Intégrations aux identités

L’identité est le plan de contrôle clé permettant de gérer l’accès dans le milieu de travail moderne et est essentiel à l’implémentation de la confiance Zéro. Les solutions d’identité prennent en charge la confiance Zéro par le biais de stratégies d’authentification et d’accès fortes, d’un accès minimum privilégié avec des autorisations et des contrôles granulaires, ainsi que des contrôles et des stratégies qui gèrent l’accès aux ressources sécurisées et réduisent le rayon d’attaques.

Ce guide d’intégration explique comment les éditeurs de logiciels indépendants (ISV) et les partenaires technologiques peuvent s’intégrer à Azure Active Directory pour créer des solutions Confiance Zéro sécurisées pour les clients.

Guide d’intégration confiance zéro pour l’identité

Ce guide d’intégration couvre Azure Active Directory et Azure Active Directory B2C.

Azure Active Directory est le service de gestion des identités et des accès cloud de Microsoft. Il fournit l’authentification unique, l’accès conditionnel, l’authentification sans mot de passe et multifacteur, l’approvisionnement automatique d’utilisateurs et de nombreuses autres fonctionnalités qui permettent aux entreprises de protéger et d’automatiser les processus d’identité à grande échelle.

Azure Active Directory B2C est une solution de gestion de l’accès aux identités client (CIAM) que les clients utilisent pour implémenter des solutions d’authentification avec étiquette blanche sécurisées qui mettent à l’échelle facilement et fusionnent avec des expériences d’application web et mobile personnalisées. Les conseils d’intégration sont disponibles dans la section Azure Active Directory B2C .

Azure Active Directory

Il existe de nombreuses façons d’intégrer votre solution à Azure Active Directory. Les intégrations fondamentales concernent la protection de vos clients à l’aide des fonctionnalités de sécurité intégrées d’Azure Active Directory. Les intégrations avancées effectuent une étape supplémentaire dans votre solution avec des fonctionnalités de sécurité améliorées.

A curved path showing the foundational and advanced integrations. Foundational integrations include single sign-on and publisher verification. Advanced integrations include conditional access authentication context, continuous access evaluation, and advanced security API integrations.

Intégrations fondamentales

Les intégrations de base protègent vos clients avec les fonctionnalités de sécurité intégrées d’Azure Active Directory.

Activer l’authentification unique et la vérification de l’éditeur

Pour activer l’authentification unique, nous vous recommandons de publier votre application dans la galerie d’applications. Cela augmente la confiance des clients, car ils savent que votre application a été validée comme compatible avec Azure Active Directory, et vous pouvez devenir un éditeur vérifié afin que les clients soient certains que vous êtes l’éditeur de l’application qu’ils ajoutent à leur locataire.

La publication dans la galerie d’applications permet aux administrateurs informatiques d’intégrer facilement la solution à leur locataire avec l’inscription automatisée des applications. Les inscriptions manuelles sont une cause courante de problèmes de prise en charge des applications. L’ajout de votre application à la Galerie permet d’éviter ces problèmes.

Pour les applications mobiles, nous vous recommandons d’utiliser la bibliothèque d’authentification Microsoft et un navigateur système pour implémenter l’authentification unique.

Intégrer le provisionnement d’utilisateurs

La gestion des identités et de l’accès pour les organisations comptant des milliers d’utilisateurs est difficile. Si votre solution sera utilisée par les grandes organisations, envisagez de synchroniser des informations sur les utilisateurs et l’accès entre votre application et Azure Active Directory. Cela permet de maintenir l’accès utilisateur cohérent lorsque des modifications se produisent.

SCIM (System for Cross-domain Identity Management) est une norme ouverte pour l’échange d’informations d’identités utilisateur. Vous pouvez utiliser l’API de gestion des utilisateurs SCIM pour approvisionner automatiquement des utilisateurs et des groupes entre votre application et Azure Active Directory.

