Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'identità è il piano di controllo chiave per la gestione dell'accesso nell'ambiente di lavoro moderno ed è essenziale per implementare Zero Trust. Supporto delle soluzioni di gestione delle identità:
- Zero Trust tramite l'autenticazione avanzata e i criteri di accesso.
- Accesso con privilegi minimi con autorizzazioni e accesso granulari.
- Controlla e criteri che gestiscono l'accesso alle risorse sicure e riducono al minimo il raggio di attacco.
Questa guida all'integrazione illustra in che modo i fornitori di software indipendenti (ISV) e i partner tecnologici possono integrarsi con Microsoft Entra ID per creare soluzioni di Zero Trust sicure per i clienti.
Guida all'integrazione delle identità con Zero Trust
Questa guida all'integrazione illustra Microsoft Entra ID e l'ID esterno Microsoft.
Microsoft Entra ID è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Offre le funzionalità seguenti:
- Autenticazione Single Sign-On
- Accesso condizionale
- Autenticazione senza password e a più fattori
- Gestione automatizzata degli utenti
- E molte altre funzionalità che consentono alle aziende di proteggere e automatizzare i processi di identità su larga scala
Microsoft Entra External ID è una soluzione CIAM (Business-to-Customer Identity Access Management). I clienti usano Microsoft Entra External ID per implementare soluzioni di autenticazione con etichette bianche sicure che si adattano facilmente e si fondono con esperienze di applicazioni Web e per dispositivi mobili personalizzate. Informazioni sulle linee guida sull'integrazione nella sezione Microsoft Entra External ID.
Microsoft Entra ID
Esistono molti modi per integrare la soluzione con Microsoft Entra ID. Le integrazioni fondamentali riguardano la protezione dei clienti usando le funzionalità di sicurezza predefinite di Microsoft Entra ID. Le integrazioni avanzate portano la soluzione in un ulteriore passo avanti con funzionalità di sicurezza avanzate.
Integrazioni fondamentali
Le integrazioni fondamentali proteggono i clienti con le funzionalità di sicurezza predefinite di Microsoft Entra ID.
Abilitare l'autenticazione unica e la verifica dell'editore
Per abilitare l'accesso Single Sign-On, è consigliabile pubblicare l'app nella raccolta di app. Questo approccio aumenta l'attendibilità dei clienti, perché sa che l'applicazione viene convalidata come compatibile con Microsoft Entra ID. È possibile diventare un editore verificato in modo che i clienti siano certi di essere l'editore dell'app che stanno aggiungendo al tenant.
La pubblicazione nella raccolta di app semplifica l'integrazione della soluzione nel tenant con la registrazione automatica delle app per gli amministratori IT. Le registrazioni manuali sono una causa comune di problemi di supporto con le applicazioni. Aggiungere l'app alla raccolta evita questi problemi relativi all'app.
Per le app per dispositivi mobili, è consigliabile usare il Microsoft Authentication Library e un browser di sistema per implement Single Sign-On.
Integrare il provisioning degli utenti
La gestione delle identità e dell'accesso per le organizzazioni con migliaia di utenti è complessa. Se le organizzazioni di grandi dimensioni usano la soluzione, è consigliabile sincronizzare le informazioni sugli utenti e l'accesso tra l'applicazione e Microsoft Entra ID. Ciò consente di mantenere coerente l'accesso degli utenti quando si verificano modifiche.
SCIM (System for Cross-Domain Identity Management) è uno standard aperto per lo scambio di informazioni sull'identità utente. È possibile usare l'API di gestione utenti SCIM per effettuare automaticamente il provisioning di utenti e gruppi tra l'applicazione e Microsoft Entra ID.
Develop a SCIM endpoint for user provisioning to apps from Microsoft Entra ID descrive come creare un endpoint SCIM per il provisioning degli utenti nelle app da Microsoft Entra ID e integrarlo con il servizio di provisioning di Microsoft Entra ID.
Integrazioni avanzate
Le integrazioni avanzate aumentano ulteriormente la sicurezza dell'applicazione.
Contesto di autenticazione dell'accesso condizionale
Il contesto di autenticazione dell'accesso condizionale consente alle app di attivare l'imposizione dei criteri quando un utente accede a dati o azioni sensibili, mantenendo gli utenti più produttivi e le risorse sensibili in sicurezza.
Valutazione continua dell'accesso
La valutazione dell'accesso continuo (CAE) consente di revocare i token di accesso in base a eventi critici e valutazione dei criteri anziché basarsi sulla scadenza del token in base alla durata. Per alcune API delle risorse, poiché i rischi e i criteri vengono valutati in tempo reale, questo può aumentare la durata dei token fino a 28 ore, che rendono l'applicazione più resiliente e efficiente.
API di sicurezza
Nella nostra esperienza, molti fornitori di software indipendenti trovano queste API per essere utili.
API utenti e gruppi
Se l'applicazione deve apportare aggiornamenti agli utenti e ai gruppi nel tenant, è possibile usare le API utente e gruppo tramite Microsoft Graph per eseguire il writeback nel tenant Microsoft Entra. Per altre informazioni sull'uso dell'API, vedere le informazioni di riferimento sull'API REST Microsoft Graph API REST v1.0 e la documentazione di riferimento per il tipo di risorsa user
API di accesso condizionale
Accesso condizionale è una parte fondamentale di Zero Trust perché consente all'utente corretto di accedere alle risorse appropriate. L'abilitazione dell'accesso condizionale consente Microsoft Entra ID di prendere decisioni di accesso in base ai rischi calcolati e ai criteri preconfigurati.
