Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’identité est le plan de contrôle clé permettant de gérer l’accès au lieu de travail moderne et est essentiel à l’implémentation de Confiance nulle. Prise en charge des solutions d’identité :
- Confiance nulle grâce à des politiques d'authentification et d'accès fortes.
- Accès avec des privilèges minimum avec une autorisation et un accès granulaires.
- Contrôles et stratégies qui gèrent l’accès aux ressources sécurisées et réduisent le rayon d’attaques.
Ce guide d’intégration explique comment les éditeurs de logiciels indépendants (ISV) et les partenaires technologiques peuvent s’intégrer à Microsoft Entra ID pour créer des solutions de Confiance nulle sécurisées pour les clients.
Confiance nulle pour le guide d’intégration des identités
Ce guide d’intégration couvre Microsoft Entra ID et l’ID externe Microsoft.
Microsoft Entra ID est le service de gestion des identités et des accès cloud de Microsoft. Elle fournit les fonctionnalités suivantes :
- Authentification unique centralisée
- Accès conditionnel
- Authentification sans mot de passe et multifacteur
- Attribution automatisée d’utilisateurs
- Et de nombreuses fonctionnalités supplémentaires qui permettent aux entreprises de protéger et d’automatiser les processus d’identité à grande échelle
ID externe Microsoft Entra est une solution de gestion de l'accès aux identités dans un contexte de relations entreprise-consommateur (CIAM). Les clients utilisent ID externe Microsoft Entra pour implémenter des solutions d’authentification d’étiquette blanche sécurisées qui s’adaptent facilement et s’intègrent aux expériences d’application web et mobile personnalisées. Découvrez les conseils d’intégration dans la section ID externe Microsoft Entra.
Microsoft Entra ID
Il existe de nombreuses façons d’intégrer votre solution à Microsoft Entra ID. Les intégrations fondamentales concernent la protection de vos clients à l'aide des fonctionnalités de sécurité intégrées de Microsoft Entra ID. Les intégrations avancées prennent votre solution une étape plus loin avec des fonctionnalités de sécurité améliorées.
chemin courbe montrant les intégrations fondamentales et avancées. Les intégrations fondamentales incluent l’authentification unique et la vérification de l’éditeur. Les intégrations avancées incluent le contexte d’authentification de l’accès conditionnel, l’évaluation continue de l’accès et les intégrations avancées de l’API de sécurité.
Intégrations fondamentales
Les intégrations fondamentales protègent vos clients avec les fonctionnalités de sécurité intégrées de Microsoft Entra ID.
Activer l’authentification unique et la vérification de l’éditeur
Pour activer l’authentification unique, nous vous recommandons de publier votre application dans la galerie d’applications. Cette approche augmente la confiance des clients, car elle sait que votre application est validée comme compatible avec Microsoft Entra ID. Vous pouvez devenir un éditeur vérifié afin que les clients soient certains que vous êtes l’éditeur de l’application qu’ils ajoutent à leur locataire.
La publication dans la galerie d’applications permet aux administrateurs informatiques d’intégrer facilement la solution dans leur espace client grâce à l’enregistrement automatisé des applications. Les inscriptions manuelles sont une cause courante de problèmes de support avec les applications. L’ajout de votre application à la galerie évite ces problèmes avec votre application.
Pour les applications mobiles, nous vous recommandons d’utiliser les Microsoft Authentication Library et un navigateur système pour implement l’authentification unique.
Intégrer l’approvisionnement d’utilisateurs
La gestion des identités et des accès pour les organisations avec des milliers d’utilisateurs est difficile. Si les grandes organisations utilisent votre solution, envisagez de synchroniser les informations sur les utilisateurs et l’accès entre votre application et Microsoft Entra ID. Cela permet de maintenir l’accès utilisateur cohérent lorsque des modifications se produisent.
