Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Identität ist die zentrale Steuerungsebene für die Verwaltung des Zugriffs am modernen Arbeitsplatz und ist für die Implementierung von Zero Trust unerlässlich. Unterstützung von Identitätslösungen:
- Zero Trust durch starke Authentifizierungs- und Zugriffsrichtlinien.
- Zugriff mit geringstmöglichen Rechten mit granularer Berechtigung und granularem Zugriff.
- Kontrollen und Richtlinien, die den Zugriff auf sichere Ressourcen verwalten und den Schadensbereich von Angriffen minimieren.
In diesem Integrationshandbuch wird erläutert, wie unabhängige Softwareanbieter (ISVs) und Technologiepartner in Microsoft Entra ID integriert werden können, um sichere Zero Trust Lösungen für Kunden zu erstellen.
Zero Trust: Handbuch zur Identitätsintegration
In diesem Integrationshandbuch werden Microsoft Entra ID und die externe Microsoft-ID behandelt.
Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Er zeichnet sich durch Folgendes aus:
- Single Sign-On-Authentifizierung
- Bedingter Zugriff
- Kennwortlose und mehrstufige Authentifizierung
- Automatisierte Benutzerbereitstellung
- Und viele weitere Features, mit denen Unternehmen Identitätsprozesse im großen Maßstab schützen und automatisieren können
Microsoft Entra External ID ist eine Business-to-Customer Identity Access Management (CIAM)-Lösung. Kunden verwenden Microsoft Entra External ID, um sichere Whitelabel-Authentifizierungslösungen zu implementieren, die einfach skaliert und mit markenorientierten Web- und mobilen Anwendungserfahrungen kombiniert werden. Erfahren Sie mehr über integrationsanleitungen im Abschnitt Microsoft Entra External ID.
Microsoft Entra ID
Es gibt viele Möglichkeiten, Ihre Lösung in Microsoft Entra ID zu integrieren. Grundlegende Integrationen sind der Schutz Ihrer Kunden mithilfe der integrierten Sicherheitsfunktionen von Microsoft Entra ID. Erweiterte Integrationen führen Ihre Lösung einen Schritt weiter mit erweiterten Sicherheitsfunktionen.
Ein gekrümmter Pfad, der grundlegende und erweiterte Integrationen zeigt Grundlegende Integrationen umfassen die Überprüfung des einmaligen Anmeldens und des Herausgebers. Erweiterte Integrationen beziehen den Kontext der Authentifizierung für bedingten Zugriff, die kontinuierliche Zugriffsauswertung und erweiterte Sicherheits-API-Integrationen ein.
Grundlegende Integrationen
Grundlegende Integrationen schützen Ihre Kunden mit den integrierten Sicherheitsfunktionen Microsoft Entra ID.
Aktivieren des einmaligen Anmeldens und der Herausgeberüberprüfung
Um Single Sign-On zu aktivieren, empfehlen wir, Ihre App in der App-Galeriezu veröffentlichen. Dieser Ansatz erhöht die Kundenvertrauensstellung, da sie wissen, dass Ihre Anwendung mit Microsoft Entra ID kompatibel ist. Sie können verifizierter Herausgeber werden, damit Kunden darauf vertrauen können, dass Sie der Herausgeber der App sind, die sie ihrem Mandanten hinzufügen.
Die Veröffentlichung im App-Katalog erleichtert IT-Administratoren die Integration der Lösung in ihren Mandanten mit automatisierter App-Registrierung. Manuelle Registrierungen sind eine häufige Ursache für Supportprobleme mit Anwendungen. Wenn Sie Ihre App zum Katalog hinzufügen, werden diese Probleme mit Ihrer App vermieden.
Für mobile Apps empfehlen wir die Verwendung des Microsoft Authentication Library (MSAL) und eines Systembrowsers zum implementieren des einmaligen Anmeldens.
Integrieren der Benutzerbereitstellung
Das Verwalten von Identitäten und Zugriff für Organisationen mit Tausenden von Benutzern ist eine Herausforderung. Wenn große Organisationen Ihre Lösung verwenden, sollten Sie in Betracht ziehen, Benutzer- und Zugriffsinformationen zwischen Ihrer Anwendung und Microsoft Entra ID zu synchronisieren. Dadurch bleibt der Benutzerzugriff konsistent, wenn Änderungen vorgenommen werden.
SCIM (System for Cross-Domain Identity Management) ist ein offener Standard für den Austausch von Benutzeridentitätsinformationen. Sie können die SCIM-Benutzerverwaltungs-API verwenden, um Benutzer und Gruppen zwischen Ihrer Anwendung und Microsoft Entra ID automatisch bereitzustellen.
