Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Identität ist die zentrale Steuerungsebene für die Verwaltung des Zugriffs am modernen Arbeitsplatz und ist für die Implementierung von Zero Trust unerlässlich. Unterstützung von Identitätslösungen:
- Zero Trust durch starke Authentifizierungs- und Zugriffsrichtlinien.
- Zugriff mit geringstmöglichen Rechten mit granularer Berechtigung und granularem Zugriff.
- Kontrollen und Richtlinien, die den Zugriff auf sichere Ressourcen verwalten und den Schadensbereich von Angriffen minimieren.
In diesem Integrationshandbuch wird erläutert, wie unabhängige Softwareanbieter (ISVs) und Technologiepartner in Microsoft Entra ID integriert werden können, um sichere Zero Trust Lösungen für Kunden zu erstellen.
Zero Trust: Handbuch zur Identitätsintegration
In diesem Integrationshandbuch werden Microsoft Entra ID und die externe Microsoft-ID behandelt.
Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Er zeichnet sich durch Folgendes aus:
- Single Sign-On-Authentifizierung
- Bedingter Zugriff
- Kennwortlose und mehrstufige Authentifizierung
- Automatisierte Benutzerbereitstellung
- Und viele weitere Features, mit denen Unternehmen Identitätsprozesse im großen Maßstab schützen und automatisieren können
Microsoft Entra External ID ist eine Business-to-Customer Identity Access Management (CIAM)-Lösung. Kunden verwenden Microsoft Entra External ID, um sichere Whitelabel-Authentifizierungslösungen zu implementieren, die einfach skaliert und mit markenorientierten Web- und mobilen Anwendungserfahrungen kombiniert werden. Erfahren Sie mehr über integrationsanleitungen im Abschnitt Microsoft Entra External ID.
Microsoft Entra ID
Es gibt viele Möglichkeiten, Ihre Lösung in Microsoft Entra ID zu integrieren. Grundlegende Integrationen sind der Schutz Ihrer Kunden mithilfe der integrierten Sicherheitsfunktionen von Microsoft Entra ID. Erweiterte Integrationen führen Ihre Lösung einen Schritt weiter mit erweiterten Sicherheitsfunktionen.
Grundlegende Integrationen
Grundlegende Integrationen schützen Ihre Kunden mit den integrierten Sicherheitsfunktionen Microsoft Entra ID.
Aktivieren des einmaligen Anmeldens und der Herausgeberüberprüfung
Um einmaliges Anmelden zu aktivieren, empfehlen wir, Ihre App im App-Katalog zu veröffentlichen. Dieser Ansatz erhöht die Kundenvertrauensstellung, da sie wissen, dass Ihre Anwendung mit Microsoft Entra ID kompatibel ist. Sie können ein bestätigter Herausgeber werden, damit Kunden sicher sind, dass Sie der Herausgeber der App sind, die sie ihrem Mandanten hinzufügen.
Die Veröffentlichung im App-Katalog erleichtert IT-Administratoren die Integration der Lösung in ihren Mandanten mit automatisierter App-Registrierung. Manuelle Registrierungen sind eine häufige Ursache für Supportprobleme mit Anwendungen. Wenn Sie Ihre App zum Katalog hinzufügen, werden diese Probleme mit Ihrer App vermieden.
Für mobile Apps empfehlen wir die Verwendung des Microsoft Authentication Library und eines Systembrowsers zum implementieren des einmaligen Anmeldens.
Integrieren der Benutzerbereitstellung
Das Verwalten von Identitäten und Zugriff für Organisationen mit Tausenden von Benutzern ist eine Herausforderung. Wenn große Organisationen Ihre Lösung verwenden, sollten Sie in Betracht ziehen, Benutzer- und Zugriffsinformationen zwischen Ihrer Anwendung und Microsoft Entra ID zu synchronisieren. Dadurch bleibt der Benutzerzugriff konsistent, wenn Änderungen vorgenommen werden.
SCIM (System for Cross-Domain Identity Management) ist ein offener Standard für den Austausch von Benutzeridentitätsinformationen. Sie können die SCIM-Benutzerverwaltungs-API verwenden, um Benutzer und Gruppen zwischen Ihrer Anwendung und Microsoft Entra ID automatisch bereitzustellen.
