Identitásintegrációk

Az identitás a hozzáférés kezelésének fő vezérlősíkja a modern munkahelyen, és elengedhetetlen a teljes hozzáférés implementálásához. Az identitásmegoldások erős hitelesítési és hozzáférési szabályzatokkal támogatják a teljes megbízhatóságot, a legkisebb jogosultságú hozzáférést részletes engedélyekkel és hozzáféréssel, valamint olyan vezérlőket és szabályzatokat, amelyek a biztonságos erőforrásokhoz való hozzáférést kezelik, és minimálisra csökkentik a támadási sugarat.

Ez az integrációs útmutató azt ismerteti, hogyan integrálhatók a független szoftverszállítók (ISV-k) és a technológiai partnerek az Azure Active Directoryval, hogy biztonságos, megbízható megoldásokat hozzanak létre az ügyfelek számára.

Identitásmegbízhatóság nélküli integrációs útmutató

Ez az integrációs útmutató az Azure Active Directoryt és az Azure Active Directory B2C-t ismerteti.

Az Azure Active Directory a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. Egyszeri bejelentkezéses hitelesítést, feltételes hozzáférést, jelszó nélküli és többtényezős hitelesítést, automatizált felhasználóátadást és számos további funkciót biztosít, amelyek lehetővé teszik a vállalatok számára az identitásfolyamatok nagy léptékű védelmét és automatizálását.

Az Azure Active Directory B2C egy üzleti identitás-hozzáférés-kezelési (CIAM) megoldás, amellyel az ügyfelek biztonságos, könnyen méretezhető, a márkás webes és mobilalkalmazási felületekkel vegyített hitelesítési megoldásokat implementálnak. Az integrációs útmutató az Azure Active Directory B2C szakaszban érhető el.

Azure Active Directory

A megoldást számos módon integrálhatja az Azure Active Directoryval. Az alapvető integrációk az ügyfelek védelméről szólnak az Azure Active Directory beépített biztonsági képességeinek használatával. A fejlett integrációk egy lépéssel továbbviszik a megoldást a továbbfejlesztett biztonsági funkciókkal.

A curved path showing the foundational and advanced integrations. Foundational integrations include single sign-on and publisher verification. Advanced integrations include conditional access authentication context, continuous access evaluation, and advanced security API integrations.

Alapvető integrációk

Az alapvető integrációk az Azure Active Directory beépített biztonsági képességeivel védik az ügyfeleket.

Egyszeri bejelentkezés és közzétevő ellenőrzésének engedélyezése

Az egyszeri bejelentkezés engedélyezéséhez javasoljuk, hogy tegye közzé alkalmazását az alkalmazáskatalógusban. Ez növeli az ügyfelek bizalmát, mivel tudják, hogy az alkalmazás az Azure Active Directoryval kompatibilisként lett érvényesítve, és ön ellenőrzött közzétevővé válhat, így az ügyfelek biztosak lehetnek abban, hogy Ön az alkalmazás közzétevője, amelyet hozzáadnak a bérlőjükhöz.

Az alkalmazáskatalógusban való közzététel megkönnyíti a rendszergazdák számára, hogy automatizált alkalmazásregisztrációval integrálják a megoldást a bérlőjükbe. A manuális regisztráció gyakori oka az alkalmazások támogatási problémáinak. Ha hozzáadja az alkalmazást a katalógushoz, elkerülheti az alkalmazással kapcsolatos problémákat.

Mobilalkalmazások esetén javasoljuk, hogy a Microsoft hitelesítési kódtárát és egy rendszerböngészőt használjon az egyszeri bejelentkezés implementálásához.

Felhasználók átadásának integrálása

Az identitások és a hozzáférés kezelése több ezer felhasználóval rendelkező szervezetek számára kihívást jelent. Ha a megoldást nagy szervezetek fogják használni, érdemes lehet szinkronizálni a felhasználókkal kapcsolatos információkat, valamint az alkalmazás és az Azure Active Directory közötti hozzáférést. Ez segít konzisztensen tartani a felhasználói hozzáférést módosítások esetén.

Az SCIM (System for Cross-Domain Identity Management) nyílt szabvány a felhasználói identitásadatok cseréjéhez. Az SCIM felhasználókezelési API-val automatikusan kiépítheti a felhasználókat és csoportokat az alkalmazás és az Azure Active Directory között.

