Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Удостоверение — это ключевой уровень управления доступом на современном рабочем месте и является важным для реализации Zero Trust. Поддержка идентификационных решений
- Zero Trust с помощью надежной аутентификации и политик управления доступом.
- Минимальный привилегированный доступ с подробным разрешением и доступом.
- Контроли и политики управляют доступом к защищенным ресурсам и минимизируют масштаб атак.
В этом руководстве по интеграции объясняется, как независимые поставщики программного обеспечения и партнеры по технологиям могут интегрироваться с Microsoft Entra ID для создания безопасных решений Zero Trust для клиентов.
руководство по интеграции Zero Trust для управления удостоверениями
В этом руководстве по интеграции рассматриваются Microsoft Entra ID и внешний идентификатор Майкрософт.
Microsoft Entra ID — это облачная служба управления удостоверениями и доступом Майкрософт. Она предоставляет следующие возможности.
- Аутентификация единого входа
- Условный доступ
- Без пароля и многофакторная проверка подлинности
- Автоматическая подготовка пользователей
- И многие другие функции, позволяющие предприятиям защищать и автоматизировать процессы идентификации в масштабе
Microsoft Entra External ID — это b2c-решение для управления доступом клиентов (CIAM). Клиенты используют Microsoft Entra External ID для реализации безопасных решений проверки подлинности белых меток, которые легко масштабируются и смешиваются с фирменными веб-приложениями и мобильными приложениями. Узнайте о руководстве по интеграции в разделе Microsoft Entra External ID.
Microsoft Entra ID
Существует множество способов интеграции решения с Microsoft Entra ID. Базовые интеграции предназначены для защиты клиентов с помощью встроенных возможностей безопасности Microsoft Entra ID. Расширенные интеграции ускорят развитие вашего решения благодаря улучшенным возможностям безопасности.
Базовые интеграции
Базовые интеграции защищают клиентов с помощью встроенных возможностей безопасности Microsoft Entra ID.
Включить единый вход и проверку издателя.
Чтобы включить единый вход, рекомендуется опубликовать приложение в коллекции приложений. Этот подход повышает доверие клиентов, так как они знают, что приложение проверяется как совместимое с Microsoft Entra ID. Вы можете стать проверенным издателем , чтобы клиенты были уверены, что вы издатель приложения, которое они добавляют в свой клиент.
Публикация в коллекции приложений позволяет ИТ-администраторам легко интегрировать решение в свой клиент с автоматической регистрацией приложений. Регистрация вручную является распространенной причиной проблем с поддержкой приложений. Добавление приложения в коллекцию позволяет избежать этих проблем с приложением.
Для мобильных приложений рекомендуется использовать Microsoft Authentication Library и системный браузер для реализовать единый вход.
Интеграция подготовки пользователей
Управлять удостоверениями личности и доступом в организациях с тысячами пользователей сложно. Если крупные организации используют свое решение, рассмотрите возможность синхронизации сведений о пользователях и доступе между приложением и Microsoft Entra ID. Это помогает обеспечить согласованность доступа пользователей при изменении.
SCIM (Система управления идентификацией между доменами) — это открытый стандарт для обмена сведениями о пользовательских идентификациях. API управления пользователями SCIM можно использовать для автоматического предоставления и управления пользователями и группами в вашем приложении и Microsoft Entra ID.
Develop конечной точки SCIM для подготовки пользователей к приложениям из Microsoft Entra ID описывает создание конечной точки SCIM и интеграцию с службой подготовки Microsoft Entra.
Расширенные интеграции
Расширенные интеграции дополнительно повышают безопасность вашего приложения.
Контекст проверки подлинности условного доступа
Контекст проверки подлинности условного доступа позволяет приложениям активировать применение политик, когда пользователь обращается к конфиденциальным данным или действиям, обеспечивая пользователям более продуктивную работу и защиту конфиденциальных ресурсов.
Оценка непрерывного доступа
Оценка непрерывного доступа (CAE) позволяет отзывать токены доступа на основе критических событий и оценки политики, вместо того чтобы полагаться на срок их действия. Для некоторых API ресурсов, так как риск и политика оцениваются в режиме реального времени, это может увеличить время существования маркера до 28 часов, что повышает устойчивость приложения и производительность.
API безопасности
В нашем опыте многие независимые поставщики программного обеспечения считают эти API полезными.
API пользователей и групп
Если вашему приложению необходимо внести изменения в пользователей и группы в тенанте, вы можете использовать API пользователей и групп Microsoft Graph для записи изменений обратно в тенант Microsoft Entra. Дополнительные сведения о работе с API см. в справочнике Microsoft Graph REST API версии 1.0 и справочной документации по типу ресурса пользователя
API условного доступа
Conditional access является ключевой частью Zero Trust, так как она помогает обеспечить правильный доступ к правильным ресурсам. Включение условного доступа позволяет Microsoft Entra ID принимать решение о доступе на основе вычисляемых рисков и предварительно настроенных политик.
