Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La identidad es el plano de control clave para administrar el acceso en el área de trabajo moderna y es esencial para implementar Confianza cero. Soporte para soluciones de identidad
- Confianza cero a través de directivas de autenticación y acceso seguras.
- Acceso con privilegios mínimos con permiso y acceso pormenorizados.
- Controles y políticas que administran el acceso a recursos seguros y minimizan el radio de afectación de ataques.
En esta guía de integración se explica cómo los proveedores de software independientes (ISV) y los asociados tecnológicos pueden integrarse con Microsoft Entra ID para crear soluciones de Confianza cero seguras para los clientes.
guía de integración de Confianza cero for Identity
En esta guía de integración se abordan Microsoft Entra ID y Microsoft External ID.
Microsoft Entra ID es el servicio de administración de identidades y acceso basado en la nube de Microsoft. Ofrece las siguientes características:
- Autenticación de acceso único
- Acceso condicional
- Autenticación sin contraseña y multifactor
- Aprovisionamiento automatizado de usuarios
- Y muchas más características que permiten a las empresas proteger y automatizar procesos de identidad a escala
Id. externa de Microsoft Entra es una solución de administración de acceso a identidad (CIAM) de negocio a cliente. Los clientes usan Id. externa de Microsoft Entra para implementar soluciones seguras de autenticación de etiqueta blanca que se escalan fácilmente y se combinan con experiencias de aplicaciones web y móviles con marca. Obtenga información sobre la guía de integración en la sección Id. externa de Microsoft Entra.
Microsoft Entra ID
Hay muchas maneras de integrar la solución con Microsoft Entra ID. Las integraciones fundamentales tratan de proteger a los clientes mediante las funcionalidades de seguridad integradas de Microsoft Entra ID. Las integraciones avanzadas llevan la solución un paso más allá con funcionalidades de seguridad mejoradas.
Una ruta curva que muestra las integraciones básicas y avanzadas. Entre las integraciones fundamentales se incluyen el inicio de sesión único y la comprobación del publicador. Entre las integraciones avanzadas se incluyen el contexto de autenticación de acceso condicional, la evaluación continua del acceso y las integraciones avanzadas de api de seguridad.
Integraciones fundamentales
Las integraciones fundamentales protegen a los clientes con las funcionalidades de seguridad integradas de Microsoft Entra ID.
Habilitación del inicio de sesión único y la comprobación del publicador
Para habilitar el inicio de sesión único, se recomienda publicar la aplicación en la galería de aplicaciones. Este enfoque aumenta la confianza del cliente, ya que saben que la aplicación se valida como compatible con Microsoft Entra ID. Puede convertirse en un editor verificado para asegurar a los clientes que es el editor de la aplicación que están agregando a su entorno.
La publicación en la galería de aplicaciones facilita a los administradores de TI la integración de la solución en su inquilino con el registro automatizado de aplicaciones. Los registros manuales son una causa común de problemas de soporte técnico con las aplicaciones. Agregar la aplicación a la galería evita estos problemas con la aplicación.
En el caso de las aplicaciones móviles, se recomienda usar la Biblioteca de autenticación de Microsoft y un navegador del sistema para implementar inicio de sesión único.
Integración del aprovisionamiento de usuarios
La administración de identidades y el acceso a las organizaciones con miles de usuarios es difícil. Si las organizaciones de gran tamaño usan la solución, considere la posibilidad de sincronizar información sobre los usuarios y el acceso entre la aplicación y Microsoft Entra ID. Esto ayuda a mantener el acceso del usuario coherente cuando se producen cambios.
SCIM (System for Cross-Domain Identity Management) es un estándar abierto para intercambiar información de identidad de usuario. Puede usar la API de administración de usuarios de SCIM para aprovisionar usuarios y grupos automáticamente entre la aplicación y Microsoft Entra ID.
Desarrollar un endpoint SCIM para el aprovisionamiento de usuarios en aplicaciones desde Microsoft Entra ID describe cómo se puede construir un punto de conexión SCIM e integrarlo con el servicio de aprovisionamiento de Microsoft Entra.
Integraciones avanzadas
Las integraciones avanzadas aumentan aún más la seguridad de la aplicación.
Contexto de autenticación de acceso condicional
El contexto de autenticación de acceso condicional permite que las aplicaciones desencadenen la aplicación de directivas cuando un usuario accede a datos o acciones confidenciales, lo que mantiene a los usuarios más productivos y a los recursos confidenciales seguros.
Evaluación continua de acceso
La evaluación continua del acceso (CAE) permite revocar tokens de acceso basándose en eventos críticos y evaluación de políticas, en lugar de depender de la expiración del token según su tiempo de vida. Para algunas API de recursos, dado que el riesgo y la directiva se evalúan en tiempo real, esto puede aumentar la duración del token hasta 28 horas, lo que hace que la aplicación sea más resistente y eficaz.
API de seguridad
En nuestra experiencia, muchos proveedores de software independientes encuentran estas API para ser útiles.
API de usuario y grupo
Si la aplicación necesita realizar actualizaciones para los usuarios y grupos del inquilino, puede usar las API de usuario y grupo a través de Microsoft Graph para volver a escribir en el inquilino de Microsoft Entra. Puede obtener más información sobre el uso de la API en la referencia Microsoft Graph API REST v1.0 y la documentación de referencia para el tipo de recurso user
API de acceso condicional
Acceso condicional es una parte clave de Confianza cero porque ayuda a garantizar que el usuario adecuado tenga el acceso adecuado a los recursos adecuados. Habilitar el acceso condicional permite Microsoft Entra ID tomar decisiones de acceso basadas en el riesgo calculado y las directivas preconfiguradas.
