Identitásintegrációk
Az identitás a modern munkahely hozzáférés-kezelésének fő vezérlősíkja, és elengedhetetlen a zéró megbízhatóság implementálásához. Az identitáskezelési megoldások erős hitelesítési és hozzáférési szabályzatokkal támogatják a zéró megbízhatóságot, a legkevésbé kiemelt hozzáférést részletes engedélyekkel és hozzáféréssel, valamint olyan vezérlőket és szabályzatokat, amelyek a biztonságos erőforrásokhoz való hozzáférést kezelik, és minimalizálják a támadások robbanási sugarát.
Ez az integrációs útmutató bemutatja, hogy a független szoftvergyártók (ISV-k) és a technológiai partnerek hogyan integrálhatók a Microsoft Entra-azonosítóval, hogy biztonságos nulla megbízhatósági megoldásokat hozzanak létre az ügyfelek számára.
"Zero Trust az Identitás integrációs útmutató"
Ez az integrációs útmutató a Microsoft Entra ID-t és az Azure Active Directory B2C-t ismerteti.
A Microsoft Entra ID a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. Egyszeri bejelentkezéses hitelesítést, feltételes hozzáférést, jelszó nélküli és többtényezős hitelesítést, automatizált felhasználói kiépítést és sok más funkciót biztosít, amelyek lehetővé teszik a vállalatok számára az identitásfolyamatok nagy léptékű védelmét és automatizálását.
Az Azure Active Directory B2C egy üzleti célú identitáshozzáférés-kezelési (CIAM) megoldás, amellyel az ügyfelek biztonságos, fehér címkés hitelesítési megoldásokat implementálnak, amelyek egyszerűen méretezhetők, és illeszkednek a márkás webes és mobilalkalmazási szolgáltatásokba. Az integrációs útmutató az Azure Active Directory B2C szakaszban érhető el.
Microsoft Entra-azonosító
A megoldást számos módon integrálhatja a Microsoft Entra ID azonosítójával. Az alapvető integrációk az ügyfelek védelméről szólnak a Microsoft Entra ID beépített biztonsági képességeinek használatával. A fejlett integrációk egy lépéssel tovább viszik a megoldást a továbbfejlesztett biztonsági funkciókkal.
Alapszintű integrációk
Az alapvető integrációk a Microsoft Entra ID beépített biztonsági képességeivel védik ügyfeleit.
Engedélyezze az egyszeri bejelentkezést és a közzétevő ellenőrzését
Az egyszeri bejelentkezés engedélyezéséhez javasoljuk, hogy tegye közzé az alkalmazást az alkalmazáskatalógusban. Ez növeli az ügyfelek bizalmát, mert tudják, hogy alkalmazásának kompatibilitását a Microsoft Entra ID-vel érvényesítették, és Ön ellenőrzött közzétevővé válhat, így az ügyfelek biztosak lehetnek abban, hogy Ön az alkalmazás közzétevője, amelyet hozzáadnak az ő bérlői környezetükhöz.
Az alkalmazáskatalógusban való közzététel megkönnyíti az informatikai rendszergazdák számára, hogy automatikus alkalmazásregisztrációval integrálják a megoldást a bérlőjükbe. A manuális regisztrációk gyakran okoznak támogatási problémákat az alkalmazásokkal kapcsolatban. Ha hozzáadja az alkalmazást a katalógushoz, elkerülheti az alkalmazással kapcsolatos problémákat.
Mobilalkalmazások esetén javasoljuk, hogy a Microsoft Authentication Library és egy rendszerböngésző használatával implementálja az egyszeri bejelentkezési.
Felhasználói jogosultságok integrálása
Az identitások és a hozzáférés kezelése több ezer felhasználóval rendelkező szervezetek számára kihívást jelent. Ha a megoldást nagy szervezetek fogják használni, fontolja meg a felhasználók adatainak szinkronizálását, valamint az alkalmazás és a Microsoft Entra-azonosító közötti hozzáférést. Ez segít konzisztensen tartani a felhasználói hozzáférést módosítások esetén.
Az SCIM (System for Cross-Domain Identity Management) nyílt szabvány a felhasználói identitásadatok cseréjére. Az SCIM felhasználókezelési API-val automatikusan kiépítheti a felhasználókat és csoportokat az alkalmazás és a Microsoft Entra-azonosító között.
