Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Identitet är det viktigaste kontrollplanet för att hantera åtkomst på den moderna arbetsplatsen och är avgörande för att implementera Zero Trust. Stöd för identitetslösningar:
- Zero Trust via starka autentiserings- och åtkomstprinciper.
- Minimerad åtkomst med detaljerade behörigheter och åtkomstkontroll.
- Kontroller och principer som hanterar åtkomst till säkra resurser och minimerar explosionsradien för attacker.
Den här integreringsguiden förklarar hur oberoende programvaruleverantörer (ISV: er) och teknikpartner kan integreras med Microsoft Entra ID för att skapa säkra Zero Trust lösningar för kunder.
Zero Trust för identitetsintegreringsguide
Den här integreringsguiden beskriver Microsoft Entra ID och Microsofts externa ID.
Microsoft Entra ID är Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Den tillhandahåller följande funktioner:
- Autentisering med enkel inloggning
- Villkorlig åtkomst
- Lösenordsfri och multifaktorautentisering
- Automatisk användaretablering
- Och många fler funktioner som gör det möjligt för företag att skydda och automatisera identitetsprocesser i stor skala
Microsoft Entra External ID är en CIAM-lösning (business-to-customer identity access management). Kunder använder Microsoft Entra External ID för att implementera säkra lösningar för vit etikettautentisering som enkelt skalas och blandas med varumärkesbaserade webb- och mobilprogramupplevelser. Läs mer om integreringsvägledning i avsnittet Microsoft Entra External ID.
Microsoft Entra ID
Det finns många sätt att integrera din lösning med Microsoft Entra ID. Grundläggande integreringar handlar om att skydda dina kunder med hjälp av Microsoft Entra ID inbyggda säkerhetsfunktioner. Avancerade integreringar tar din lösning ett steg längre med förbättrade säkerhetsfunktioner.
Grundläggande integreringar
Grundläggande integreringar skyddar dina kunder med Microsoft Entra ID inbyggda säkerhetsfunktioner.
Aktivera enkel inloggning (Single Sign-On) och verifiering av utgivare
Om du vill aktivera enkel inloggning rekommenderar vi att du publicerar din app i appgalleriet. Den här metoden ökar kundernas förtroende eftersom de vet att ditt program är verifierat som kompatibelt med Microsoft Entra ID. Du kan bli en verifierad utgivare så att kunderna är säkra på att du är utgivare av appen som de lägger till i sin klientorganisation.
Publicering i appgalleriet gör det enkelt för IT-administratörer att integrera lösningen i sin klientorganisation med automatisk appregistrering. Manuella registreringar är en vanlig orsak till supportproblem med program. Om du lägger till din app i galleriet undviker du dessa problem med din app.
För mobilappar rekommenderar vi att du använder Microsoft Authentication Library och en systemwebbläsare för att implement enkel inloggning.
Integrera användarförsörjning
Det är svårt att hantera identiteter och åtkomst för organisationer med tusentals användare. Om stora organisationer använder din lösning bör du överväga att synkronisera information om användare och åtkomst mellan ditt program och Microsoft Entra ID. Detta hjälper till att hålla användaråtkomsten konsekvent när ändringar sker.
SCIM (System for Cross-Domain Identity Management) är en öppen standard för utbyte av användaridentitetsinformation. Du kan använda SCIM-användarhanterings-API:et för att automatiskt etablera användare och grupper mellan ditt program och Microsoft Entra ID.
Utveckla en SCIM-slutpunkt för användaretablering till appar från Microsoft Entra ID beskriver hur du skapar en SCIM-slutpunkt och integrerar med Microsoft Entra etableringstjänsten.
Avancerade integreringar
Avancerade integreringar ökar säkerheten för ditt program ytterligare.
Autentiseringskontext för villkorsstyrd åtkomst
Med autentiseringskontexten för villkorsstyrd åtkomst kan appar utlösa principframtvingande när en användare får åtkomst till känsliga data eller åtgärder, vilket gör att användarna blir mer produktiva och dina känsliga resurser skyddas.
Utvärdering av kontinuerlig åtkomst
Med utvärdering av kontinuerlig åtkomst (CAE) kan åtkomsttoken återkallas baserat på kritiska händelser och principutvärdering i stället för att förlita sig på att token upphör att gälla baserat på livslängd. För vissa resurs-API:er, eftersom risk och princip utvärderas i realtid, kan detta öka tokens livslängd upp till 28 timmar, vilket gör ditt program mer motståndskraftigt och högpresterande.
Säkerhets-API:er
Enligt vår erfarenhet tycker många oberoende programvaruleverantörer att dessa API:er är användbara.
Användar- och grupp-API:er
Om programmet behöver göra uppdateringar för användare och grupper i klientorganisationen kan du använda användar- och grupp-API:erna via Microsoft Graph för att skriva tillbaka till Microsoft Entra klientorganisationen. Du kan läsa mer om att använda API:et i referensen Microsoft Graph REST API v1.0 och referensdokumentationen för resurstypen användare
API för villkorsstyrd åtkomst
Villkorlig åtkomst är en viktig del av Zero Trust eftersom det hjälper till att säkerställa att rätt användare har rätt åtkomst till rätt resurser. Om du aktiverar villkorlig åtkomst kan Microsoft Entra ID fatta åtkomstbeslut baserat på beräknade risker och förkonfigurerade principer.