Los proveedores de software independientes pueden aprovechar el acceso condicional si se muestra la opción de aplicar directivas de acceso condicional cuando proceda. Por ejemplo, si un usuario es especialmente arriesgado, puede sugerir al cliente habilitar el acceso condicional para ese usuario a través de la interfaz de usuario y habilitarlo mediante programación en Microsoft Entra ID.
Para más información, consulte la configurar directivas de acceso condicional mediante la documentación de Microsoft Graph API.
Confirmar las API de usuario comprometidas y de riesgo
A veces, los proveedores de software independientes pueden ser conscientes de compromisos que están fuera del ámbito de Microsoft Entra ID. Para cualquier evento de seguridad, especialmente aquellos que incluyen el compromiso de la cuenta, Microsoft y el proveedor de software independiente pueden colaborar compartiendo información entre ambas partes. La API confirm compromise permite establecer el nivel de riesgo de un usuario objetivo a alto. Esta API permite Microsoft Entra ID responder adecuadamente, por ejemplo, exigiendo al usuario que vuelva a autenticarse o restrinja su acceso a datos confidenciales.
En la otra dirección, Microsoft Entra ID evalúa continuamente el riesgo del usuario en función de varias señales y aprendizaje automático. Risky User API proporciona acceso programático a todos los usuarios en riesgo del tenant de Microsoft Entra de la aplicación. Los proveedores de software independientes pueden usar esta API para asegurarse de que están controlando a los usuarios adecuadamente a su nivel de riesgo actual. recurso del tipo riskyUser.
Escenarios de productos únicos
Las instrucciones siguientes son para proveedores de software independientes que ofrecen tipos específicos de soluciones.
Integraciones de acceso híbrido seguro Muchas aplicaciones empresariales se crearon para funcionar dentro de una red corporativa protegida y algunas de estas aplicaciones usan métodos de autenticación heredados. A medida que las empresas buscan crear una estrategia de Confianza cero y admitir entornos de trabajo híbridos y en la nube, necesitan soluciones que conectan aplicaciones a Microsoft Entra ID y proporcionan soluciones de autenticación modernas para aplicaciones heredadas. Use esta guía para crear soluciones que proporcionen autenticación en la nube moderna para aplicaciones locales heredadas.
Convertirse en un proveedor de claves de seguridad FIDO2 compatible con Microsoft Las claves de seguridad FIDO2 pueden reemplazar credenciales débiles por credenciales de clave pública o privada con respaldo de hardware que no se pueden reutilizar, reproducir ni compartir entre servicios. Puede convertirse en un proveedor de claves de seguridad FIDO2 compatible con Microsoft siguiendo el proceso de este documento.
Id. externa de Microsoft Entra (Identificación Externa de Microsoft Entra)
Id. externa de Microsoft Entra combina soluciones eficaces para trabajar con personas fuera de su organización. Con las funcionalidades de identificador externo, puede permitir que las identidades externas accedan de forma segura a sus aplicaciones y recursos. Tanto si trabajas con asociados externos, consumidores o clientes empresariales, los usuarios pueden traer sus propias identidades. Estas identidades pueden variar de cuentas corporativas o emitidas por el gobierno a proveedores de identidades de redes sociales como Google o Facebook. Para más información sobre cómo proteger las aplicaciones para asociados externos, consumidores o clientes empresariales, consulte Introducción a Microsoft External ID.
Integración con puntos de conexión RESTful
Los proveedores de software independientes pueden integrar sus soluciones a través de puntos de conexión RESTful para habilitar la autenticación multifactor (MFA) y el control de acceso basado en rol (RBAC), habilitar la comprobación y la corrección de identidades, mejorar la seguridad con la detección de bots y la protección contra fraudes, y cumplir los requisitos de la Directiva de servicios de pago 2 (PSD2) Secure Customer Authentication (SCA).
Tenemos instrucciones sobre cómo usar nuestros puntos de conexión RESTful y tutoriales de ejemplo detallados de asociados que se integran con las API de RESTful:
- Comprobación y corrección de identidades, que permite a los clientes comprobar la identidad de sus usuarios finales.
- Control de acceso basado en rol, que permite el control de acceso pormenorizado a los usuarios finales
- Protección del acceso híbrido a una aplicación local, que permite a los usuarios finales acceder a aplicaciones locales y heredadas con protocolos de autenticación modernos
- Protección contra fraudes, que permite a los clientes proteger sus aplicaciones y usuarios finales frente a intentos de inicio de sesión fraudulentos y ataques de bot
Firewall de aplicaciones web
El firewall de aplicaciones web (WAF) proporciona protección centralizada para las aplicaciones web frente a exploits y vulnerabilidades comunes. Id. externa de Microsoft Entra permite a los proveedores de software independientes integrar su servicio WAF. Todo el tráfico a dominios personalizados (por ejemplo, ) siempre pasa a través del servicio WAF para proporcionar otra capa de seguridad.
Para implementar una solución de WAF, configure los dominios personalizados de Id. externa de Microsoft Entra. Información general de dominios de dirección URL personalizados para Id. externa de Microsoft Entra describe cómo configurar Id. externa de Microsoft Entra en dominios de dirección URL personalizados en inquilinos externos.