Entwickeln Sie einen SCIM-Endpunkt für die Benutzerbereitstellung in Apps von Microsoft Entra ID beschreibt, wie man einen SCIM-Endpunkt erstellt und in den Microsoft Entra-Bereitstellungsdienst integriert.
Erweiterte Integrationen
Erweiterte Integrationen erhöhen die Sicherheit Ihrer Anwendung noch weiter.
Authentifizierungskontext für bedingten Zugriff
Der Authentifizierungskontext für bedingten Zugriff ermöglicht Apps das Auslösen der Richtlinienerzwingung, wenn ein Benutzer auf vertrauliche Daten oder Aktionen zugreift, wodurch Benutzer produktiver und sensible Ressourcen geschützt bleiben.
Fortlaufende Zugriffsevaluierung
Die Kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) ermöglicht das Widerrufen von Zugriffstoken basierend auf kritischen Ereignissen und Richtlinienauswertung, anstatt auf ablaufende Token basierend auf der Lebensdauer zu vertrauen. Bei einigen Ressourcen-APIs kann dies, da Risiken und Richtlinien in Echtzeit ausgewertet werden, die Tokenlebensdauer bis zu 28 Stunden erhöhen, wodurch Ihre Anwendung stabiler und leistungsfähiger wird.
Sicherheits-APIs
In unserer Erfahrung finden viele unabhängige Softwareanbieter diese APIs als nützlich.
Benutzer- und Gruppen-APIs
Wenn Ihre Anwendung Aktualisierungen für die Benutzer und Gruppen im Mandanten vornehmen muss, können Sie die Benutzer- und Gruppen-APIs über Microsoft Graph verwenden, um in den Microsoft Entra Mandanten zurückzuschreiben. Weitere Informationen zur Verwendung der API finden Sie in der Microsoft Graph REST-API v1.0-Referenz und der Referenzdokumentation für den Ressourcentyp user
API für bedingten Zugriff
Conditional access ist ein wichtiger Bestandteil Zero Trust, da dadurch sichergestellt wird, dass der richtige Benutzer über den richtigen Zugriff auf die richtigen Ressourcen verfügt. Durch aktivieren des bedingten Zugriffs können Microsoft Entra ID basierend auf berechneten Risiko- und vorkonfigurierten Richtlinien Zugriffsentscheidungen treffen.
Unabhängige Softwareanbieter können den bedingten Zugriff nutzen, indem sie die Option zum Anwenden von Richtlinien für bedingten Zugriff aktivieren, wenn dies relevant ist. Wenn ein Benutzer beispielsweise als besonders riskant erscheint, können Sie dem Kunden vorschlagen, den bedingten Zugriff für diesen Benutzer über die Benutzeroberfläche zu aktivieren und es programmgesteuert in Microsoft Entra ID zu aktivieren.
Weitere Informationen finden Sie in der Dokumentation zu bedingten Zugriffsrichtlinien mit der Microsoft Graph API konfigurieren.
Bestätigen kompromittierter und riskanter Benutzer-APIs
Manchmal können unabhängige Softwareanbieter von Sicherheitsverletzungen erfahren, die sich außerhalb des Umfangs von Microsoft Entra ID befinden. Für jedes Sicherheitsereignis, insbesondere bei Kontokompromittierungen, können Microsoft und der unabhängige Softwareanbieter zusammenarbeiten, durch den Austausch von Informationen zwischen beiden Parteien. Mit der bestätigenden Kompromittierungs-API können Sie das Risikoniveau eines zielbezogenen Benutzers auf "hoch" festlegen. Mit dieser API können Microsoft Entra ID entsprechend reagieren, z. B. indem der Benutzer den Zugriff auf vertrauliche Daten erneut authentifizieren oder einschränken muss.
In der anderen Richtung wertet Microsoft Entra ID das Benutzerrisiko kontinuierlich basierend auf verschiedenen Signalen und maschinellem Lernen aus. Die API für gefährdete Benutzer bietet programmgesteuerten Zugriff auf alle risikobehafteten Benutzer im Mandant von Microsoft Entra der App. Unabhängige Softwareanbieter können diese API verwenden, um sicherzustellen, dass sie Benutzer entsprechend ihrem aktuellen Risikoniveau behandeln. riskyUser Ressourcentyp.
Eindeutige Produktszenarien
Der folgende Leitfaden richtet sich an unabhängige Softwareanbieter, die bestimmte Arten von Lösungen anbieten.
