Identiteitsintegraties

Identiteit is het belangrijkste besturingsvlak voor het beheren van toegang op de moderne werkplek en is essentieel voor het implementeren van Zero Trust. Identiteitsoplossingen ondersteunen Zero Trust via sterk verificatie- en toegangsbeleid, minst bevoegde toegang met gedetailleerde machtigingen en toegang, en besturingselementen en beleidsregels die de toegang tot beveiligde resources beheren en de straal van aanvallen minimaliseren.

In deze integratiehandleiding wordt uitgelegd hoe onafhankelijke softwareleveranciers (ISV's) en technologiepartners kunnen integreren met Azure Active Directory om veilige Zero Trust-oplossingen voor klanten te maken.

Zero Trust for Identity-integratiehandleiding

Deze integratiehandleiding bevat informatie over Azure Active Directory en Azure Active Directory B2C.

Azure Active Directory is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Het biedt verificatie met eenmalige aanmelding, voorwaardelijke toegang, wachtwoordloze en meervoudige verificatie, geautomatiseerde inrichting van gebruikers en nog veel meer functies waarmee ondernemingen identiteitsprocessen op schaal kunnen beveiligen en automatiseren.

Azure Active Directory B2C is een CIAM-oplossing (Business-to-Customer Identity Access Management) die klanten gebruiken om veilige oplossingen voor white-labelverificatie te implementeren die eenvoudig kunnen worden geschaald en gecombineerd met vertrouwde web- en mobiele toepassingservaringen. De integratierichtlijnen zijn beschikbaar in de sectie Azure Active Directory B2C .

Azure Active Directory

Er zijn veel manieren om uw oplossing te integreren met Azure Active Directory. Basisintegraties gaan over het beveiligen van uw klanten met behulp van de ingebouwde beveiligingsmogelijkheden van Azure Active Directory. Met geavanceerde integraties gaat u uw oplossing nog een stap verder met verbeterde beveiligingsmogelijkheden.

A curved path showing the foundational and advanced integrations. Foundational integrations include single sign-on and publisher verification. Advanced integrations include conditional access authentication context, continuous access evaluation, and advanced security API integrations.

Basisintegraties

Basisintegraties beschermen uw klanten met de ingebouwde beveiligingsmogelijkheden van Azure Active Directory.

Verificatie van eenmalige aanmelding en uitgever inschakelen

Als u eenmalige aanmelding wilt inschakelen, raden we u aan om uw app te publiceren in de app-galerie. Dit verhoogt het vertrouwen van klanten, omdat ze weten dat uw toepassing is gevalideerd als compatibel met Azure Active Directory en u een geverifieerde uitgever kunt worden, zodat klanten zeker weten dat u de uitgever bent van de app die ze aan hun tenant toevoegen.

Door de app-galerie te publiceren, kunnen IT-beheerders de oplossing eenvoudig integreren in hun tenant met geautomatiseerde app-registratie. Handmatige registraties zijn een veelvoorkomende oorzaak van ondersteuningsproblemen met toepassingen. Als u uw app toevoegt aan de galerie, worden deze problemen met uw app vermeden.

Voor mobiele apps raden we u aan de Microsoft-verificatiebibliotheek en een systeembrowser te gebruiken om eenmalige aanmelding te implementeren.

Gebruikersinrichting integreren

Het beheren van identiteiten en toegang voor organisaties met duizenden gebruikers is lastig. Als uw oplossing wordt gebruikt door grote organisaties, kunt u overwegen om informatie over gebruikers en toegang tussen uw toepassing en Azure Active Directory te synchroniseren. Dit helpt gebruikerstoegang consistent te houden wanneer er wijzigingen optreden.

SCIM (System for Cross-Domain Identity Management) is een open standaard voor het uitwisselen van gebruikersidentiteitsgegevens. U kunt de SCIM-API voor gebruikersbeheer gebruiken om gebruikers en groepen automatisch in te richten tussen uw toepassing en Azure Active Directory.

