Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'identità è il piano di controllo chiave per la gestione dell'accesso nell'ambiente di lavoro moderno ed è essenziale per implementare Zero Trust. Supporto delle soluzioni di gestione delle identità:
- Zero Trust tramite l'autenticazione avanzata e i criteri di accesso.
- Accesso con privilegi minimi con autorizzazioni e accesso granulari.
- Controlla e criteri che gestiscono l'accesso alle risorse sicure e riducono al minimo il raggio di attacco.
Questa guida all'integrazione illustra in che modo i fornitori di software indipendenti (ISV) e i partner tecnologici possono integrarsi con Microsoft Entra ID per creare soluzioni di Zero Trust sicure per i clienti.
Guida all'integrazione delle identità con Zero Trust
Questa guida all'integrazione illustra Microsoft Entra ID e l'ID esterno Microsoft.
Microsoft Entra ID è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Offre le funzionalità seguenti:
- Autenticazione Single Sign-On
- Accesso condizionale
- Autenticazione senza password e a più fattori
- Gestione automatizzata degli utenti
- E molte altre funzionalità che consentono alle aziende di proteggere e automatizzare i processi di identità su larga scala
Microsoft Defender per IoT è una soluzione CIAM (Business-to-Customer Identity Access Management). I clienti usano Microsoft Defender per IoT per implementare soluzioni di autenticazione con etichette bianche sicure che si adattano facilmente e si fondono con esperienze di applicazioni Web e per dispositivi mobili personalizzate. Informazioni sulle linee guida sull'integrazione nella sezione Microsoft Defender per IoT.
Microsoft Entra ID
Esistono molti modi per integrare la soluzione con Microsoft Entra ID. Le integrazioni fondamentali riguardano la protezione dei clienti usando le funzionalità di sicurezza predefinite di Microsoft Entra ID. Le integrazioni avanzate portano la soluzione in un ulteriore passo avanti con funzionalità di sicurezza avanzate.
Percorso curvo che mostra le integrazioni fondamentali e avanzate. Le integrazioni di base includono l'accesso Single Sign-On e la verifica dell'editore. Le integrazioni avanzate includono il contesto di autenticazione dell'accesso condizionale, la valutazione dell'accesso continuo e le integrazioni avanzate dell'API di sicurezza.
Integrazioni fondamentali
Le integrazioni fondamentali proteggono i clienti con le funzionalità di sicurezza predefinite di Microsoft Entra ID.
Abilitare l'autenticazione unica e la verifica dell'editore
Per abilitare l'accesso Single Sign-On, è consigliabile pubblicare l'app nella galleria delle app. Questo approccio aumenta l'attendibilità dei clienti, perché sa che l'applicazione viene convalidata come compatibile con Microsoft Entra ID. Puoi diventare un editore verificato in modo che i clienti siano certi che tu sia l'editore dell'app che stanno aggiungendo al tenant.
La pubblicazione nella raccolta di app semplifica l'integrazione della soluzione nel tenant con la registrazione automatica delle app per gli amministratori IT. Le registrazioni manuali sono una causa comune di problemi di supporto con le applicazioni. Aggiungere l'app alla raccolta evita questi problemi relativi all'app.
Per le app per dispositivi mobili, è consigliabile usare il Libreria di Autenticazione Microsoft e un browser di sistema per implement Single Sign-On.
Integrare il provisioning degli utenti
La gestione delle identità e dell'accesso per le organizzazioni con migliaia di utenti è complessa. Se le organizzazioni di grandi dimensioni usano la soluzione, è consigliabile sincronizzare le informazioni sugli utenti e l'accesso tra l'applicazione e Microsoft Entra ID. Ciò consente di mantenere coerente l'accesso degli utenti quando si verificano modifiche.
SCIM (System for Cross-Domain Identity Management) è uno standard aperto per lo scambio di informazioni sull'identità utente. È possibile usare l'API di gestione utenti SCIM per effettuare automaticamente il provisioning di utenti e gruppi tra l'applicazione e Microsoft Entra ID.
Develop a SCIM endpoint for user provisioning to apps from Microsoft Entra ID descrive come creare un endpoint SCIM per il provisioning degli utenti nelle app da Microsoft Entra ID e integrarlo con il servizio di provisioning di Microsoft Entra ID.
Integrazioni avanzate
Le integrazioni avanzate aumentano ulteriormente la sicurezza dell'applicazione.
Contesto di autenticazione dell'accesso condizionale
Il contesto di autenticazione dell'accesso condizionale consente alle app di far rispettare i criteri quando un utente accede a dati o azioni sensibili, rendendo gli utenti più produttivi e le risorse sensibili sicure.
Valutazione continua dell'accesso
Valutazione dell'accesso continuo (CAE) consente di revocare i token di accesso in base agli eventi critici e alla valutazione dei criteri anziché basarsi sulla scadenza del token basata sulla durata. Per alcune API delle risorse, poiché i rischi e i criteri vengono valutati in tempo reale, questo può aumentare la durata dei token fino a 28 ore, che rendono l'applicazione più resiliente e efficiente.
API di sicurezza
Nella nostra esperienza, molti fornitori di software indipendenti trovano queste API per essere utili.