A témával kapcsolatos oktatóanyagunk SCIM-végpontot fejleszt a Microsoft Entra IDalkalmazásainak felhasználói kiépítéséhez, amely leírja, hogyan hozhat létre SCIM-végpontot, és hogyan integrálható a Microsoft Entra kiépítési szolgáltatással.
Speciális integrációk
A speciális integrációk még tovább növelik az alkalmazás biztonságát.
Feltételes hozzáférés hitelesítési környezete
feltételes hozzáférés hitelesítési környezete lehetővé teszi, hogy az alkalmazások szabályzatkényszerítést indítsanak, amikor egy felhasználó bizalmas adatokhoz vagy műveletekhez fér hozzá, így a felhasználók hatékonyabban és biztonságosan kezelhetik a bizalmas erőforrásokat.
Folyamatos hozzáférés kiértékelése
folyamatos hozzáférés-kiértékelés (CAE) lehetővé teszi a hozzáférési jogkivonatok visszavonását kritikus események és szabályzatok kiértékelése alapján, ahelyett, hogy a jogkivonatok lejáratára támaszkodnak az élettartam alapján. Egyes erőforrás API-k esetében, mivel a kockázatot és a szabályzatot valós időben értékelik ki, ez akár 28 órára is növelheti a jogkivonatok élettartamát, ami rugalmasabbá és teljesíthetőbbé teszi az alkalmazást.
Biztonsági API-k
Tapasztalataink szerint számos független szoftvergyártó találta különösen hasznosnak ezeket az API-kat.
Felhasználói és csoport API-k
Ha az alkalmazásnak frissítenie kell a bérlőben lévő felhasználókat és csoportokat, a felhasználó és a csoport API-jai a Microsoft Graph segítségével visszaírhatók a Microsoft Entra-bérlőbe. Az API használatáról a Microsoft Graph REST API 1.0-s verziójának referencia- és a felhasználói erőforrástípus referenciadokumentációjában olvashat bővebben
Feltételes hozzáférési API
feltételes hozzáférés a zéró megbízhatóság kulcsfontosságú része, mivel segít biztosítani, hogy a megfelelő felhasználó megfelelő hozzáféréssel rendelkezzen a megfelelő erőforrásokhoz. A feltételes hozzáférés engedélyezése lehetővé teszi, hogy a Microsoft Entra-azonosító a számítási kockázat és az előre konfigurált szabályzatok alapján döntsön a hozzáférésről.
A független szoftvergyártók kihasználhatják a feltételes hozzáférést azáltal, hogy kihasználják a feltételes hozzáférési szabályzatok alkalmazásának lehetőségét, ha relevánsak. Ha például egy felhasználó különösen kockázatos, javasoljuk, hogy az ügyfél engedélyezze a feltételes hozzáférést a felhasználó számára a felhasználói felületen keresztül, és programozott módon engedélyezze azt a Microsoft Entra-azonosítóban.
További információ: feltételes hozzáférési szabályzatok konfigurálása a Microsoft Graph API GitHub-minta használatával.
Biztonsági és kockázatos felhasználói API-k megerősítése
Néha előfordulhat, hogy a független szoftvergyártók a Microsoft Entra ID hatókörén kívül eső kompromisszumot észlelnek. Bármilyen biztonsági esemény, különösen a fiókfeltörést is magában foglaló helyzetek esetén, a Microsoft és a független szoftverszállító együttműködhet a két fél információinak megosztásával. A kompromisszum megerősítése API lehetővé teszi a célzott felhasználó kockázati szintjének magasra állítását. Ez lehetővé teszi, hogy a Microsoft Entra ID megfelelően válaszoljon, például a felhasználó ismételt hitelesítésének megkövetelésével vagy a bizalmas adatokhoz való hozzáférés korlátozásával.
A másik irányba haladva a Microsoft Entra ID folyamatosan kiértékeli a felhasználói kockázatokat különböző jelek és gépi tanulás alapján. A Kockázatos felhasználói API programozott hozzáférést biztosít az alkalmazás Microsoft Entra-bérlőjében lévő összes veszélyeztetett felhasználó számára. A független szoftvergyártók használhatják ezt az API-t annak biztosítására, hogy a felhasználókat a jelenlegi kockázati szintjüknek megfelelően kezelik. riskyUser erőforrás típusa.
Egyedi termékforgatókönyvek
Az alábbi útmutató olyan független szoftvergyártóknak szól, akik bizonyos típusú megoldásokat kínálnak.
