Integrace identit

Identita je klíčovou řídicí rovinou pro správu přístupu na moderním pracovišti a je nezbytná pro implementaci nulové důvěryhodnosti. Řešení identit podporují nulový vztah důvěryhodnosti prostřednictvím silných zásad ověřování a přístupu, nejnižšího privilegovaného přístupu s podrobným oprávněním a přístupem a kontrol a zásad, které spravují přístup k zabezpečeným prostředkům a minimalizují poloměr výbuchu útoků.

Tento průvodce integrací vysvětluje, jak nezávislí dodavatelé softwaru (ISV) a technologickí partneři můžou integrovat s Azure Active Directory za účelem vytvoření zabezpečených řešení nulové důvěryhodnosti pro zákazníky.

Průvodce integrací nulové důvěryhodnosti identit

Tento průvodce integrací se zabývá Službou Azure Active Directory a Azure Active Directory B2C.

Azure Active Directory je cloudová služba microsoftu pro správu identit a přístupu. Poskytuje jednotné přihlašování, podmíněný přístup, bez hesla a vícefaktorové ověřování, automatizované zřizování uživatelů a mnoho dalších funkcí, které podnikům umožňují chránit a automatizovat procesy identit ve velkém měřítku.

Azure Active Directory B2C je řešení pro správu přístupu identit zákazníků (CIAM), které zákazníci používají k implementaci zabezpečených řešení ověřování white-label, která se snadno škálují a prolínají s branded webovou a mobilní aplikací. Pokyny k integraci jsou k dispozici v části Azure Active Directory B2C .

Azure Active Directory

Řešení můžete integrovat s Azure Active Directory mnoha způsoby. Základní integrace se týkají ochrany zákazníků pomocí integrovaných funkcí zabezpečení Azure Active Directory. Pokročilé integrace povedou vaše řešení o krok dál s rozšířenými možnostmi zabezpečení.

A curved path showing the foundational and advanced integrations. Foundational integrations include single sign-on and publisher verification. Advanced integrations include conditional access authentication context, continuous access evaluation, and advanced security API integrations.

Základní integrace

Základní integrace chrání vaše zákazníky pomocí integrovaných funkcí zabezpečení Azure Active Directory.

Povolení ověřování jednotného přihlašování a vydavatele

Pokud chcete povolit jednotné přihlašování, doporučujeme aplikaci publikovat v galerii aplikací. Tím se zvýší důvěryhodnost zákazníků, protože vědí, že vaše aplikace byla ověřená jako kompatibilní se službou Azure Active Directory, a můžete se stát ověřeným vydavatelem , aby si zákazníci byli jistí, že jste vydavatelem aplikace, kterou přidávají do svého tenanta.

Publikování v galerii aplikací usnadňuje správcům IT integraci řešení do svého tenanta s automatizovanou registrací aplikací. Ruční registrace jsou běžnou příčinou problémů s podporou aplikací. Přidáním aplikace do galerie se těmto problémům s vaší aplikací zabráníte.

Pro mobilní aplikace doporučujeme použít knihovnu ověřování Microsoftu a systémový prohlížeč k implementaci jednotného přihlašování.

Integrace zřizování uživatelů

Správa identit a přístupu pro organizace s tisíci uživatelů je náročná. Pokud vaše řešení bude používat velké organizace, zvažte synchronizaci informací o uživatelích a přístupu mezi vaší aplikací a Službou Azure Active Directory. To pomáhá zajistit konzistentní přístup uživatelů při výskytu změn.

SCIM (System for Cross-Domain Identity Management) je otevřený standard pro výměnu informací o identitě uživatele. Rozhraní API pro správu uživatelů SCIM můžete použít k automatickému zřizování uživatelů a skupin mezi vaší aplikací a Službou Azure Active Directory.