Entwickeln Sie einen SCIM-Endpunkt für die Benutzerbereitstellung in Apps von Microsoft Entra ID beschreibt, wie man einen SCIM-Endpunkt erstellt und in den Microsoft Entra-Bereitstellungsdienst integriert.
Erweiterte Integrationen
Erweiterte Integrationen erhöhen die Sicherheit Ihrer Anwendung noch weiter.
Authentifizierungskontext für bedingten Zugriff
Authentifizierungskontext für bedingten Zugriff ermöglicht es Apps, die Durchsetzung von Richtlinien auszulösen, wenn ein Benutzer auf vertrauliche Daten oder Aktionen zugreift, um die Produktivität der Benutzer zu steigern und Ihre vertraulichen Ressourcen zu sichern.
Fortlaufende Zugriffsevaluierung
Die kontinuierliche Zugriffsevaluierung (Continuous Access Evaluation, CAE) bietet die Möglichkeit, Zugriffstoken auf der Grundlage von kritischen Ereignissen und der Evaluierung von Richtlinien zu widerrufen, anstatt sich auf den Ablauf von Token auf der Grundlage ihrer Lebensdauer zu verlassen. Bei einigen Ressourcen-APIs kann dies, da Risiken und Richtlinien in Echtzeit ausgewertet werden, die Tokenlebensdauer bis zu 28 Stunden erhöhen, wodurch Ihre Anwendung stabiler und leistungsfähiger wird.
Sicherheits-APIs
In unserer Erfahrung finden viele unabhängige Softwareanbieter diese APIs als nützlich.
Benutzer- und Gruppen-APIs
Wenn Ihre Anwendung Aktualisierungen für die Benutzer und Gruppen im Mandanten vornehmen muss, können Sie die Benutzer- und Gruppen-APIs über Microsoft Graph verwenden, um in den Microsoft Entra Mandanten zurückzuschreiben. Weitere Informationen zur Verwendung der API finden Sie in der Microsoft Graph REST-API v1.0-Referenz und der Referenzdokumentation für den Ressourcentyp user
API für bedingten Zugriff
Conditional access ist ein wichtiger Bestandteil Zero Trust, da dadurch sichergestellt wird, dass der richtige Benutzer über den richtigen Zugriff auf die richtigen Ressourcen verfügt. Durch aktivieren des bedingten Zugriffs können Microsoft Entra ID basierend auf berechneten Risiko- und vorkonfigurierten Richtlinien Zugriffsentscheidungen treffen.
Unabhängige Softwareanbieter können den bedingten Zugriff nutzen, indem sie die Option zum Anwenden von Richtlinien für bedingten Zugriff aktivieren, wenn dies relevant ist. Wenn ein Benutzer beispielsweise als besonders riskant erscheint, können Sie dem Kunden vorschlagen, den bedingten Zugriff für diesen Benutzer über die Benutzeroberfläche zu aktivieren und es programmgesteuert in Microsoft Entra ID zu aktivieren.
Weitere Informationen finden Sie in der Dokumentation zu bedingten Zugriffsrichtlinien mit der Microsoft Graph-API konfigurieren.
Bestätigen kompromittierter und riskanter Benutzer-APIs
Manchmal können unabhängige Softwareanbieter von Sicherheitsverletzungen erfahren, die sich außerhalb des Umfangs von Microsoft Entra ID befinden. Für jedes Sicherheitsereignis, insbesondere bei Kontokompromittierungen, können Microsoft und der unabhängige Softwareanbieter zusammenarbeiten, durch den Austausch von Informationen zwischen beiden Parteien. Mit der API zum Bestätigen von Kompromittierungen können Sie die Risikostufe eines Benutzerziels auf „Hoch“ festlegen. Mit dieser API können Microsoft Entra ID entsprechend reagieren, z. B. indem der Benutzer den Zugriff auf vertrauliche Daten erneut authentifizieren oder einschränken muss.
In der anderen Richtung wertet Microsoft Entra ID das Benutzerrisiko kontinuierlich basierend auf verschiedenen Signalen und maschinellem Lernen aus. Die API für gefährdete Benutzer bietet programmgesteuerten Zugriff auf alle risikobehafteten Benutzer im Mandant von Microsoft Entra der App. Unabhängige Softwareanbieter können diese API verwenden, um sicherzustellen, dass sie Benutzer entsprechend ihrem aktuellen Risikoniveau behandeln. RiskyUser-Ressourcentyp.