I fornitori di software indipendenti possono sfruttare l'accesso condizionale visualizzando l'opzione per applicare i criteri di accesso condizionale quando pertinente. Ad esempio, se un utente è particolarmente rischioso, è possibile suggerire al cliente di abilitare l'accesso condizionale per tale utente tramite l'interfaccia utente e abilitarlo a livello di codice in Microsoft Entra ID.
Per altre informazioni, vedere la documentazione di configurare i criteri di accesso condizionale usando la documentazione di Microsoft Graph API.
Confermare la compromissione e le API utente rischiose
A volte i fornitori di software indipendenti potrebbero diventare consapevoli della compromissione che non rientra nell'ambito di Microsoft Entra ID. Per qualsiasi evento di sicurezza, in particolare quelli che includono compromissione dell'account, Microsoft e il fornitore di software indipendente possono collaborare condividendo le informazioni da entrambe le parti. L'API per confermare la compromissione consente di impostare su alto il livello di rischio di un utente target. Questa API consente di Microsoft Entra ID rispondere in modo appropriato, ad esempio richiedendo all'utente di ripetere l'autenticazione o limitando l'accesso ai dati sensibili.
Nell'altra direzione, Microsoft Entra ID valuta continuamente il rischio utente in base a vari segnali e machine learning. L'API Utente rischioso fornisce l'accesso a livello di codice a tutti gli utenti a rischio nel tenant Microsoft Entra dell'app. I fornitori di software indipendenti possono usare questa API per garantire che gestiscano gli utenti in modo appropriato al livello di rischio corrente. tipo di risorsa riskyUser.
Scenari di prodotto univoci
Le indicazioni seguenti sono destinate ai fornitori di software indipendenti che offrono tipi specifici di soluzioni.
Integrazioni sicure dell'accesso ibrido Molte applicazioni aziendali sono state create per funzionare all'interno di una rete aziendale protetta e alcune di queste applicazioni usano metodi di autenticazione legacy. Poiché le aziende cercano di creare una strategia di Zero Trust e supportare ambienti di lavoro ibridi e cloud-first, hanno bisogno di soluzioni che connettono le app a Microsoft Entra ID e forniscono soluzioni di autenticazione moderne per le applicazioni legacy. Utilizzare questa guida per creare le soluzioni che forniscono autenticazione moderna nel cloud per le applicazioni locali legacy.
Diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft Le chiavi di sicurezza FIDO2 possono sostituire le credenziali deboli con credenziali di chiave pubblica/privata avanzate supportate dall'hardware che non possono essere riutilizzate, riprodotte o condivise tra i servizi. È possibile diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft seguendo la procedura descritta in questo documento.
Microsoft Entra External ID
Microsoft Entra External ID combina soluzioni efficaci per lavorare con persone esterne all'organizzazione. Con le funzionalità di ID esterno, è possibile permettere alle identità esterne di accedere in modo sicuro alle app e alle risorse. Sia che si stia lavorando con partner esterni, consumer o clienti aziendali, gli utenti possono portare le proprie identità. Queste identità possono variare da account aziendali o rilasciati da enti pubblici a provider di identità di social networking come Google o Facebook. Per altre informazioni sulla protezione delle app per partner esterni, consumer o clienti aziendali, vedere Introduzione all'ID esterno Microsoft.
Eseguire l'integrazione con gli endpoint RESTful
I fornitori di software indipendenti possono integrare le proprie soluzioni tramite endpoint RESTful per abilitare l'autenticazione a più fattori (MFA) e il controllo degli accessi in base al ruolo (RBAC), abilitare la verifica e la correzione delle identità, migliorare la sicurezza con il rilevamento dei bot e la protezione delle frodi e soddisfare i requisiti di Autenticazione del cliente sicura (PSD2) di Payment Services 2 (PSD2).
Sono disponibili indicazioni su come usare gli endpoint RESTful e procedure dettagliate di esempio dei partner che hanno integrato con le API RESTful:
- Verifica e correzione dell'identità, che consente ai clienti di verificare l'identità degli utenti finali
- Controllo degli accessi in base al ruolo, che consente un controllo di accesso granulare agli utenti finali
- Proteggere l'accesso ibrido all'applicazione locale, che consente agli utenti finali di accedere alle applicazioni locali e legacy con protocolli di autenticazione moderni
- Protezione dalle frodi, che consente ai clienti di proteggere le applicazioni e gli utenti finali da tentativi di accesso fraudolenti e attacchi di bot
Firewall per applicazioni web
Web Application Firewall (WAF) offre protezione centralizzata per le applicazioni Web da exploit e vulnerabilità comuni. Microsoft Entra External ID consente ai fornitori di software indipendenti di integrare il servizio WAF. Tutto il traffico verso domini personalizzati ,ad esempio , login.contoso.compassa sempre attraverso il servizio WAF per fornire un altro livello di sicurezza.
Per implementare la soluzione WAF, configurare i domini personalizzati di Microsoft Entra External ID. Panoramica dei domini URL personalizzati per Microsoft Entra External ID descrive come configurare Microsoft Entra External ID nei domini URL personalizzati nei tenant esterni.