Biztonságos hibrid hozzáférési integrációk Számos üzleti alkalmazás lett létrehozva egy védett vállalati hálózaton belül való működéshez, és néhány alkalmazás régebbi hitelesítési módszereket használ. Mivel a vállalatok nulla megbízhatósági stratégiát szeretnének kialakítani, és támogatják a hibrid és a felhőbeli első munkahelyi környezeteket, olyan megoldásokra van szükségük, amelyek összekapcsolják az alkalmazásokat a Microsoft Entra ID-val, és modern hitelesítési megoldásokat biztosítanak az örökölt alkalmazásokhoz. Ebben az útmutatóban olyan megoldásokat hozhat létre, amelyek modern felhőhitelesítést biztosítanak az örökölt helyszíni alkalmazásokhoz.
Legyen Microsoft-kompatibilis FIDO2 biztonságikulcs-szállító, a FIDO2 biztonsági kulcsok a gyenge hitelesítő adatokat erős, hardveralapú nyilvános/titkos kulcsú hitelesítő adatokra cserélhetik, amelyek nem használhatók fel újra, nem játszhatók újra és nem oszthatók meg a szolgáltatások között. A jelen dokumentumban ismertetett folyamat követésével Microsoft-kompatibilis FIDO2 biztonságikulcs-szállítóvá válhat.
Azure Active Directory B2C
Az Azure Active Directory B2C egy ügyfélidentitás- és hozzáférés-kezelési (CIAM) megoldás, amely naponta több millió felhasználót és több milliárd hitelesítést képes támogatni. Ez egy fehér címkés hitelesítési megoldás, amely lehetővé teszi a védjegyzett webes és mobilalkalmazásokkal keveredő felhasználói élményeket.
A Microsoft Entra ID-hez hasonlóan a partnerek is integrálhatók az Azure Active Directory B2C-vel Microsoft Graph és olyan kulcsfontosságú biztonsági API-k használatával, mint a feltételes hozzáférés, a biztonsági kockázatok megerősítése és a kockázatos felhasználói API-k. Ezekről az integrációkról a fenti Microsoft Entra ID szakaszban olvashat bővebben.
Ez a szakasz számos más integrációs lehetőséget is tartalmaz, a független szoftverszállító partnerek is támogathatják.
Jegyzet
Javasoljuk, hogy az Azure Active Directory B2C-t (és az azokkal integrált megoldásokat) használó ügyfelek aktiválják Identity Protection és feltételes hozzáférést az Azure Active Directory B2C.
Integrálás RESTful-végpontokkal
A független szoftvergyártók RESTful végpontokon keresztül integrálhatják megoldásaikat a többtényezős hitelesítés (MFA) és a szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezéséhez, az identitásellenőrzés és -ellenőrzés engedélyezéséhez, a robotészlelés és a csalás elleni védelem biztonságának javításához, valamint a 2. fizetési szolgáltatási irányelv (PSD2) biztonságos ügyfélhitelesítési (SCA) követelményeinek való megfeleléshez.
Útmutatást a RESTful-végpontok, valamint a RESTful API-k használatával integrálódott partnerek részletes mintaútmutatóihoz:
- Identitásellenőrzés és -ellenőrzés, amely lehetővé teszi az ügyfelek számára a végfelhasználók személyazonosságának ellenőrzését
- szerepköralapú hozzáférés-vezérlési, amely lehetővé teszi a részletes hozzáférés-vezérlést a végfelhasználók számára
- Helyszíni alkalmazáshibrid hozzáférésének védelme, amely lehetővé teszi, hogy a végfelhasználók modern hitelesítési protokollokkal férhessenek hozzá a helyszíni és az örökölt alkalmazásokhoz
- Csalás elleni védelem, amely lehetővé teszi az ügyfelek számára, hogy megvédjék alkalmazásaikat és végfelhasználóikat a hamis bejelentkezési kísérletektől és robottámadásoktól
Webalkalmazási tűzfal
A webalkalmazási tűzfal (WAF) központi védelmet biztosít a webalkalmazások számára a gyakori kihasználási módok és biztonsági rések ellen. Az Azure Active Directory B2C lehetővé teszi a független szoftvergyártók számára, hogy integrálják a WAF-szolgáltatást, így az Azure Active Directory B2C egyéni tartományaiba (például login.contoso.com) irányuló összes forgalom mindig áthalad a WAF szolgáltatáson, és további biztonsági réteget biztosít.
A WAF-megoldások implementálásához egyéni Azure Active Directory B2C-tartományokat kell konfigurálni. Ezt az egyéni tartományokengedélyezéséről szóló