Eindeutige Produktszenarien
Der folgende Leitfaden richtet sich an unabhängige Softwareanbieter, die bestimmte Arten von Lösungen anbieten.
Sichere Hybridzugriffsintegrationen Viele Geschäftsanwendungen wurden entwickelt, um innerhalb eines geschützten Unternehmensnetzwerks zu funktionieren. Einige dieser Anwendungen verwenden veraltete Authentifizierungsmethoden. Da Unternehmen eine Zero Trust Strategie entwickeln und Hybrid- und Cloud-first-Arbeitsumgebungen unterstützen, benötigen sie Lösungen, die Apps mit Microsoft Entra ID verbinden und moderne Authentifizierungslösungen für ältere Anwendungen bereitstellen. Verwenden Sie dieses Handbuch, um Lösungen zu erstellen, die moderne Cloudauthentifizierung für ältere lokale Anwendungen bereitstellen.
Werden Sie ein Microsoft-kompatibler FIDO2-Sicherheitsschlüsselanbieter FIDO2-Sicherheitsschlüssel können schwache Anmeldeinformationen durch starke, hardwaregestützte Anmeldeinformationen für öffentliche und private Schlüssel ersetzen, die nicht erneut verwendet, wiedergenutzt oder dienstübergreifend freigegeben werden können. Sie können ein microsoftkompatibler FIDO2-Sicherheitsschlüsselanbieter werden, indem Sie den Prozess in diesem Dokument ausführen.
Microsoft Entra Externe ID
Microsoft Entra External ID kombiniert leistungsstarke Lösungen für das Arbeiten mit Personen außerhalb Ihrer Organisation. Mit externen ID-Funktionen können Sie externen Identitäten den sicheren Zugriff auf Ihre Apps und Ressourcen ermöglichen. Unabhängig davon, ob Sie mit externen Partnern, Verbrauchern oder Geschäftskunden arbeiten, können Benutzer ihre eigenen Identitäten mitbringen. Diese Identitäten können von Unternehmenskonten oder von Behörden ausgestellten Konten bis hin zu Social Identity-Anbietern wie Google oder Facebook reichen. Weitere Informationen zum Sichern Ihrer Apps für externe Partner, Verbraucher oder Geschäftskunden finden Sie unter Einführung in Microsoft External ID.
Integrieren mit RESTful-Endpunkten
Unabhängige Softwareanbieter können ihre Lösungen über RESTful-Endpunkte integrieren, um die mehrstufige Authentifizierung (MFA) und die rollenbasierte Zugriffssteuerung (RBAC) zu ermöglichen, Identitätsüberprüfung und -nachweise zu ermöglichen, die Sicherheit mit Boterkennung und Betrugsschutz zu verbessern und die Anforderungen der Richtlinie über die sichere Kundenauthentifizierung (PAYMENT Services Directive 2, PSD2) zu erfüllen.
Wir verfügen über Leitfäden zur Verwendung unserer RESTful-Endpunkte sowie über detaillierte Beispiele von Partnern, die eine Integration mit RESTful-APIs durchgeführt haben:
- Identitätsverifizierung und -überprüfung, die es den Kunden ermöglicht, die Identität ihrer Endbenutzer zu überprüfen.
- Rollenbasierte Zugriffssteuerung, die granulare Zugriffsrechte für Endbenutzer ermöglicht
- Sicheren Hybridzugriff auf lokale Anwendung, wodurch Endbenutzer auf lokale und ältere Anwendungen mit modernen Authentifizierungsprotokollen zugreifen können
- Betrugsschutz, mit dem Kunden ihre Anwendungen und Endbenutzer vor betrügerischen Anmeldeversuchen und Botangriffen schützen können
Web Application Firewall
Web Application Firewall (WAF) bietet zentralisierten Schutz für Webanwendungen vor gängigen Exploits und Sicherheitsrisiken. Microsoft Entra External ID ermöglicht es unabhängigen Softwareanbietern, ihren WAF-Dienst zu integrieren. Der gesamte Datenverkehr zu benutzerdefinierten Domänen (z. B. ) durchläuft immer den WAF-Dienst, um eine zusätzliche Sicherheitsebene bereitzustellen.
Um eine WAF-Lösung zu implementieren, konfigurieren Sie benutzerdefinierte Domänen von Microsoft Entra External ID. Übersicht über benutzerdefinierte URL-Domänen für Microsoft Entra External ID beschreibt, wie Microsoft Entra External ID in benutzerdefinierten URL-Domänen in externen Mandanten konfiguriert wird.