Интеграция идентификаторов

Удостоверение является ключевым уровнем управления для управления доступом на современном рабочем месте и имеет важное значение для реализации нулевого доверия. Решения для идентификации поддерживают нулевое доверие с помощью политик строгой проверки подлинности и доступа, наименее привилегированного доступа с детализированных разрешений и доступа, а также элементов управления и политик, которые управляют доступом к защищенным ресурсам и минимизирует радиус атак.

В этом руководстве по интеграции объясняется, как независимые поставщики программного обеспечения (ISV) и технологические партнеры могут интегрироваться с Azure Active Directory для создания безопасных решений нулевого доверия для клиентов.

Руководство по интеграции "Никому не доверяй" для удостоверений

В этом руководстве по интеграции рассматриваются Azure Active Directory, а также Azure Active Directory B2C.

Azure Active Directory — это облачная служба управления удостоверениями и доступом Майкрософт. Она обеспечивает проверку подлинности единого входа, условный доступ, бессерверную и многофакторную проверку подлинности, автоматическую подготовку пользователей и множество других функций, позволяющих предприятиям защищать и автоматизировать процессы идентификации в большом масштабе.

Azure Active Directory B2C — это решение для управления доступом к удостоверениям клиентов (CIAM), которое клиенты используют для реализации безопасных решений проверки подлинности с белой меткой, которые легко масштабируются и смешиваются с фирменными веб-приложениями и мобильными приложениями. Руководство по интеграции доступно в разделе Azure Active Directory B2C .

Azure Active Directory

Существует множество способов интеграции решения с Azure Active Directory. Базовая интеграция — это защита клиентов с помощью встроенных возможностей безопасности Azure Active Directory. Расширенная интеграция будет выполнять решение еще один шаг с расширенными возможностями безопасности.

A curved path showing the foundational and advanced integrations. Foundational integrations include single sign-on and publisher verification. Advanced integrations include conditional access authentication context, continuous access evaluation, and advanced security API integrations.

Базовая интеграция

Базовая интеграция защищает клиентов с помощью встроенных возможностей безопасности Azure Active Directory.

Включение проверки единого входа и издателя

Чтобы включить единый вход, рекомендуется опубликовать приложение в коллекции приложений. Это повысит доверие клиентов, так как они знают, что ваше приложение проверено как совместимое с Azure Active Directory, и вы можете стать проверенным издателем , чтобы клиенты были уверены, что вы являетесь издателем приложения, которое они добавляют в свой клиент.

Публикация в коллекции приложений позволяет ИТ-администраторам легко интегрировать решение в свой клиент с автоматической регистрацией приложений. Регистрация вручную часто становится основной причиной проблем с поддержкой приложений. Добавление приложения в коллекцию позволит избежать всех проблем подобного рода.

Для мобильных приложений мы рекомендуем использовать библиотеку проверки подлинности Майкрософт и системный браузер для реализации единого входа.

Интеграция подготовки пользователей

Управление удостоверениями и доступом для тысяч пользователей будет нелегкой задачей. Если решение будет использоваться крупными организациями, рассмотрите возможность синхронизации сведений о пользователях и доступе между приложением и Azure Active Directory. Это помогает обеспечить согласованность доступа пользователей при изменении.

Система SCIM (System for Cross-domain Identity Management) — это открытый стандарт для обмена информацией об удостоверениях пользователей. API управления пользователями SCIM можно использовать для автоматической подготовки пользователей и групп между приложением и Azure Active Directory.

Наше руководство по теме, разработка конечной точки SCIM для подготовки пользователей в приложениях из Azure Active Directory описывает создание конечной точки SCIM и интеграцию со службой подготовки Azure Active Directory.

Расширенные интеграции

Расширенная интеграция повысит безопасность приложения еще больше.

Контекст проверки подлинности Условного доступа

Контекст проверки подлинности условного доступа позволяет приложениям активировать принудительное применение политики, когда пользователь обращается к конфиденциальным данным или действиям, обеспечивая пользователям более продуктивную работу и защиту конфиденциальных ресурсов.

Непрерывная оценка доступа

Непрерывная оценка доступа (CAE) позволяет отзывать маркеры доступа на основе критических событий и оценки политики, а не полагаться на срок действия маркера в зависимости от времени существования. Для некоторых API ресурсов, так как риск и политика оцениваются в режиме реального времени, это может увеличить время существования маркера до 28 часов, что сделает приложение более устойчивым и устойчивым.

API-интерфейсы обеспечения безопасности

В нашем опыте многие независимые поставщики программного обеспечения обнаружили, что эти API особенно полезны.

API-интерфейсы пользователей и групп

Если приложению необходимо обновить пользователей и группы в клиенте, вы можете использовать API-интерфейсы пользователей и групп с помощью Microsoft Graph для обратной записи в клиент Azure Active Directory. Дополнительные сведения об использовании API см. в справочнике по REST API Microsoft Graph версии 1.0 и справочной документации по типу ресурса пользователя.

API условного доступа

Условный доступ — важный элемент подхода "Никому не доверяй", так как он позволяет обеспечить правильный уровень доступа к нужным ресурсам для нужных пользователей. Включение условного доступа позволяет Azure Active Directory принимать решение о доступе на основе вычисляемых рисков и предварительно настроенных политик.