Oberoende programvaruleverantörer kan dra nytta av villkorlig åtkomst genom att visa alternativet att tillämpa principer för villkorlig åtkomst när det är relevant. Om en användare till exempel är särskilt riskabel kan du föreslå att kunden aktiverar villkorsstyrd åtkomst för användaren via användargränssnittet och programmatiskt aktiverar den i Microsoft Entra ID.
Mer information finns i konfigurera principer för villkorsstyrd åtkomst med hjälp av dokumentationen för Microsoft Graph API.
Bekräfta komprometterande och riskfyllda användar-API:er
Ibland kan oberoende programvaruleverantörer bli medvetna om kompromisser som ligger utanför omfånget för Microsoft Entra ID. För alla säkerhetshändelser, särskilt de som inkluderar kontokompromettering, kan Microsoft och den oberoende programvaruleverantören samarbeta genom att dela information från båda parter. Med api:et confirm compromise kan du ange en målanvändares risknivå till hög. Med det här API:et kan Microsoft Entra ID svara på rätt sätt, till exempel genom att kräva att användaren autentiserar på nytt eller genom att begränsa deras åtkomst till känsliga data.
I den andra riktningen utvärderar Microsoft Entra ID kontinuerligt användarrisken baserat på olika signaler och maskininlärning. API:et för riskfyllda användare ger programmatisk åtkomst till alla riskfyllda användare i appens Microsoft Entra klientorganisation. Oberoende programvaruleverantörer kan använda det här API:et för att säkerställa att de hanterar användarna på lämpligt sätt till den aktuella risknivån. riskyAnvändarresurstyp.
Unika produktscenarier
Följande vägledning gäller för oberoende programvaruleverantörer som erbjuder specifika typer av lösningar.
Säkra hybridåtkomstintegreringar Många affärsprogram skapades för att fungera i ett skyddat företagsnätverk, och vissa av dessa program använder äldre autentiseringsmetoder. När företag vill skapa en Zero Trust strategi och stödja hybridmiljöer och molnbaserade arbetsmiljöer behöver de lösningar som ansluter appar för att Microsoft Entra ID och tillhandahålla moderna autentiseringslösningar för äldre program. Använd den här guiden för att skapa lösningar som tillhandahåller modern molnautentisering för äldre lokala program.
Bli en Microsoft-kompatibel FIDO2-leverantör av säkerhetsnycklar FIDO2-säkerhetsnycklar kan ersätta svaga autentiseringsuppgifter med starka maskinvarubaserade offentliga/privata nyckelautentiseringsuppgifter som inte kan återanvändas, spelas upp eller delas mellan tjänster. Du kan bli en Microsoft-kompatibel FIDO2-säkerhetsnyckelleverantör genom att följa processen i det här dokumentet.
Microsoft Entra External ID
Microsoft Entra External ID kombinerar kraftfulla lösningar för att arbeta med personer utanför organisationen. Med funktioner för externt ID kan du tillåta att externa identiteter kommer åt dina appar och resurser på ett säkert sätt. Oavsett om du arbetar med externa partner, konsumenter eller företagskunder kan användarna ta med sina egna identiteter. Dessa identiteter kan sträcka sig från företags- eller myndighetsbaserade konton till sociala identitetsleverantörer som Google eller Facebook. Mer information om hur du skyddar dina appar för externa partner, konsumenter eller företagskunder finns i Introduktion till Microsofts externa ID.
Integrera med RESTful-slutpunkter
Oberoende programvaruleverantörer kan integrera sina lösningar via RESTful-slutpunkter för att aktivera multifaktorautentisering (MFA) och rollbaserad åtkomstkontroll (RBAC), aktivera identitetsverifiering och bevis, förbättra säkerheten med robotidentifiering och bedrägeriskydd och uppfylla KRAVEN för betaltjänsters direktiv 2 (PSD2) säker kundautentisering (SCA).
Vi har vägledning om hur du använder våra RESTful-slutpunkter och detaljerade exempelgenomgångar för partner som är integrerade med RESTful-API:erna:
- Identitetsverifiering och bevis, vilket gör det möjligt för kunder att verifiera identiteten för sina slutanvändare
- Rollbaserad åtkomstkontroll, som möjliggör detaljerad åtkomstkontroll för slutanvändare
- Skydda hybridåtkomst till lokala program, vilket gör det möjligt för slutanvändare att komma åt lokala och äldre program med moderna autentiseringsprotokoll
- Bedrägeriskydd, som gör det möjligt för kunder att skydda sina program och slutanvändare från bedrägliga inloggningsförsök och robotattacker
Brandvägg för webbprogram
Web Application Firewall (WAF) ger ett centraliserat skydd för webbprogram mot vanliga exploateringar och sårbarheter. Microsoft Entra External ID gör det möjligt för oberoende programvaruleverantörer att integrera sin WAF-tjänst. All trafik till anpassade domäner (till exempel login.contoso.com) passerar alltid genom WAF-tjänsten för att tillhandahålla ett annat säkerhetslager.
Om du vill implementera en WAF-lösning konfigurerar du Microsoft Entra External ID anpassade domäner. Översikt över anpassade URL-domäner för Microsoft Entra External ID beskriver hur du konfigurerar Microsoft Entra External ID i anpassade URL-domäner i externa klientorganisationer.