Notre tutoriel sur le sujet, développer un point de terminaison SCIM pour l’approvisionnement d’utilisateurs sur des applications à partir d’Azure Active Directory, explique comment créer un point de terminaison SCIM et s’intégrer au service d’approvisionnement Azure Active Directory.

Intégrations avancées

Les intégrations avancées augmenteront encore davantage la sécurité de votre application.

Contexte d’authentification de l’accès conditionnel

Le contexte d’authentification par accès conditionnel permet aux applications de déclencher l’application de la stratégie lorsqu’un utilisateur accède à des données sensibles ou à des actions, ce qui permet aux utilisateurs de sécuriser davantage leur productivité et vos ressources sensibles.

Évaluation de l’accès continu

L’évaluation continue de l’accès (CAE) permet aux jetons d’accès d’être révoqués en fonction des événements critiques et de l’évaluation de la stratégie plutôt que de s’appuyer sur l’expiration du jeton en fonction de la durée de vie. Pour certaines API de ressources, étant donné que les risques et la stratégie sont évalués en temps réel, cela peut augmenter la durée de vie des jetons jusqu’à 28 heures, ce qui rend votre application plus résiliente et performante.

API Sécurité

Dans notre expérience, de nombreux éditeurs de logiciels indépendants ont trouvé ces API particulièrement utiles.

API Utilisateur et Groupe

Si votre application doit apporter des mises à jour aux utilisateurs et aux groupes du locataire, vous pouvez utiliser les API utilisateur et groupe via Microsoft Graph pour réécrire dans le locataire Azure Active Directory. Vous pouvez en savoir plus sur l’utilisation de l’API dans la référence de l’API REST Microsoft Graph v1.0 et la documentation de référence pour le type de ressource utilisateur

API d’accès conditionnel

L’accès conditionnel est un élément clé de la Confiance Zéro, car il permet de s’assurer que l’utilisateur approprié a le droit d’accéder aux ressources appropriées. L’activation de l’accès conditionnel permet à Azure Active Directory de prendre une décision d’accès en fonction du risque calculé et des stratégies préconfigurées.

Les éditeurs de logiciels indépendants peuvent tirer parti de l’accès conditionnel en exposant l’option permettant d’appliquer des stratégies d’accès conditionnel en cas de pertinence. Par exemple, si un utilisateur présente un risque particulièrement élevé, vous pouvez suggérer au client qu’il active l’accès conditionnel pour cet utilisateur par le biais de votre interface utilisateur, et qu’il l’active par programmation dans Azure Active Directory.

Diagram showing a user using an application, which then calls Azure Active Directory to set conditions for a conditional access policy based on the user activity.

Pour plus d’informations, consultez l’exemple de configuration de stratégies d’accès conditionnel à l’aide de l’API Microsoft Graph sur GitHub.

API Confirmer la compromission et Utilisateur à risque

Parfois, les éditeurs de logiciels indépendants peuvent être conscients de la compromission qui est en dehors de l’étendue d’Azure Active Directory. Pour tout événement de sécurité, en particulier ceux incluant la compromission de compte, Microsoft et le fournisseur de logiciels indépendants peuvent collaborer en partageant des informations des deux parties. L’API Confirmer la compromission vous permet d’affecter la valeur Élevé au niveau de risque d’un utilisateur ciblé. Cela permet à Azure Active Directory de répondre de manière appropriée, par exemple en exigeant de l’utilisateur qu’il se réauthentifie ou en restreignant son accès aux données sensibles.

Diagram showing a user using an application, which then calls Azure Active Directory to set user risk level to high.

Dans l’autre sens, Azure Active Directory évalue continuellement les risques des utilisateurs en fonction des différents signaux et du Machine Learning. L’API Utilisateur à risque fournit un accès par programmation à tous les utilisateurs à risque dans le locataire Azure Active Directory de l’application. Les éditeurs de logiciels indépendants peuvent utiliser cette API pour s’assurer qu’ils gèrent les utilisateurs de manière appropriée à leur niveau actuel de risque. Type de ressource riskyUser.