Náš kurz k tématu, vývoj koncového bodu SCIM pro zřizování uživatelů pro aplikace z Azure Active Directory, popisuje, jak vytvořit koncový bod SCIM a integrovat se službou zřizování Azure Active Directory.

Pokročilé integrace

Pokročilá integrace zvýší zabezpečení vaší aplikace ještě dál.

Kontext ověřování podmíněného přístupu

Kontext ověřování podmíněného přístupu umožňuje aplikacím aktivovat vynucení zásad, když uživatel přistupuje k citlivým datům nebo akcím, což uživatelům zajišťuje vyšší produktivitu a zabezpečení citlivých prostředků.

Nepřetržité vyhodnocování přístupu

Průběžné vyhodnocování přístupu (CAE) umožňuje odvolat přístupové tokeny na základě kritických událostí a vyhodnocení zásad, a ne spoléhat se na vypršení platnosti tokenu na základě životnosti. U některých rozhraní API prostředků, protože rizika a zásady se vyhodnocují v reálném čase, může to zvýšit životnost tokenů až 28 hodin, což způsobí, že vaše aplikace bude odolnější a výkonnější.

Rozhraní API zabezpečení

V naší zkušenosti mnoho nezávislých dodavatelů softwaru zjistilo, že tato rozhraní API jsou obzvláště užitečná.

Uživatelská a skupinová rozhraní API

Pokud vaše aplikace potřebuje aktualizovat uživatele a skupiny v tenantovi, můžete pomocí rozhraní API uživatelů a skupin prostřednictvím Microsoft Graphu zapisovat zpět do tenanta Azure Active Directory. Další informace o používání rozhraní API najdete v referenčních informacích k rozhraní REST API microsoft Graphu verze 1.0 a referenční dokumentaci k typu prostředku uživatele.

Rozhraní API podmíněného přístupu

Podmíněný přístup je klíčovou součástí nulové důvěryhodnosti, protože pomáhá zajistit, aby správný uživatel měl správný přístup ke správným prostředkům. Povolení podmíněného přístupu umožňuje službě Azure Active Directory rozhodovat o přístupu na základě počítaných rizik a předem nakonfigurovaných zásad.

Nezávislí dodavatelé softwaru můžou využívat podmíněný přístup tak, že si v případě relevantních možností použijí zásady podmíněného přístupu. Pokud je například uživatel obzvláště rizikový, můžete zákazníkovi navrhnout povolení podmíněného přístupu pro daného uživatele prostřednictvím uživatelského rozhraní a programově ho povolit v Azure Active Directory.

Diagram showing a user using an application, which then calls Azure Active Directory to set conditions for a conditional access policy based on the user activity.

Další informace najdete v konfiguraci zásad podmíněného přístupu pomocí ukázky rozhraní Microsoft Graph API na GitHubu.

Potvrzení ohrožení zabezpečení a rizikových uživatelských rozhraní API

Někdy můžou nezávislí dodavatelé softwaru vědět o ohrožení, které je mimo rozsah služby Azure Active Directory. U všech událostí zabezpečení, zejména těch, které zahrnují ohrožení zabezpečení, může Microsoft a nezávislý dodavatel softwaru spolupracovat sdílením informací od obou stran. Potvrzení ohrožení zabezpečení rozhraní API umožňuje nastavit úroveň rizika cílového uživatele na vysokou. To umožňuje službě Azure Active Directory správně reagovat, například tím, že vyžaduje, aby uživatel znovu provedl ověření nebo omezil přístup k citlivým datům.

Diagram showing a user using an application, which then calls Azure Active Directory to set user risk level to high.

Azure Active Directory průběžně vyhodnocuje riziko uživatelů na základě různých signálů a strojového učení. Rozhraní API rizikových uživatelů poskytuje programový přístup všem rizikovým uživatelům v tenantovi Azure Active Directory aplikace. Nezávislí dodavatelé softwaru mohou využít toto rozhraní API, aby zajistili, že zpracovávají uživatele odpovídajícím způsobem na aktuální úroveň rizika. rizikový typ prostředkuUser.

