Identitätsintegrationen

Identitäten stehen für Personen, Dienste und Geräte sowie die Berechtigungen, die für den Zugriff auf geschützte Daten gewährt werden. Identitätslösungen sind die wichtigste Steuerungsebene für die Verwaltung des Zugriffs an einem modernen Arbeitsplatz und sind für die Zero Trust-Implementierung von grundlegender Bedeutung.

Mit Zero Trust-Identitätslösungen können Kunden eine explizite Überprüfung mit einer sicheren Authentifizierung und mit Zugriffsrichtlinien durchführen, die Option für den Zugriff mit geringstmöglichen Berechtigungen mit präzisen Einstellungen verwenden und den „Assume Breach“-Ansatz (Voraussetzung von Sicherheitsverletzungen) mit Kontrollen und Richtlinien nutzen, mit denen der Zugriff auf sichere Ressourcen verwaltet und der Umfang von Angriffen begrenzt wird.

Dieser Leitfaden richtet sich an Softwareanbieter und Technologiepartner, die ihre Lösungen zur Identitätssicherheit durch die Integration mit Microsoft-Produkten erweitern möchten.

Leitfaden zur Zero Trust-Integration für Identitäten

Dieser Leitfaden zur Integration enthält eine Anleitung für die Integration mit Azure Active Directory (Azure AD). Hierdurch können Unternehmen die Authentifizierung mit einmaligem Anmelden, bedingten Zugriff, kennwortlose und mehrstufige Authentifizierung, automatisierte Benutzerbereitstellung und viele weitere Features nutzen, um Identitätsprozesse im großen Stil zu schützen und zu automatisieren.

Die Anleitung in diesem Artikel ermöglicht Ihnen den Einstieg in die Integration mit Azure AD, um Ihr eigenes Produkt oder Ihren eigenen Dienst zu erweitern. Am Ende des Artikels finden Sie auch Links zu Anleitungen für erweiterte Integrationsszenarien.

Azure Active Directory

Azure Active Directory (Azure AD) ist der cloudbasierte Unternehmensidentitätsdienst von Microsoft. Dieser ermöglicht den bedingten Zugriff auf Ressourcen, indem eine Vielzahl von Eingabesignalen verwendet wird und die von der jeweiligen Organisation festgelegten Richtlinien erzwungen werden. Als unabhängiger Softwareanbieter (ISV) oder Technologiepartner können Sie eine Integration mit vielen Azure AD-Features durchführen, indem Sie Microsoft Graph und die Microsoft Identity Platform verwenden. Sie können auch Zugriff auf die Risikosignale erhalten, die von Azure AD berechnet werden, und Ihre eigenen Informationen wieder in das System einspeisen, um für alle Beteiligten die Umgebungssicherheit zu erhöhen.

Diagramm zur Zero Trust-Zugriffssteuerung: Azure Active Directory ist in der Mitte angeordnet und mit den Eingabesignalen von Partnern und anderen Microsoft-Produkten verbunden. Hier werden Entscheidungen zu Richtlinien getroffen, und dann wird der Zugriff auf Drittanbieter-SaaS-Apps und -Geräte direkt oder über andere Microsoft-Produkte zugelassen.

Darüber hinaus gibt es weitere Möglichkeiten, zusätzlich zu Azure AD einen Mehrwert zu schaffen, z. B. Ihre App im Azure AD-Katalog zu veröffentlichen oder genehmigter Hersteller kennwortloser Hardware zu werden.

Erste Schritte bei der Integration von Azure AD mit Ihrer App

Die moderne Bedrohungslandschaft ist komplex, und es gibt zahlreiche Integrationsoptionen, die bewertet werden müssen. Diese Anleitung ist als Startpunkt für alle ISVs gedacht, die die Integration mit Azure AD durchführen möchten, um die Identitätssicherheit zu verbessern.

Sie können diesen Abschnitt als Inspiration und Startpunkt verwenden. Im Mittelpunkt stehen die folgenden Anleitungen:

  • Anzeigen Ihrer App im Azure AD-App-Katalog
  • Integrieren der Benutzerbereitstellung
  • Integrieren in wichtige Sicherheits-APIs

Anschließend folgt eine Anleitung zu erweiterten Integrationsszenarien mit umfassenderen Integrationen für bestimmte Lösungen.