SCIM (System for Cross-Domain Identity Management) est un standard ouvert pour échanger des informations d’identité utilisateur. Vous pouvez utiliser l’API de gestion des utilisateurs SCIM pour approvisionner automatiquement des utilisateurs et des groupes entre votre application et Microsoft Entra ID.
Develop a SCIM endpoint for user provisioning to apps from Microsoft Entra ID explique comment créer un point de terminaison SCIM pour le provisioning d’utilisateurs vers les applications depuis Microsoft Entra ID et intégrer au service de gestion de l'approvisionnement Microsoft Entra.
Intégrations avancées
Les intégrations avancées augmentent encore davantage la sécurité de votre application.
Contexte d’authentification de l’accès conditionnel
contexte d’authentification d’accès conditionnel permet aux applications de déclencher l’application de la stratégie lorsqu’un utilisateur accède à des données ou actions sensibles, ce qui rend les utilisateurs plus productifs et vos ressources sensibles sécurisées.
Évaluation continue de l’accès
l’évaluation continue de l’accès (CAE) autorise la révocation des jetons d’accès en fonction des événements critiques et de l’évaluation de stratégie plutôt que de s’appuyer sur l’expiration du jeton en fonction de la durée de vie. Pour certaines API de ressources, car les risques et la stratégie sont évalués en temps réel, cela peut augmenter la durée de vie des jetons jusqu’à 28 heures, ce qui rend votre application plus résiliente et performante.
API de sécurité
Dans notre expérience, de nombreux fournisseurs de logiciels indépendants trouvent ces API pour être utiles.
API d’utilisateur et de groupe
Si votre application doit effectuer des mises à jour des utilisateurs et des groupes dans le client, vous pouvez utiliser les API des utilisateurs et des groupes via Microsoft Graph pour retranscrire dans le client Microsoft Entra. Vous pouvez en savoir plus sur l’utilisation de l’API dans la référence Microsoft Graph l’API REST v1.0 et la documentation de référence pour le type de ressource utilisateur
API d’accès conditionnel
l’accès conditionnel est une partie essentielle de Confiance nulle, car il permet de s’assurer que l’utilisateur approprié a le droit d’accéder aux ressources appropriées. L’activation de l’accès conditionnel permet Microsoft Entra ID de prendre une décision d’accès en fonction des risques calculés et des stratégies préconfigurées.
Les fournisseurs de logiciels indépendants peuvent tirer parti de l’accès conditionnel en exposant l’option permettant d’appliquer des stratégies d’accès conditionnel en cas de pertinence. Par exemple, si un utilisateur est particulièrement risqué, vous pouvez suggérer au client d’activer l’accès conditionnel pour cet utilisateur via votre interface utilisateur et de l’activer par programmation dans Microsoft Entra ID.
Pour plus d’informations, consultez la documentation configurer les stratégies d’accès conditionnel à l’aide de la documentation microsoft API Graph.
API Confirmer la compromission et Utilisateur à risque
Parfois, les fournisseurs de logiciels indépendants peuvent être conscients de compromission qui se trouve en dehors de l’étendue de Microsoft Entra ID. Pour tout événement de sécurité, en particulier ceux incluant la compromission de compte, Microsoft et le fournisseur de logiciels indépendant peuvent collaborer en partageant des informations des deux parties. L’API de confirmation de compromission vous permet de définir le niveau de risque d’un utilisateur ciblé à élevé. Cette API permet Microsoft Entra ID répondre de manière appropriée, par exemple en demandant à l’utilisateur de se réauthentifier ou en limitant son accès aux données sensibles.
Dans l’autre sens, Microsoft Entra ID évalue continuellement les risques des utilisateurs en fonction des différents signaux et du Machine Learning. L’API Risque Utilisateur offre un accès programmatique à tous les utilisateurs à risque du tenant Microsoft Entra de l’application. Les fournisseurs de logiciels indépendants peuvent utiliser cette API pour s’assurer qu’ils gèrent les utilisateurs de manière appropriée à leur niveau de risque actuel. Type de ressource riskyUser.