In onze zelfstudie over het onderwerp, het ontwikkelen van een SCIM-eindpunt voor het inrichten van gebruikers voor apps vanuit Azure Active Directory, wordt beschreven hoe u een SCIM-eindpunt bouwt en integreert met de Azure Active Directory-inrichtingsservice.

Geavanceerde integraties

Geavanceerde integraties verbeteren de beveiliging van uw toepassing nog verder.

Context voor verificatie van voorwaardelijke toegang

Met verificatiecontext voor voorwaardelijke toegang kunnen apps beleidshandhaving activeren wanneer een gebruiker toegang heeft tot gevoelige gegevens of acties, waardoor gebruikers productiever blijven en uw gevoelige resources veilig zijn.

Continue toegangsevaluatie

Met continue toegangsevaluatie (CAE) kunnen toegangstokens worden ingetrokken op basis van kritieke gebeurtenissen en beleidsevaluatie in plaats van afhankelijk te zijn van het verlopen van tokens op basis van levensduur. Voor sommige resource-API's, omdat risico's en beleid in realtime worden geëvalueerd, kan dit de levensduur van tokens verhogen tot 28 uur, waardoor uw toepassing toleranter en beter presteert.

Beveiligings-API's

In onze ervaring hebben veel onafhankelijke softwareleveranciers deze API's zeer nuttig gevonden.

Api's voor gebruikers en groepen

Als uw toepassing updates moet aanbrengen voor de gebruikers en groepen in de tenant, kunt u de GEBRUIKERS- en groeps-API's via Microsoft Graph gebruiken om terug te schrijven naar de Azure Active Directory-tenant. Meer informatie over het gebruik van de API vindt u in de Microsoft Graph REST API v1.0-verwijzing en de referentiedocumentatie voor het resourcetype van de gebruiker

API voor voorwaardelijke toegang

Voorwaardelijke toegang is een belangrijk onderdeel van Zero Trust, omdat het helpt ervoor te zorgen dat de juiste gebruiker de juiste toegang heeft tot de juiste resources. Als u voorwaardelijke toegang inschakelt, kan Azure Active Directory toegangsbeslissing nemen op basis van berekend risico en vooraf geconfigureerd beleid.

Onafhankelijke softwareleveranciers kunnen profiteren van voorwaardelijke toegang door de optie om beleid voor voorwaardelijke toegang toe te passen wanneer dit relevant is. Als een gebruiker bijvoorbeeld bijzonder riskant is, kunt u de klant voorstellen om voorwaardelijke toegang voor die gebruiker in te schakelen via uw gebruikersinterface en deze programmatisch in te schakelen in Azure Active Directory.

Diagram showing a user using an application, which then calls Azure Active Directory to set conditions for a conditional access policy based on the user activity.

Bekijk het beleid voor voorwaardelijke toegang configureren met behulp van het Microsoft Graph API-voorbeeld op GitHub voor meer informatie.

Inbreuk- en riskante gebruikers-API's bevestigen

Soms kunnen onafhankelijke softwareleveranciers zich bewust worden van compromissen die buiten het bereik van Azure Active Directory vallen. Voor elke beveiligingsevenement, met name die waaronder inbreuk op accounts, kunnen Microsoft en de onafhankelijke softwareleverancier samenwerken door informatie van beide partijen te delen. Met de bevestigings-API voor inbreuk kunt u het risiconiveau van een doelgebruiker op hoog instellen. Hierdoor kan Azure Active Directory op de juiste manier reageren, bijvoorbeeld door de gebruiker te verplichten opnieuw te verifiëren of door de toegang tot gevoelige gegevens te beperken.

Diagram showing a user using an application, which then calls Azure Active Directory to set user risk level to high.

In de andere richting evalueert Azure Active Directory voortdurend gebruikersrisico's op basis van verschillende signalen en machine learning. De Riskante gebruikers-API biedt programmatische toegang tot alle risicovolle gebruikers in de Azure Active Directory-tenant van de app. Onafhankelijke softwareleveranciers kunnen gebruikmaken van deze API om ervoor te zorgen dat ze gebruikers op de juiste wijze verwerken op hun huidige risiconiveau. resourcetype riskyUser.