API utenti e gruppi
Se l'applicazione deve apportare aggiornamenti agli utenti e ai gruppi nel tenant, è possibile usare le API utente e gruppo tramite Microsoft Graph per eseguire il writeback nel tenant Microsoft Entra. Per altre informazioni sull'uso dell'API, vedere le informazioni di riferimento sull'API REST Microsoft Graph API REST v1.0 e la documentazione di riferimento per il tipo di risorsa user
API di accesso condizionale
Accesso condizionale è una parte fondamentale di Zero Trust perché consente all'utente corretto di accedere alle risorse appropriate. L'abilitazione dell'accesso condizionale consente Microsoft Entra ID di prendere decisioni di accesso in base ai rischi calcolati e ai criteri preconfigurati.
I fornitori di software indipendenti possono sfruttare l'accesso condizionale visualizzando l'opzione per applicare i criteri di accesso condizionale quando pertinente. Ad esempio, se un utente è particolarmente rischioso, è possibile suggerire al cliente di abilitare l'accesso condizionale per tale utente tramite l'interfaccia utente e abilitarlo a livello di codice in Microsoft Entra ID.
Per altre informazioni, vedere la documentazione di configurare i criteri di accesso condizionale usando la documentazione di Microsoft API Graph.
Confermare la compromissione e le API utente rischiose
A volte i fornitori di software indipendenti potrebbero diventare consapevoli della compromissione che non rientra nell'ambito di Microsoft Entra ID. Per qualsiasi evento di sicurezza, in particolare quelli che includono compromissione dell'account, Microsoft e il fornitore di software indipendente possono collaborare condividendo le informazioni da entrambe le parti. L'API di conferma compromissioneconsente di impostare il livello di rischio di un utente target su alto. Questa API consente di Microsoft Entra ID rispondere in modo appropriato, ad esempio richiedendo all'utente di ripetere l'autenticazione o limitando l'accesso ai dati sensibili.
Nell'altra direzione, Microsoft Entra ID valuta continuamente il rischio utente in base a vari segnali e machine learning. L'API Utente rischioso fornisce l'accesso a livello di codice a tutti gli utenti a rischio nel tenant Microsoft Entra dell'app. I fornitori di software indipendenti possono usare questa API per garantire che gestiscano gli utenti in modo appropriato al livello di rischio corrente. tipo di risorsa utente rischioso.
Scenari di prodotto univoci
Le indicazioni seguenti sono destinate ai fornitori di software indipendenti che offrono tipi specifici di soluzioni.
Le integrazioni di accesso ibrido sicuro Sono state create molte applicazioni aziendali per funzionare all'interno di una rete aziendale protetta e alcune di queste applicazioni usano metodi di autenticazione legacy. Poiché le aziende cercano di creare una strategia di Zero Trust e supportare ambienti di lavoro ibridi e cloud-first, hanno bisogno di soluzioni che connettono le app a Microsoft Entra ID e forniscono soluzioni di autenticazione moderne per le applicazioni legacy. Utilizzare questa guida per creare le soluzioni che forniscono autenticazione moderna nel cloud per le applicazioni locali legacy.
Diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft chiavi di sicurezza FIDO2 può sostituire le credenziali deboli con credenziali chiave pubblica/privata avanzate supportate dall'hardware che non possono essere riutilizzate, riprodotte o condivise tra i servizi. È possibile diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft seguendo la procedura descritta in questo documento.
Microsoft Defender per IoT
Microsoft Defender per IoT combina soluzioni efficaci per lavorare con persone esterne all'organizzazione. Con le funzionalità di ID esterno, è possibile permettere alle identità esterne di accedere in modo sicuro alle app e alle risorse. Sia che si stia lavorando con partner esterni, consumer o clienti aziendali, gli utenti possono portare le proprie identità. Queste identità possono variare da account aziendali o rilasciati da enti pubblici a provider di identità di social networking come Google o Facebook. Per altre informazioni sulla protezione delle app per partner esterni, consumer o clienti aziendali, vedere Introduzione all'ID esterno Microsoft.
Eseguire l'integrazione con gli endpoint RESTful
I fornitori di software indipendenti possono integrare le proprie soluzioni tramite endpoint RESTful per abilitare l'autenticazione a più fattori (MFA) e il controllo degli accessi in base al ruolo (RBAC), abilitare la verifica e la correzione delle identità, migliorare la sicurezza con il rilevamento dei bot e la protezione delle frodi e soddisfare i requisiti di Autenticazione del cliente sicura (PSD2) di Payment Services 2 (PSD2).
Sono disponibili indicazioni su come usare gli endpoint RESTful e dettagliati esempi pratici dei partner che hanno integrato con le API RESTful:
- verifica e correzione dell'identità, che consente ai clienti di verificare l'identità degli utenti finali
- controllo degli accessi basato su ruolo, che consente un controllo di accesso dettagliato agli utenti finali
- Proteggere l'accesso ibrido all'applicazione locale, che consente agli utenti finali di accedere alle applicazioni locali e legacy con protocolli di autenticazione moderni
- protezione dalle frodi, che consente ai clienti di proteggere le applicazioni e gli utenti finali da tentativi di accesso fraudolenti e attacchi di bot
Firewall per applicazioni web
Web application firewall (WAF) offre protezione centralizzata per le applicazioni Web da exploit e vulnerabilità comuni. Microsoft Defender per IoT consente ai fornitori di software indipendenti di integrare il servizio WAF. Tutto il traffico verso domini personalizzati (ad esempio, ) passa sempre attraverso il servizio WAF per fornire un altro livello di sicurezza.
Per implementare la soluzione WAF, configurare i domini personalizzati di Microsoft Defender per IoT. Panoramica dei domini URL personalizzati per Microsoft Defender per IoT descrive come configurare Microsoft Defender per IoT nei domini URL personalizzati nei tenant esterni.