A témával kapcsolatos oktatóanyagunk, egy SCIM-végpont fejlesztése az Azure Active Directoryból származó alkalmazásokhoz történő felhasználói kiépítéshez, ismerteti, hogyan hozhat létre SCIM-végpontot, és hogyan integrálható az Azure Active Directory kiépítési szolgáltatással.

Speciális integrációk

A speciális integrációk még tovább növelik az alkalmazás biztonságát.

Feltételes hozzáférés hitelesítési környezete

A feltételes hozzáférés hitelesítési környezete lehetővé teszi, hogy az alkalmazások szabályzatkényszerítést indítsanak, amikor egy felhasználó bizalmas adatokhoz vagy műveletekhez fér hozzá, így a felhasználók hatékonyabban dolgozhatnak, és a bizalmas erőforrások biztonságban lesznek.

Folyamatos hozzáférés-kiértékelés

A folyamatos hozzáférés-kiértékelés (CAE) lehetővé teszi a hozzáférési jogkivonatok visszavonását a kritikus események és a szabályzatok kiértékelése alapján, nem pedig a jogkivonatok élettartamon alapuló lejáratára támaszkodva. Egyes erőforrás API-k esetében, mivel a kockázat és a szabályzat valós időben van kiértékelve, ez akár 28 órára is növelheti a jogkivonatok élettartamát, ami rugalmasabbá és hatékonyabbá teszi az alkalmazást.

Biztonsági API-k

Tapasztalataink szerint számos független szoftverszállító találta különösen hasznosnak ezeket az API-kat.

Felhasználói és csoport API-k

Ha az alkalmazásnak frissítenie kell a bérlőben lévő felhasználókat és csoportokat, a felhasználó és a csoport API-jait a Microsoft Graphon keresztül visszaírhatja az Azure Active Directory-bérlőbe. Az API használatáról a Microsoft Graph REST API 1.0-s verziójának referenciájában és a felhasználói erőforrástípus referenciadokumentációjában olvashat bővebben

Feltételes hozzáférési API

A feltételes hozzáférés kulcsfontosságú része a megbízhatónak, mivel segít biztosítani, hogy a megfelelő felhasználó megfelelő hozzáféréssel rendelkezzen a megfelelő erőforrásokhoz. A feltételes hozzáférés engedélyezése lehetővé teszi, hogy az Azure Active Directory a kiszámított kockázat és az előre konfigurált szabályzatok alapján döntsön a hozzáférésről.

A független szoftverszállítók kihasználhatják a feltételes hozzáférés előnyeit, ha lehetővé tehetik a feltételes hozzáférési szabályzatok alkalmazását, ha relevánsak. Ha például egy felhasználó különösen kockázatos, javasolhatja, hogy az ügyfél a felhasználói felületen keresztül engedélyezze a feltételes hozzáférést, és programozott módon engedélyezze azt az Azure Active Directoryban.

Diagram showing a user using an application, which then calls Azure Active Directory to set conditions for a conditional access policy based on the user activity.

További információért tekintse meg a feltételes hozzáférési szabályzatok konfigurálását a Microsoft Graph API-minta használatával a GitHubon.

Biztonsági rések és kockázatos felhasználói API-k megerősítése

Előfordulhat, hogy a független szoftvergyártók tudomást szereznek az Azure Active Directory hatókörén kívül eső biztonsági résekről. A Microsoft és a független szoftverszállító minden biztonsági esemény , különösen a fiókok feltörése esetén együttműködhet a két fél információinak megosztásával. A confirm compromise API lehetővé teszi, hogy magasra állítsa a megcélzott felhasználó kockázati szintjét. Ez lehetővé teszi az Azure Active Directory megfelelő válaszát, például a felhasználó ismételt hitelesítésének megkövetelésével vagy a bizalmas adatokhoz való hozzáférés korlátozásával.

Diagram showing a user using an application, which then calls Azure Active Directory to set user risk level to high.

A másik irányba haladva az Azure Active Directory folyamatosan kiértékeli a felhasználói kockázatokat a különböző jelek és a gépi tanulás alapján. A Kockázatos felhasználói API programozott hozzáférést biztosít az alkalmazás Azure Active Directory-bérlőjének minden veszélyeztetett felhasználója számára. A független szoftvergyártók használhatják ezt az API-t annak biztosítására, hogy a felhasználókat a jelenlegi kockázati szintjüknek megfelelően kezeljék. riskyUser erőforrástípus.

