Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A identidade é o plano de controle chave para gerenciar o acesso no local de trabalho moderno e é essencial para implementar Confiança Zero. Suporte a soluções de identidade:
- Confiança Zero por meio de políticas de autenticação e acesso confiáveis.
- Acesso com princípio do menor privilégio e permissões e acesso granulares.
- Controles e políticas que gerenciam o acesso a recursos seguros e minimizam o raio de explosão de ataques.
Este guia de integração explica como isvs (fornecedores de software) independentes e parceiros de tecnologia podem se integrar ao Microsoft Entra ID para criar soluções de Confiança Zero seguras para os clientes.
Guia de integração do Confiança Zero for Identity
Este guia de integração aborda Microsoft Entra ID e a ID Externa da Microsoft.
Microsoft Entra ID é o serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft. Ela fornece os seguintes recursos:
- Autenticação de logon único
- Acesso Condicional
- Autenticação multifator e sem senha
- Provisionamento automatizado de usuário
- E muitos outros recursos que permitem que as empresas protejam e automatizem processos de identidade em escala
ID externa do Microsoft Entra é uma solução de gerenciamento de identidades e acessos voltada para interações entre empresas e clientes (CIAM). Os clientes usam ID externa do Microsoft Entra para implementar soluções seguras de autenticação de rótulo branco que são dimensionadas facilmente e se misturam com experiências de aplicativo web e móvel de marca. Saiba mais sobre as diretrizes de integração na seção ID externa do Microsoft Entra.
Microsoft Entra ID
Há muitas maneiras de integrar sua solução ao Microsoft Entra ID. As integrações fundamentais tratam de proteger seus clientes usando os recursos de segurança internos do Microsoft Entra ID. As integrações avançadas levam sua solução um passo adiante com recursos de segurança aprimorados.
Um caminho curvo mostrando as integrações fundamentais e avançadas. As integrações fundamentais incluem logon único e verificação do editor. As integrações avançadas incluem contexto de autenticação de acesso condicional, avaliação de acesso contínuo e integrações avançadas de API de segurança.
Integrações fundamentais
As integrações fundamentais protegem seus clientes com os recursos de segurança internos do Microsoft Entra ID.
Habilitar o logon único e a verificação do editor
Para habilitar o logon único, recomendamos publicar seu aplicativo na galeria de aplicativos. Essa abordagem aumenta a confiança do cliente, pois eles sabem que seu aplicativo é validado como compatível com Microsoft Entra ID. Você pode se tornar um editor verificado para que os clientes estejam certos de que você é o editor do aplicativo que eles estão adicionando ao locatário.
A publicação na galeria de aplicativos facilita para os administradores de TI a integração da solução em seu ambiente com o registro automatizado do aplicativo. Registros manuais são uma causa comum de problemas de suporte com aplicativos. Adicionar seu aplicativo à galeria evita esses problemas com seu aplicativo.
Para aplicativos móveis, recomendamos que você use o Biblioteca do Microsoft Authenticator e um navegador do sistema para implementar autenticação única.
Integrar o provisionamento de usuários
Gerenciar identidades e acesso para organizações com milhares de usuários é um desafio. Se grandes organizações usarem sua solução, considere sincronizar informações sobre usuários e o acesso entre seu aplicativo e Microsoft Entra ID. Isso ajuda a manter o acesso do usuário consistente quando ocorrem alterações.
O SCIM (System for Cross-Domain Identity Management) é um padrão aberto para trocar informações de identidade do usuário. Você pode usar a API de gerenciamento de usuário scim para provisionar automaticamente usuários e grupos entre seu aplicativo e Microsoft Entra ID.
Desenvolver um ponto de extremidade SCIM para provisionamento de usuário para aplicativos do Microsoft Entra ID descreve como criar um ponto de extremidade SCIM e integrar-se ao serviço de provisionamento do Microsoft Entra.
Integrações avançadas
Integrações avançadas aumentam ainda mais a segurança do aplicativo.
Contexto de autenticação de acesso condicional
O contexto de autenticação de Acesso Condicional permite que os aplicativos ativem a aplicação de políticas quando um usuário acessa dados ou ações confidenciais, mantendo os usuários mais produtivos e seus recursos sensíveis seguros.
Avaliação contínua de acesso
CAE (Avaliação de Acesso Contínuo) permite que os tokens de acesso sejam revogados com base em eventos críticos e avaliação de políticas, em vez de depender da expiração do token baseada na duração. Para algumas APIs de recurso, como o risco e a política são avaliados em tempo real, isso pode aumentar o tempo de vida do token em até 28 horas, o que torna seu aplicativo mais resiliente e com desempenho.
APIs de segurança
Em nossa experiência, muitos fornecedores de software independentes acham essas APIs úteis.
APIs de usuário e grupo
Se o aplicativo precisar fazer atualizações para os usuários e grupos no locatário, você poderá usar as APIs de usuário e grupo por meio de Microsoft Graph para gravar novamente no locatário Microsoft Entra. Você pode ler mais sobre como usar a API na referência Microsoft Graph REST API v1.0 e a documentação de referência do tipo de recurso usuário
API de Acesso Condicional
Conditional access é uma parte fundamental do Confiança Zero porque ajuda a garantir que o usuário certo tenha o acesso certo aos recursos certos. Habilitar o Acesso Condicional permite que Microsoft Entra ID tome decisões de acesso com base em riscos computados e políticas pré-configuradas.