Независимые поставщики программного обеспечения могут воспользоваться условным доступом, используя возможность применения политик условного доступа при необходимости. Например, если пользователь особенно рискованный, вы можете предложить клиенту включить условный доступ для этого пользователя через пользовательский интерфейс и программно включить его в Microsoft Entra ID.
Дополнительные сведения см. в документации по настройке политик условного доступа с помощью Microsoft Graph API.
Подтверждение компрометации безопасности и рискованных пользовательских API-интерфейсов
Иногда независимые поставщики программного обеспечения могут знать о компрометации, которая находится за пределами области Microsoft Entra ID. Для любого инцидента безопасности, особенно тех, которые включают компрометацию учетных записей, Корпорация Майкрософт и независимый поставщик программного обеспечения могут сотрудничать, обмениваясь информацией, полученной от обеих сторон. API для подтверждения компрометации позволяет установить высокий уровень риска для целевого пользователя. Этот API позволяет Microsoft Entra ID реагировать соответствующим образом, например, требуя от пользователя повторной проверки подлинности или путем ограничения доступа к конфиденциальным данным.
В другом направлении Microsoft Entra ID постоянно оценивает риск пользователей на основе различных сигналов и машинного обучения. API рискованных пользователей предоставляет программный доступ ко всем пользователям, подверженным риску, в клиенте Microsoft Entra приложения. Независимые поставщики программного обеспечения могут использовать этот API, чтобы гарантировать, что они обрабатывают пользователей соответствующим образом в соответствии с текущим уровнем риска. тип ресурса riskyUser.
Уникальные сценарии продуктов
Ниже приведены рекомендации для независимых поставщиков программного обеспечения, которые предлагают конкретные типы решений.
Защита интеграции гибридного доступа Многие бизнес-приложения были созданы для работы внутри защищенной корпоративной сети, а некоторые из этих приложений используют устаревшие методы проверки подлинности. Поскольку компании хотят создать стратегию Zero Trust и поддерживать гибридные и облачные рабочие среды, им нужны решения, которые подключают приложения к Microsoft Entra ID и предоставляют современные решения проверки подлинности для устаревших приложений. Используйте это руководство для создания решений, которые обеспечивают современную облачную проверку подлинности для устаревших локальных приложений.
Станьте поставщиком ключей безопасности, совместимым с Майкрософт FIDO2 Ключи безопасности FIDO2 могут заменить слабые учетные данные строгими учетными данными открытого и закрытого ключа, которые нельзя использовать повторно, воспроизводить или совместно использовать между службами. Вы можете стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2, следуя процессу в этом документе.
Microsoft Entra External ID
Microsoft Entra External ID объединяет мощные решения для работы с людьми за пределами вашей организации. С помощью возможностей внешнего идентификатора можно разрешить внешним идентификаторам безопасно получать доступ к вашим приложениям и ресурсам. Независимо от того, работаете ли вы с внешними партнерами, потребителями или бизнес-клиентами, пользователи могут использовать свои собственные идентичности. Эти идентификации могут варьироваться от корпоративных или государственных учетных записей до поставщиков социальных идентификаций, таких как Google или Facebook. Дополнительные сведения о защите приложений для внешних партнеров, потребителей или бизнес-клиентов см. в статье "Общие сведения о внешнем идентификаторе Майкрософт".
Интеграция с конечными точками RESTful
Независимые поставщики программного обеспечения могут интегрировать свои решения с помощью конечных точек RESTful, чтобы обеспечить многофакторную аутентификацию (MFA) и управление доступом на основе ролей (RBAC), включить верификацию и удостоверение подлинности личности, повысить безопасность с помощью обнаружения ботов и защиты от мошенничества, а также обеспечить соответствие требованиям Второй директивы о платежных услугах (PSD2) по безопасной аутентификации клиентов (SCA).
У нас есть рекомендации по использованию конечных точек RESTful и подробные пошаговые руководства о партнерах, интегрировавших API RESTful.
- Проверка личности и удостоверение подлинности, которая позволяет клиентам проверять личность конечных пользователей.
- Управление доступом на основе ролей, которое позволяет детализированному управлению доступом конечным пользователям
- Безопасный гибридный доступ к локальному приложению, что позволяет конечным пользователям получать доступ к локальным и устаревшим приложениям с помощью современных протоколов проверки подлинности.
- Защита от мошенничества, которая позволяет клиентам защищать свои приложения и конечных пользователей от мошеннических попыток входа и атак ботов
Брандмауэр для веб-приложений
Web Application Firewall (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. Microsoft Entra External ID позволяет независимым поставщикам программного обеспечения интегрировать свою службу WAF. Весь трафик к пользовательским доменам (например, login.contoso.com) всегда передается через службу WAF, чтобы обеспечить другой уровень безопасности.
Чтобы реализовать решение WAF, настройте пользовательские домены Microsoft Entra External ID. Обзор пользовательских доменов URL для Microsoft Entra External ID описывает, как настроить Microsoft Entra External ID в пользовательских URL-доменах во внешних тенантах.