Diagram showing a user using an application, which then calls Azure Active Directory to retrieve the user's risk level.

Egyedi termékforgatókönyvek

Az alábbi útmutató olyan független szoftvergyártóknak szól, akik speciális megoldásokat kínálnak.

Biztonságos hibrid hozzáférés-integrációk Számos üzleti alkalmazást hoztak létre, hogy védett vállalati hálózaton belül működjenek, és néhány ilyen alkalmazás örökölt hitelesítési módszereket használ. Mivel a vállalatok egy teljes körű megbízhatósági stratégiát szeretnének kialakítani, és támogatják a hibrid és felhőalapú munkahelyi környezeteket, olyan megoldásokra van szükségük, amelyek az alkalmazásokat az Azure Active Directoryhoz csatlakoztatják, és modern hitelesítési megoldásokat biztosítanak az örökölt alkalmazásokhoz. Ezzel az útmutatóval olyan megoldásokat hozhat létre, amelyek modern felhőhitelesítést biztosítanak az örökölt helyszíni alkalmazásokhoz.

Microsoft-kompatibilis FIDO2 biztonságikulcs-szállítóvá válás A FIDO2 biztonsági kulcsok lecserélhetik a gyenge hitelesítő adatokat erős, hardveresen támogatott nyilvános/titkos kulcsos hitelesítő adatokra, amelyek nem használhatók fel újra, nem játszhatók le és nem oszthatók meg a szolgáltatások között. A jelen dokumentumban ismertetett eljárást követve Microsoft-kompatibilis FIDO2 biztonságikulcs-szállítóvá válhat.

Azure Active Directory B2C

Az Azure Active Directory B2C egy ügyfélidentitás- és hozzáférés-kezelési (CIAM) megoldás, amely naponta több millió felhasználó és több milliárd hitelesítés támogatására képes. Ez egy fehér címkés hitelesítési megoldás, amely lehetővé teszi a védjegyzett webes és mobilalkalmazásokkal kevert felhasználói élményt.

Az Azure Active Directoryhoz hasonlóan a partnerek is integrálhatók az Azure Active Directory B2C-vel a Microsoft Graph és a kulcsfontosságú biztonsági API-k, például a feltételes hozzáférés, a biztonság megerősítése és a kockázatos felhasználói API-k használatával. Ezekről az integrációkról a fenti Azure AD-szakaszban olvashat bővebben.

Ez a szakasz számos más integrációs lehetőséget is tartalmaz, amit a független szoftverszállító partnerek támogathatnak.

Megjegyzés

Javasoljuk, hogy az Azure Active Directory B2C-t (és az azzal integrált megoldásokat) használó ügyfelek aktiválják az Identity Protectiont és a feltételes hozzáférést az Azure Active Directory B2C-ben.

Integrálás RESTful-végpontokkal

A független szoftvergyártók RESTful-végpontokon keresztül integrálhatják megoldásaikat a többtényezős hitelesítés (MFA) és a szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezéséhez, az identitás-ellenőrzés és -ellenőrzés engedélyezéséhez, a robotok észlelésével és a csalások elleni védelemmel való biztonság javításához, valamint a 2. fizetési szolgáltatási irányelv (PSD2) biztonságos ügyfél-hitelesítési (SCA) követelményeinek való megfeleléshez.

Útmutatónk van a RESTful-végpontok használatához, valamint a RESTful API-kkal integrált partnerek részletes útmutatóihoz:

Webalkalmazási tűzfal

A webalkalmazási tűzfal (WAF) központosított védelmet biztosít a webalkalmazások számára a gyakori biztonsági rések és biztonsági rések ellen. Az Azure Active Directory B2C lehetővé teszi a független szoftvergyártók számára a WAF-szolgáltatás integrálását, hogy az egyéni Azure Active Directory B2C-tartományokba (például login.contoso.com) irányuló összes forgalom mindig áthaladjon a WAF szolgáltatáson, ami további biztonsági réteget biztosít.

A WAF-megoldás implementálásához egyéni Azure Active Directory B2C-tartományokat kell konfigurálni. Ezt az egyéni tartományok engedélyezéséről szóló oktatóanyagban olvashatja el. Láthatja azokat a meglévő partnereket is, akik olyan WAF-megoldásokat hoztak létre, amelyek integrálva vannak az Azure Active Directory B2C-vel.

Következő lépések