Diagram showing a user using an application, which then calls Azure Active Directory to retrieve the user's risk level.

Jedinečné scénáře produktů

Následující pokyny jsou určené pro nezávislé dodavatele softwaru, kteří nabízejí konkrétní typy řešení.

Zabezpečení integrace hybridního přístupu Mnoho obchodních aplikací bylo vytvořeno pro práci uvnitř chráněné podnikové sítě a některé z těchto aplikací využívají starší metody ověřování. Vzhledem k tomu, že společnosti hledají strategii nulové důvěryhodnosti a podporují hybridní a cloudová pracovní prostředí, potřebují řešení, která připojují aplikace k Azure Active Directory a poskytují moderní řešení ověřování pro starší verze aplikací. Pomocí této příručky můžete vytvářet řešení, která poskytují moderní cloudové ověřování pro starší místní aplikace.

Staňte se dodavatelem klíče zabezpečení kompatibilního s Rozhraním FIDO2 kompatibilním s Microsoftem Klíče zabezpečení FIDO2 můžou nahradit slabé přihlašovací údaje silnými přihlašovacími údaji s veřejnými nebo privátními klíči, které nelze opakovaně používat, přehrát nebo sdílet napříč službami. Podle postupu v tomto dokumentu se můžete stát dodavatelem klíče zabezpečení kompatibilního s Technologií FIDO2 kompatibilním s Microsoftem.

Azure Active Directory B2C

Azure Active Directory B2C je řešení pro správu identit a přístupu zákazníků (CIAM) schopné podporovat miliony uživatelů a miliard ověřování za den. Jedná se o řešení ověřování white-label, které umožňuje uživatelské prostředí, které se sloučují s branded webem a mobilními aplikacemi.

Stejně jako u Azure Active Directory můžou partneři integrovat s Azure Active Directory B2C pomocí rozhraní Microsoft Graph a klíčových rozhraní API zabezpečení, jako jsou podmíněný přístup, potvrdit ohrožení zabezpečení a riziková uživatelská rozhraní API. Další informace o těchto integracích najdete v části Azure AD výše.

Tato část obsahuje několik dalších příležitostí pro integraci, které můžou podporovat nezávislí partneři dodavatelů softwaru.

Poznámka

Důrazně doporučujeme zákazníkům, kteří používají Azure Active Directory B2C (a řešení integrovaná s ní), aktivovat službu Identity Protection a podmíněný přístup v Azure Active Directory B2C.

Integrace s koncovými body RESTful

Nezávislí dodavatelé softwaru můžou svá řešení integrovat prostřednictvím koncových bodů RESTful, aby umožnili vícefaktorové ověřování (MFA) a řízení přístupu na základě rolí (RBAC), povolovali ověřování identit a kontrolu pravopisu, zlepšili zabezpečení s využitím detekce robotů a ochrany před podvody a splnili požadavky na zabezpečené ověřování zákazníků (PSD2) 2 (PSD2) Zabezpečené ověřování zákazníků (SCA).

Máme pokyny k používání koncových bodů RESTful a podrobných ukázkových návodů partnerů, kteří integrovali rozhraní RESTful API:

Firewall webových aplikací

Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Active Directory B2C umožňuje nezávislým dodavatelům softwaru integrovat svou službu WAF tak, aby veškerý provoz do vlastních domén Azure Active Directory B2C (například login.contoso.com) vždy prošel službou WAF a poskytoval další vrstvu zabezpečení.

Implementace řešení WAF vyžaduje konfiguraci vlastních domén Azure Active Directory B2C. V našem kurzu si můžete přečíst, jak to udělat při povolování vlastních domén. Můžete se také podívat na stávající partnery, kteří vytvořili řešení WAF, která se integrují s Azure Active Directory B2C.

Další kroky