Diagram showing a user using an application, which then calls Azure Active Directory to retrieve the user's risk level.

Scénarios de produit uniques

Les conseils suivants concernent les éditeurs de logiciels indépendants qui proposent des types spécifiques de solutions.

Sécuriser les intégrations d’accès hybride : de nombreuses applications métier ont été créées pour fonctionner au sein d’un réseau d’entreprise protégé, et certaines d’entre elles utilisent des méthodes d’authentification héritées. À mesure que les entreprises cherchent à mettre en place une stratégie de Confiance Zéro et à prendre en charge des environnements de travail hybrides et cloud-first, elles ont besoin de solutions capables de connecter leurs applications à Azure Active Directory et de fournir des mécanismes d’authentification modernes pour leurs applications héritées. Servez-vous de ce guide pour créer des solutions qui fournissent une authentification cloud moderne pour les applications locales héritées.

Devenir un fournisseur de clés de sécurité FIDO2 compatibles Microsoft : ces clés peuvent remplacer les informations d’identification faibles par des informations d’identification à clé privée/publique associées au matériel et qui ne peuvent pas être réutilisées, relues ou partagées entre les services. Vous pouvez devenir fournisseur de clés de sécurité FIDO2 compatibles Microsoft en suivant le processus expliqué dans ce document.

Azure Active Directory B2C

Azure Active Directory B2C est une solution de gestion des identités et des accès client (CIAM) capable de prendre en charge des millions d’utilisateurs et des milliards d’authentifications par jour. Il s’agit d’une solution d’authentification avec étiquette blanche qui permet aux expériences utilisateur qui se mélangent avec des applications web et mobiles personnalisées.

Comme avec Azure Active Directory, les partenaires peuvent s’intégrer à Azure Active Directory B2C à l’aide de Microsoft Graph et d’API de sécurité clés telles que l’accès conditionnel, confirmer la compromission et les API utilisateur risquées. Vous pouvez en savoir plus sur ces intégrations dans la section Azure AD ci-dessus.

Cette section comprend plusieurs autres opportunités d’intégration que les partenaires indépendants du fournisseur de logiciels peuvent prendre en charge.

Notes

Nous recommandons vivement aux clients d’utiliser Azure Active Directory B2C (et les solutions qui y sont intégrées) d’activer Identity Protection et l’accès conditionnel dans Azure Active Directory B2C.

Intégrer aux points de terminaison RESTful

Les fournisseurs de logiciels indépendants peuvent intégrer leurs solutions via des points de terminaison RESTful pour activer l’authentification multifacteur (MFA) et le contrôle d’accès en fonction du rôle (RBAC), activer la vérification et la vérification des identités, améliorer la sécurité avec la détection des bots et la protection contre les fraudes, et répondre aux exigences de la directive 2 (PSD2) sur l’authentification client sécurisée (SCA) des services de paiement.

Nous avons des conseils sur l’utilisation de nos points de terminaison RESTful ainsi que des exemples détaillés de procédures pas à pas des partenaires qui ont intégré à l’aide des API RESTful :

Pare-feu d’applications web

Le pare-feu d’applications web (WAF) fournit une protection centralisée pour les applications web contre les attaques et vulnérabilités courantes. Azure Active Directory B2C permet aux éditeurs de logiciels indépendants d’intégrer leur service WAF afin que tout le trafic vers des domaines personnalisés Azure Active Directory B2C (par exemple, login.contoso.com) passe toujours par le service WAF, fournissant une couche supplémentaire de sécurité.

L’implémentation d’une solution WAF nécessite de configurer des domaines personnalisés Azure Active Directory B2C. Vous pouvez lire comment procéder dans notre tutoriel sur l’activation de domaines personnalisés. Vous pouvez également voir les partenaires existants qui ont créé des solutions WAF qui s’intègrent à Azure Active Directory B2C.

Étapes suivantes