Sichere Hybridzugriffsintegrationen Viele Geschäftsanwendungen wurden erstellt, um innerhalb eines geschützten Unternehmensnetzwerks zu arbeiten, und einige dieser Anwendungen verwenden legacyauthentifizierungsmethoden. Da Unternehmen eine Zero Trust Strategie entwickeln und Hybrid- und Cloud-first-Arbeitsumgebungen unterstützen, benötigen sie Lösungen, die Apps mit Microsoft Entra ID verbinden und moderne Authentifizierungslösungen für ältere Anwendungen bereitstellen. Verwenden Sie dieses Handbuch, um Lösungen zu erstellen, die moderne Cloudauthentifizierung für ältere lokale Anwendungen bereitstellen.
Werden Sie ein microsoftkompatibler FIDO2-Sicherheitsschlüsselanbieter FIDO2-Sicherheitsschlüssel können schwache Anmeldeinformationen durch starke hardwaregestützte Öffentliche/Private-Schlüssel-Anmeldeinformationen ersetzen, die nicht wiederverwendet, wiedergegeben oder für alle Dienste freigegeben werden können. Sie können ein microsoftkompatibler FIDO2-Sicherheitsschlüsselanbieter werden, indem Sie den Prozess in diesem Dokument ausführen.
Microsoft Entra Externe ID
Microsoft Entra External ID kombiniert leistungsstarke Lösungen für das Arbeiten mit Personen außerhalb Ihrer Organisation. Mit externen ID-Funktionen können Sie externen Identitäten den sicheren Zugriff auf Ihre Apps und Ressourcen ermöglichen. Unabhängig davon, ob Sie mit externen Partnern, Verbrauchern oder Geschäftskunden arbeiten, können Benutzer ihre eigenen Identitäten mitbringen. Diese Identitäten können von Unternehmenskonten oder von Behörden ausgestellten Konten bis hin zu Social Identity-Anbietern wie Google oder Facebook reichen. Weitere Informationen zum Sichern Ihrer Apps für externe Partner, Verbraucher oder Geschäftskunden finden Sie unter Einführung in die externe Microsoft-ID.
Integrieren mit RESTful-Endpunkten
Unabhängige Softwareanbieter können ihre Lösungen über RESTful-Endpunkte integrieren, um die mehrstufige Authentifizierung (MFA) und die rollenbasierte Zugriffssteuerung (RBAC) zu ermöglichen, Identitätsüberprüfung und -nachweise zu ermöglichen, die Sicherheit mit Boterkennung und Betrugsschutz zu verbessern und die Anforderungen der Richtlinie über die sichere Kundenauthentifizierung (PAYMENT Services Directive 2, PSD2) zu erfüllen.
Wir haben Anleitungen zur Verwendung unserer RESTful-Endpunkte und detaillierte exemplarische Vorgehensweisen von Partnern, die in die RESTful-APIs integriert sind:
- Identitätsverifizierung und -prüfung, mit der Kunden die Identität ihrer Endbenutzer verifizieren können
- Rollenbasierte Zugriffssteuerung, die eine präzise Zugriffssteuerung für Endbenutzer ermöglicht
- Sicherer Hybridzugriff auf lokale Anwendungen, die Endbenutzern den Zugriff auf lokale und ältere Anwendungen mit modernen Authentifizierungsprotokollen ermöglichen
- Betrugsschutz, mit dem Kunden ihre Anwendungen und Endbenutzer vor betrügerischen Anmeldeversuchen und Botangriffen schützen können
Web Application Firewall
Web Application Firewall (WAF) bietet zentralisierten Schutz für Webanwendungen vor gängigen Exploits und Sicherheitsrisiken. Microsoft Entra External ID ermöglicht es unabhängigen Softwareanbietern, ihren WAF-Dienst zu integrieren. Der gesamte Datenverkehr zu benutzerdefinierten Domänen (z. B. login.contoso.com) passiert immer den WAF-Dienst, um eine zusätzliche Sicherheitsebene bereitzustellen.
Um eine WAF-Lösung zu implementieren, konfigurieren Sie benutzerdefinierte Domänen von Microsoft Entra External ID. Übersicht über benutzerdefinierte URL-Domänen für Microsoft Entra External ID beschreibt, wie Microsoft Entra External ID in benutzerdefinierten URL-Domänen in externen Mandanten konfiguriert wird.