Scénarios de produit uniques
Les conseils suivants concernent les fournisseurs de logiciels indépendants qui proposent des types de solutions spécifiques.
Intégrations d’accès hybride sécurisé De nombreuses applications métier ont été créées pour fonctionner à l’intérieur d’un réseau d’entreprise protégé, et certaines de ces applications utilisent des méthodes d’authentification héritées. À mesure que les entreprises cherchent à créer une stratégie de Confiance nulle et à prendre en charge des environnements de travail hybrides et cloud, elles ont besoin de solutions qui connectent des applications à Microsoft Entra ID et fournissent des solutions d’authentification modernes pour les applications héritées. Utilisez ce guide pour créer des solutions qui fournissent une authentification cloud moderne pour les applications locales héritées.
Devenir un fournisseur de clés de sécurité FIDO2 compatible avec Microsoft Les clés de sécurité FIDO2 peuvent remplacer les informations d’identification faibles par des informations d’identification de clé publique/privée renforcées qui ne peuvent pas être réutilisées, relecturées ou partagées entre les services. Vous pouvez devenir un fournisseur de clés de sécurité FIDO2 compatible avec Microsoft en suivant le processus de ce document.
ID externe Microsoft Entra
ID externe Microsoft Entra combine des solutions puissantes pour travailler avec des personnes extérieures à votre organisation. Avec les fonctionnalités d’ID externe, vous pouvez autoriser les identités externes à accéder en toute sécurité à vos applications et ressources. Que vous collaboriez avec des partenaires externes, des consommateurs ou des clients professionnels, les utilisateurs peuvent apporter leur propre identité. Ces identités peuvent être associées à des comptes d'entreprise ou des comptes émis par une administration ou encore à des fournisseurs d'identité sociale tels que Google ou Facebook. Pour plus d’informations sur la sécurisation de vos applications pour les partenaires externes, les consommateurs ou les clients professionnels, consultez Présentation de l’ID externe Microsoft.
Intégration à des points de terminaison RESTful
Les fournisseurs de logiciels indépendants peuvent intégrer leurs solutions via des points de terminaison RESTful pour activer l’authentification multifacteur (MFA) et le contrôle d’accès en fonction du rôle (RBAC), activer la vérification et la vérification des identités, améliorer la sécurité avec la détection des bots et la protection contre les fraudes, et répondre aux exigences de la directive 2 (PSD2) sur l’authentification client sécurisée (SCA).
Nous avons des conseils sur l’utilisation de nos points de terminaison RESTful et des exemples détaillés de procédures pas à pas des partenaires intégrés aux API RESTful :
- vérification et preuve des identités, ce qui permet aux clients de valider l’identité de leurs utilisateurs finaux
- contrôle d’accès en fonction du rôle, qui permet le contrôle d’accès granulaire aux utilisateurs finaux
- Sécuriser l’accès hybride à l’application locale, permettant aux utilisateurs finaux d’accéder aux applications locales et héritées avec des protocoles d’authentification modernes
- Protection contre les fraudes, qui permet aux clients de protéger leurs applications et les utilisateurs finaux contre les tentatives de connexion frauduleuses et les attaques par bot
Pare-feu d’applications web
Web Application Firewall (WAF) fournit une protection centralisée pour les applications web contre les attaques et vulnérabilités courantes. ID externe Microsoft Entra permet aux fournisseurs de logiciels indépendants d’intégrer leur service WAF. Tout le trafic vers des domaines personnalisés (par exemple) passe toujours par le service WAF pour fournir une autre couche de sécurité.
Pour implémenter une solution WAF, configurez les domaines personnalisés de ID externe Microsoft Entra. Aperçu des domaines d’URL personnalisés pour ID externe Microsoft Entra décrit comment configurer ID externe Microsoft Entra dans des domaines d’URL personnalisés au sein de locataires externes.