Diagram showing a user using an application, which then calls Azure Active Directory to retrieve the user's risk level.

Unieke productscenario's

De volgende richtlijnen zijn bedoeld voor onafhankelijke softwareleveranciers die specifieke soorten oplossingen aanbieden.

Integraties voor hybride toegang beveiligen Veel zakelijke toepassingen zijn gemaakt om binnen een beveiligd bedrijfsnetwerk te werken en sommige van deze toepassingen maken gebruik van verouderde verificatiemethoden. Naarmate bedrijven een Zero Trust-strategie willen bouwen en hybride en cloud-first werkomgevingen willen ondersteunen, hebben ze oplossingen nodig die apps verbinden met Azure Active Directory en moderne verificatieoplossingen bieden voor verouderde toepassingen. Gebruik deze handleiding om oplossingen te maken die moderne cloudverificatie bieden voor verouderde on-premises toepassingen.

Een leverancier van fido2-beveiligingssleutels worden die compatibel is met Microsoft FIDO2-beveiligingssleutels kunnen zwakke referenties vervangen door sterke openbare/persoonlijke-sleutelreferenties die niet opnieuw kunnen worden gebruikt, afgespeeld of gedeeld tussen services. U kunt een leverancier van fido2-beveiligingssleutels worden die compatibel is met Microsoft door het proces in dit document te volgen.

Azure Active Directory B2C

Azure Active Directory B2C is een CIAM-oplossing (Customer Identity and Access Management) die miljoenen gebruikers en miljarden verificaties per dag kan ondersteunen. Het is een white-label verificatieoplossing waarmee gebruikerservaringen worden gecombineerd met merkweb- en mobiele toepassingen.

Net als bij Azure Active Directory kunnen partners integreren met Azure Active Directory B2C met behulp van Microsoft Graph en belangrijke beveiligings-API's, zoals de voorwaardelijke toegang, het bevestigen van inbreuk en riskante gebruikers-API's. Meer informatie over deze integraties vindt u in de bovenstaande sectie van Azure AD.

Deze sectie bevat verschillende andere integratiemogelijkheden die onafhankelijke partners van softwareleveranciers kunnen ondersteunen.

Notitie

We raden klanten ten zeerste aan om Azure Active Directory B2C (en oplossingen die ermee zijn geïntegreerd) Identity Protection en voorwaardelijke toegang te activeren in Azure Active Directory B2C.

Integreren met RESTful-eindpunten

Onafhankelijke softwareleveranciers kunnen hun oplossingen integreren via RESTful-eindpunten om meervoudige verificatie (MFA) en op rollen gebaseerd toegangsbeheer (RBAC) in te schakelen, identiteitsverificatie en controle in te schakelen, beveiliging te verbeteren met botdetectie en fraudebescherming en te voldoen aan de vereisten van Payment Services Directive 2 (PSD2) Secure Customer Authentication (SCA).

We hebben richtlijnen voor het gebruik van onze RESTful-eindpunten en gedetailleerde voorbeeldscenario's van partners die zijn geïntegreerd met behulp van de RESTful-API's:

Web Application Firewall

Web Application Firewall (WAF) biedt gecentraliseerde beveiliging voor webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Met Azure Active Directory B2C kunnen onafhankelijke softwareleveranciers hun WAF-service integreren, zodat al het verkeer naar aangepaste Azure Active Directory B2C-domeinen (bijvoorbeeld login.contoso.com) altijd via de WAF-service wordt doorgegeven, waardoor een extra beveiligingslaag wordt geboden.

Voor het implementeren van een WAF-oplossing moet u aangepaste domeinen van Azure Active Directory B2C configureren. U kunt dit doen in onze zelfstudie over het inschakelen van aangepaste domeinen. U kunt ook bestaande partners zien die WAF-oplossingen hebben gemaakt die zijn geïntegreerd met Azure Active Directory B2C.

Volgende stappen