Os fornecedores de software independentes podem se beneficiar do acesso condicional, disponibilizando a opção de aplicar políticas de acesso condicional quando relevante. Por exemplo, se um usuário for especialmente arriscado, você poderá sugerir que o cliente habilite o Acesso Condicional para esse usuário por meio da interface do usuário e habilite-o programaticamente em Microsoft Entra ID.
Para obter mais informações, confira a documentação sobre como configurar políticas de acesso condicional usando a Microsoft API do Graph.
Confirmar as APIs de usuário suspeito e comprometimento
Às vezes, os fornecedores de software independentes podem estar cientes do comprometimento que está fora do escopo de Microsoft Entra ID. Para qualquer evento de segurança, especialmente aqueles que incluem o comprometimento da conta, a Microsoft e o fornecedor de software independente podem colaborar compartilhando informações de ambas as partes. A API de confirmação de comprometimento permite que você defina o nível de risco de um usuário de destino como alto. Essa API permite que Microsoft Entra ID respondam adequadamente, por exemplo, exigindo que o usuário reautentica ou restrinja seu acesso a dados confidenciais.
Na outra direção, Microsoft Entra ID avalia continuamente o risco do usuário com base em vários sinais e aprendizado de máquina. A API de Usuário Arriscado fornece acesso programático a todos os usuários em risco no locatário Microsoft Entra do aplicativo. Os fornecedores de software independentes podem usar essa API para garantir que eles estejam tratando os usuários adequadamente para o nível atual de risco. tipo de recurso riskyUser.
Cenários de produto exclusivos
As diretrizes a seguir são para fornecedores de software independentes que oferecem tipos específicos de soluções.
Integrações de acesso híbrido seguro Muitos aplicativos empresariais foram criados para funcionar dentro de uma rede corporativa protegida e alguns desses aplicativos usam métodos de autenticação herdados. À medida que as empresas buscam criar uma estratégia Confiança Zero e dar suporte a ambientes de trabalho híbridos e na nuvem, elas precisam de soluções que conectem aplicativos a Microsoft Entra ID e forneçam soluções de autenticação modernas para aplicativos herdados. Use este guia para criar soluções que fornecem autenticação de nuvem moderna para aplicativos locais herdados.
Tornar-se um fornecedor de chave de segurança FIDO2 compatível com a Microsoft As chaves de segurança FIDO2 podem substituir credenciais fracas por credenciais de chave pública/privada com suporte de hardware fortes que não podem ser reutilizados, reproduzidos ou compartilhados entre serviços. Você pode se tornar um fornecedor de chave de segurança FIDO2 compatível com a Microsoft seguindo o processo neste documento.
Microsoft Entra ID Externo
ID externa do Microsoft Entra combina soluções avançadas para trabalhar com pessoas de fora da sua organização. Com recursos de ID externa, você pode permitir que identidades externas acessem com segurança seus aplicativos e recursos. Se você estiver trabalhando com parceiros, consumidores ou clientes comerciais externos, os usuários podem trazer suas próprias identidades. Essas identidades podem variar de contas corporativas ou emitidas pelo governo a provedores de identidade social, como Google ou Facebook. Mais informações sobre como proteger seus aplicativos para parceiros externos, consumidores ou clientes comerciais, consulte Introdução à ID Externa da Microsoft.
Integração aos pontos de extremidade RESTful
Os fornecedores de software independentes podem integrar suas soluções por meio de pontos de extremidade RESTful para habilitar a autenticação multifator (MFA) e o RBAC (controle de acesso baseado em função), habilitar a verificação e a revisão de identidade, melhorar a segurança com a detecção de bot e a proteção contra fraudes e atender aos requisitos de SCA (Autenticação Segura do Cliente) da Diretiva de Serviços de Pagamento 2 (PSD2).
Temos diretrizes sobre como usar nossos pontos de extremidade RESTful e instruções passo a passo de exemplo detalhadas de parceiros que integraram-se às APIs RESTful:
- Verificação e comprovação da identidade, que permite que os clientes verifiquem a identidade dos usuários finais
- Controle de acesso baseado em função, que permite o controle de acesso granular aos usuários finais
- Acesso híbrido seguro ao aplicativo local, permitindo que os usuários finais acessem aplicativos locais e herdados com protocolos de autenticação modernos
- Proteção contra fraudes, que permite que os clientes protejam seus aplicativos e usuários finais contra tentativas fraudulentas de entrada e ataques de bot
Firewall do aplicativo Web
Firewall de Aplicativo Web (WAF) fornece proteção centralizada para aplicativos Web contra explorações e vulnerabilidades comuns. ID externa do Microsoft Entra permite que fornecedores de software independentes integrem seu serviço WAF. Todo o tráfego para domínios personalizados (por exemplo) sempre passa pelo serviço WAF para fornecer outra camada de segurança.
Para implementar uma solução WAF, configure domínios personalizados no ID externa do Microsoft Entra. Visão geral de domínios de URL personalizados para ID externa do Microsoft Entra descreve como configurar o ID externa do Microsoft Entra em domínios de URL personalizados em locatários externos.