Das Veröffentlichen Ihrer App im App-Katalog erhöht das Vertrauen beim Kunden. Kunden wissen, dass Ihre Anwendung als kompatibel mit Azure Active Directory validiert wurde, und Sie können ein verifizierter Herausgeber werden, sodass Kunden sicher sind, dass Sie der Herausgeber der App sind, die sie ihrem Mandanten hinzufügen.

Darüber hinaus erleichtert die Veröffentlichung im App-Katalog IT-Administratoren die Integration der Lösung in ihren Mandanten mit der automatisierten App-Registrierung. Manuelle Registrierungen sind eine häufige Ursache für Supportprobleme bei Anwendungen. Wenn Sie Ihre App dem Katalog hinzufügen, werden diese Probleme mit Ihrer App vermieden.

Integrieren der Benutzerbereitstellung

Das Verwalten von Identitäten und des Zugriffs für Organisationen mit Tausenden von Benutzern ist eine Herausforderung. Wenn Ihre Lösung von großen Organisationen verwendet wird, ist das Synchronisieren von Benutzerinformationen und des Zugriffs zwischen Ihrer Anwendung und Azure AD von entscheidender Bedeutung. Auf diese Weise können Sie Ihre Identitätsverwaltungssysteme sowohl in reinen Cloudumgebungen als auch in Hybridumgebungen effektiv skalieren, wenn Kunden ihre Abhängigkeit von der Cloud erhöhen.

SCIM (System for Cross-Domain Identity Management) ist ein offener Standard für den Austausch von Benutzeridentitätsinformationen. Sie können die SCIM-Benutzerverwaltungs-API verwenden, um Benutzer und Gruppen automatisch zwischen Ihrer Anwendung und Azure AD bereitzustellen.

In unserem Tutorial zum Thema Entwickeln eines SCIM-Endpunkts für die Benutzerbereitstellung in Apps aus Azure AD wird beschrieben, wie Sie einen SCIM-Endpunkt erstellen und in den Azure AD-Bereitstellungsdienst integrieren. Die SCIM-Spezifikation bietet ein allgemeines Benutzerschema für die Bereitstellung. Bei der Verwendung mit Verbundstandards wie SAML oder OpenID Connect bietet SCIM Administratoren eine auf Standards basierende End-to-End-Lösung für die Zugriffsverwaltung.

Integrieren in wichtige Sicherheits-APIs

Unserer Erfahrung nach schätzen viele unabhängige Anbieter von Sicherheitssoftware diese APIs als besonders nützlich bei der Verbesserung ihrer Sicherheitslösung und zur Unterstützung von Kunden beim Erreichen von Zero Trust.

Benutzer- und Gruppen-APIs

Wenn Sie die Benutzerbereitstellung integrieren, können Sie Ihre Anwendung mit Änderungen in dem Mandanten, in dem sich Ihre Anwendung befindet, auf dem neuesten Stand halten. Wenn Ihre Anwendung jedoch Aktualisierungen an den Benutzern und Gruppen im Mandanten vornehmen muss, können Sie die Benutzer- und Gruppen-APIs über Microsoft Graph verwenden, um in den Azure Active Directory-Mandanten zurückzuschreiben. Weitere Informationen zur Verwendung der API finden Sie in der Microsoft Graph-REST-API v1.0-Referenz in der Referenzdokumentation für /graph/api/user-getmembergroups.

API für bedingten Zugriff

Bedingter Zugriff ist ein wichtiger Bestandteil von Zero Trust, da er bei der Sicherstellung hilft, dass der richtige Benutzer über den richtigen Zugriff auf die richtigen Ressourcen verfügt. Die Aktivierung des bedingten Zugriffs ermöglicht Azure Active Directory, auf Grundlage berechneter Risiken und vorkonfigurierter Richtlinien eine Zugriffsentscheidung zu treffen.