Независимые поставщики программного обеспечения могут воспользоваться преимуществами условного доступа, используя параметр применения политик условного доступа при необходимости. Например, для пользователей с особо высоким уровнем риска вы можете предложить клиенту включать персональные политики условного доступа через пользовательский интерфейс, со своей стороны выполняя эти настройки в Azure Active Directory программными средствами.

Diagram showing a user using an application, which then calls Azure Active Directory to set conditions for a conditional access policy based on the user activity.

Дополнительные сведения см. в примере настройки политик условного доступа с помощью API Microsoft Graph на сайте GitHub.

API-интерфейсы подтверждения компрометации и пользователей, совершающих рискованные действия

Иногда независимые поставщики программного обеспечения могут узнать о компрометации, которая выходит за рамки Azure Active Directory. Для любого события безопасности, особенно тех, кто включает компрометацию учетных записей, корпорация Майкрософт и независимый поставщик программного обеспечения могут совместно работать, делясь информацией с обеих сторон. API подтверждения компрометации позволит вам повысить уровень риска для пользователя, к которому относится полученная информация. После этого Azure Active Directory примет необходимые меры, например потребует повторного входа пользователя или ограничит ему доступ к конфиденциальным данным.

Diagram showing a user using an application, which then calls Azure Active Directory to set user risk level to high.

В другом направлении Azure Active Directory постоянно оценивает риск пользователей на основе различных сигналов и машинного обучения. API пользователей, действия которых представляют риск, предоставляет программный доступ к сведениям о пользователях с высоким уровнем риска в арендаторе AAD, к которому относится приложение. Независимые поставщики программного обеспечения могут использовать этот API, чтобы убедиться, что они обрабатывают пользователей соответствующим образом в соответствии с текущим уровнем риска. Тип ресурса riskyUser.

Diagram showing a user using an application, which then calls Azure Active Directory to retrieve the user's risk level.

Уникальные сценарии продукта

Следующее руководство предназначено для независимых поставщиков программного обеспечения, которые предлагают конкретные типы решений.

Безопасная интеграция гибридного доступа. Многие бизнес-приложения были созданы для использования в защищенной корпоративной сети, и в некоторых из этих приложений используются устаревшие способы проверки подлинности. Так как компании стремятся реализовать стратегию "Никому не доверяй" и поддерживать гибридные и облачные рабочие среды, им нужны решения, которые подключают приложения к Azure Active Directory и предоставляют современные решения проверки подлинности для устаревших приложений. Используйте это руководство для создания решений, которые предоставляют современные возможности облачной проверки подлинности для устаревших локальных приложений.

Как стать поставщиком ключей безопасности FIDO2, совместимых со службами Майкрософт. Ключи безопасности FIDO2 могут заменить слабые учетные данные на сильное сочетание открытого и закрытого ключей с аппаратной поддержкой. Такие учетные данные невозможно использовать повторно, воспроизводить или использовать в нескольких службах одновременно. Вы можете стать поставщиком ключей безопасности FIDO2, совместимых со службами Майкрософт, выполнив описанный в этом документе процесс.

Azure Active Directory B2C

Azure Active Directory B2C — это решение для управления удостоверениями клиентов и доступом (CIAM), которое поддерживает миллионы пользователей и миллиарды проверок подлинности в день. Это решение проверки подлинности с белой меткой, которое позволяет пользователям смешиваться с фирменными веб-приложениями и мобильными приложениями.

Как и в Случае с Azure Active Directory, партнеры могут интегрироваться с Azure Active Directory B2C с помощью Microsoft Graph и ключевых API безопасности, таких как условный доступ, подтверждение компрометации и рискованные API-интерфейсы пользователей. Дополнительные сведения об этих интеграции см. в разделе Azure AD выше.

Этот раздел содержит несколько других возможностей интеграции, которые могут поддерживать независимые партнеры поставщика программного обеспечения.

Примечание

Мы настоятельно рекомендуем клиентам использовать Azure Active Directory B2C (и решения, интегрированные с ним), активировать защиту идентификации и условный доступ в Azure Active Directory B2C.

Интеграция с конечными точками RESTful

Независимые поставщики программного обеспечения могут интегрировать свои решения с помощью конечных точек RESTful, чтобы обеспечить многофакторную проверку подлинности (MFA) и управление доступом на основе ролей (RBAC), включить проверку подлинности и проверку подлинности идентификации, повысить безопасность с помощью обнаружения ботов и защиты от мошенничества, а также обеспечить соответствие требованиям директивы 2 (PSD2) Secure Customer Authentication (SCA).

У нас есть рекомендации по использованию конечных точек RESTful , а также подробные пошаговые руководства партнеров, интегрированных с помощью API RESTful:

Брандмауэр веб-приложения

Брандмауэр веб-приложений (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. Azure Active Directory B2C позволяет независимым поставщикам программного обеспечения интегрировать свою службу WAF, чтобы весь трафик в личные домены Azure Active Directory B2C (например, login.contoso.com) всегда проходил через службу WAF, обеспечивая дополнительный уровень безопасности.

Для реализации решения WAF необходимо настроить личные домены Azure Active Directory B2C. Это можно прочитать в нашем руководстве по включению личных доменов. Вы также можете увидеть существующих партнеров, создавших решения WAF, которые интегрируются с Azure Active Directory B2C.

Дальнейшие действия