新驗證或限制其敏感數據的存取權。

往另一個方向前進,Microsoft Entra ID 會根據各種訊號和機器學習持續評估用戶風險。 Risky User API 提供程式化存取應用程式中 Microsoft Entra 租戶的所有高風險使用者。 獨立軟體廠商可以使用此 API 來確保他們已適當地將用戶處理到其目前的風險層級。 riskyUser 資源類型

圖表顯示使用應用程式的用戶,然後呼叫 Microsoft Entra ID 來擷取使用者的風險層級。

獨特的産品案例

下列指引適用於提供特定解決方案類型的獨立軟體廠商。

許多商務應用程式建立安全混合式存取整合,以在受保護的公司網路內運作,其中一些應用程式會使用舊版驗證方法。 當公司想要建置零信任策略並支援混合式和雲端優先工作環境時,他們需要將應用程式連線到Microsoft Entra ID 的解決方案,併為舊版應用程式提供新式驗證解決方案。 使用本指南來建立為舊版內部部署應用程式提供新式雲端驗證的解決方案。

成為Microsoft相容的 FIDO2 安全性密鑰廠商, FIDO2 安全性密鑰,可以將弱式認證取代為強硬體支援的公用/私鑰認證,而這些認證無法跨服務重複使用、重新執行或共用。 您可以遵循本檔中的程式,成為Microsoft相容的 FIDO2 安全性密鑰廠商。

Azure Active Directory B2C

Azure Active Directory B2C 是客戶身分識別和存取管理 (CIAM) 解決方案,每天可支援數百萬個使用者和數十億個驗證。 這是一種白標籤驗證解決方案,可讓用戶體驗與品牌 Web 和行動應用程式混合。

如同 Microsoft Entra ID,合作夥伴可以使用 Microsoft Graph 和主要安全性 API,例如條件式存取、確認遭到入侵和具風險的使用者 API,與 Azure Active Directory B2C 進行整合。 您可以在上述Microsoft Entra ID 一節中深入了解這些整合。

本節包含數個其他整合機會,獨立軟體廠商合作夥伴可以支援。

注意

強烈建議使用與 Azure Active Directory B2C 整合的解決方案的客戶,在 Azure Active Directory B2C中啟用 Identity Protection 和條件式存取。

與 RESTful 端點整合

獨立軟體廠商可以透過 RESTful 端點整合其解決方案,以啟用多重要素驗證 (MFA) 和角色型存取控制 (RBAC)、啟用身分識別驗證和校訂、使用 Bot 偵測和詐騙保護來改善安全性,以及符合付款服務指示詞 2 (PSD2) 安全客戶驗證 (SCA) 需求。

我們有 關於如何使用我們的 RESTful 端點的指引,還有關於已使用 RESTful API 進行整合的合作夥伴的詳細逐步範例解說:

Web 應用程式防火牆

Web 應用程式防火牆 (WAF) 為 Web 應用程式提供集中式保護,防止常見的惡意探索和弱點。 Azure Active Directory B2C 可讓獨立軟體廠商整合其 WAF 服務,讓所有流量都流向 Azure Active Directory B2C 自定義網域(例如,login.contoso.com)一律通過 WAF 服務,以提供額外的安全性層。

實作 WAF 解決方案需要您設定 Azure Active Directory B2C 自定義網域。 您可以在我們的 教學課程中瞭解如何啟用自訂網域。 您也可以 查看已建立與 Azure Active Directory B2C整合的 WAF 解決方案的現有合作夥伴。

後續步驟

  • 什麼是Microsoft Entra ID?
  • 適用於 Azure Active Directory B2C 的 合作夥伴資源庫
  • 適用於 Azure Active Directory B2C 的 Identity Protection 和條件式存取