Unabhängige Softwareanbieter können den bedingten Zugriff nutzen, indem sie die Option zum Anwenden von Richtlinien für bedingten Zugriff bereitstellen, wenn sie für Kunden relevant ist. Wenn ein Benutzer beispielsweise besonders riskant ist, können Sie dem Kunden empfehlen, den bedingten Zugriff für diesen Benutzer über Ihre Benutzeroberfläche zu aktivieren und ihn programmgesteuert in Azure Active Directory zu aktivieren.

Diagramm, das einen Benutzer zeigt, der eine Anwendung verwendet, die dann Azure Active Directory aufruft, um Bedingungen für eine Richtlinie für bedingten Zugriff auf Grundlage der Benutzeraktivität festzulegen.

Weitere Informationen finden Sie im Beispiel zum Konfigurieren von Richtlinien für bedingten Zugriff mithilfe der Microsoft Graph-API auf GitHub.

APIs zum Bestätigen von Kompromittierungen und riskanten Benutzern

Manchmal werden unabhängige Softwareanbieter möglicherweise auf Gefährdungen aufmerksam, die außerhalb des Bereichs von Azure Active Directory liegen. Bei allen Sicherheitsereignissen, insbesondere solchen, die die Kompromittierung eines Kontos beinhalten, können Microsoft und der unabhängige Softwareanbieter zusammenarbeiten, indem Sie Informationen über beide Parteien teilen. Mit der API zum Bestätigen von Kompromittierungen können Sie die Risikostufe eines Benutzerziels auf „Hoch“ festlegen. Dadurch kann Azure Active Directory entsprechend reagieren, z. B. indem der Benutzer aufgefordert wird, sich erneut zu authentifizieren, oder indem sein Zugriff auf vertrauliche Daten eingeschränkt wird.

Diagramm, das einen Benutzer zeigt, der eine Anwendung verwendet, die dann Azure Active Directory aufruft, um die Benutzerrisikostufe auf „Hoch“ festzulegen.

Auf der anderen Seite wertet Azure AD das Benutzerrisiko kontinuierlich auf der Grundlage diverser Signale und mittels Machine Learning aus. Die API für riskante Benutzer bietet programmgesteuerten Zugriff auf alle gefährdeten Benutzer im Azure Active Directory-Mandanten der App. Unabhängige Softwareanbieter können diese API verwenden, um sicherzustellen, dass sie Benutzer entsprechend ihrer aktuellen Risikostufe behandeln. „riskyUser“-Ressourcentyp.

Diagramm, das einen Benutzer zeigt, der eine Anwendung verwendet, die dann Azure Active Directory aufruft, um die Risikostufe des Benutzers abzurufen.

Erweiterte Integrationsszenarien

Zusätzlich zur obigen Anleitung zu den ersten Schritten können ISVs, die Identitätslösungen erstellen, die Integration mit Azure AD durchführen, um ihr Angebot für Kunden zu erweitern. Die folgende Anleitung richtet sich an ISVs, die bestimmte Arten von Lösungen anbieten und die Integration mit Azure AD anstreben.

Schützen von Integrationen mit Hybridzugriff Viele Geschäftsanwendungen wurden für die Nutzung innerhalb eines geschützten Unternehmensnetzwerks entwickelt, und für einige dieser Anwendungen werden Legacy-Authentifizierungsmethoden verwendet. Wenn Unternehmen eine Zero Trust-Strategie entwickeln und Hybrid- und Cloud-First-Arbeitsumgebungen unterstützen möchten, benötigen sie Lösungen, die Apps mit Azure Active Directory verbinden und moderne Authentifizierungslösungen für Legacyanwendungen bereitstellen. Verwenden Sie diese Anleitung zum Erstellen von Lösungen, mit denen eine moderne Cloudauthentifizierung für lokale Legacyanwendungen bereitgestellt wird.

Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden Mit FIDO2-Sicherheitsschlüsseln können unsichere Anmeldeinformationen durch sichere hardwarebasierte Anmeldeinformationen mit öffentlichem/privatem Schlüssel ersetzt werden, die nicht wiederverwendet, wiedergegeben oder dienstübergreifend freigegeben werden können. Sie können ein Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel werden, indem Sie die Vorgehensweise in diesem Dokument befolgen.

Nächste Schritte