Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A identidade é o plano de controlo chave para gerir o acesso no local de trabalho moderno e é essencial para implementar o Confiança Zero. Suporte a soluções de identidade:
- Confiabilidade Zero com políticas robustas de autenticação e acesso.
- Acesso menos privilegiado com permissão e acesso granulares.
- Controles e políticas que gerenciam o acesso para proteger recursos e minimizar o raio de explosão dos ataques.
Este guia de integração explica como fornecedores independentes de software (ISVs) e parceiros tecnológicos podem integrar-se com o Microsoft Entra ID para criar soluções Confiança Zero seguras para os clientes.
Guia de integração do Confiança Zero for Identity
Este guia de integração cobre o Microsoft Entra ID e o Microsoft External ID.
O Microsoft Entra ID é o serviço de gestão de identidades e acessos na cloud da Microsoft. Ele fornece os seguintes recursos:
- Autenticação de logon único
- Acesso condicional
- Autenticação sem senha e multifator
- Provisionamento automatizado de usuários
- E muitos outros recursos que permitem que as empresas protejam e automatizem processos de identidade em escala
O ID Externo do Microsoft Entra é uma solução de gestão de acesso à identidade (CIAM) entre empresas e clientes. Os clientes utilizam o ID Externo do Microsoft Entra para implementar soluções seguras de autenticação white-label que escalam facilmente e se integram com experiências web e de aplicações móveis de marca. Aprenda sobre orientações de integração na secção ID Externo do Microsoft Entra.
Microsoft Entra ID
Existem muitas formas de integrar a sua solução com o Microsoft Entra ID. As integrações fundamentais servem para proteger os seus clientes usando as capacidades de segurança integradas do Microsoft Entra ID. Integrações avançadas levam sua solução um passo adiante com recursos de segurança aprimorados.
Um caminho curvo mostrando as integrações fundamentais e avançadas. As integrações básicas incluem logon único e verificação do editor. As integrações avançadas incluem contexto de autenticação de acesso condicional, avaliação contínua de acesso e integrações avançadas de API de segurança.
Integrações fundamentais
Integrações fundamentais protegem os seus clientes com as capacidades de segurança integradas do Microsoft Entra ID.
Habilitar o logon único e a verificação do editor
Para habilitar o logon único, recomendamos publicar o seu aplicativo na galeria de aplicativos. Esta abordagem aumenta a confiança dos clientes, porque sabem que a sua aplicação é validada como compatível com o Microsoft Entra ID. Você pode se tornar um editor verificado para que os clientes tenham certeza de que você é o editor do aplicativo que estão adicionando ao cliente.
A publicação na galeria de aplicativos facilita para os administradores de TI a integração da solução em seu locatário com o registro automatizado do aplicativo. Os registros manuais são uma causa comum de problemas de suporte com aplicativos. Adicionar seu aplicativo à galeria evita esses problemas com seu aplicativo.
Para aplicações móveis, recomendamos que utilize o Biblioteca de Autenticação da Microsoft e um navegador do sistema para implementar single log-on.
Integre o provisionamento de usuários
Gerenciar identidades e acesso para organizações com milhares de usuários é um desafio. Se grandes organizações utilizarem a sua solução, considere sincronizar a informação sobre utilizadores e acesso entre a sua aplicação e o Microsoft Entra ID. Isso ajuda a manter o acesso do usuário consistente quando ocorrem alterações.
SCIM (System for Cross-Domain Identity Management) é um padrão aberto para a troca de informações de identidade do usuário. Pode usar a API de gestão de utilizadores SCIM para provisionar automaticamente utilizadores e grupos entre a sua aplicação e o Microsoft Entra ID.
Desenvolver um endpoint SCIM para provisionamento de utilizadores a aplicações a partir de Microsoft Entra ID descreve como construir um endpoint SCIM e integrar com o serviço de provisionamento Microsoft Entra.
Integrações avançadas
As integrações avançadas aumentam ainda mais a segurança da sua aplicação.
Contexto de autenticação de Acesso Condicional
de contexto de autenticação de Acesso Condicional permite que os aplicativos acionem a aplicação de políticas quando um usuário acessa dados ou ações confidenciais, mantendo os usuários mais produtivos e seus recursos confidenciais seguros.
Avaliação contínua do acesso
Avaliação Contínua de Acesso (CAE) permite a revogação dos tokens de acesso com base em eventos críticos e avaliação de políticas, em vez de depender da expiração do token com base no tempo de vida. Para algumas APIs de recursos, como o risco e a política são avaliados em tempo real, isso pode aumentar a vida útil do token em até 28 horas, o que torna seu aplicativo mais resiliente e eficiente.
APIs de segurança
Em nossa experiência, muitos fornecedores independentes de software acham essas APIs úteis.
APIs de usuário e grupo
Se a sua aplicação precisar de atualizar os utilizadores e grupos no locatário, pode usar as APIs de utilizador e de grupo através do Microsoft Graph para escrever de volta para o locatário do Microsoft Entra. Pode ler mais sobre o uso da API na referência Microsoft Graph REST API v1.0 e na documentação de referência para o tipo de recurso utilizador
API de acesso condicional
Acesso condicional é uma parte fundamental da Confiança Zero porque ajuda a garantir que o utilizador certo tem o acesso correto aos recursos certos. Ativar o Acesso Condicional permite ao Microsoft Entra ID tomar decisões de acesso com base no risco calculado e nas políticas pré-configuradas.
Os fornecedores independentes de software podem tirar proveito do acesso condicional, apresentando a opção de aplicar políticas de acesso condicional quando relevante. Por exemplo, se um utilizador for especialmente arriscado, pode sugerir que o cliente ative o Acesso Condicional para esse utilizador através da sua interface de utilizador e o ative programaticamente no Microsoft Entra ID.
Para mais informações, consulte a documentação sobre como configurar políticas de acesso condicional usando a Microsoft Graph API.
Confirme a violação e as APIs de utilizador arriscadas
Por vezes, fornecedores independentes de software podem tomar conhecimento de comprometimentos que estão fora do âmbito do Microsoft Entra ID. Para qualquer evento de segurança, especialmente aqueles que incluem comprometimento de conta, a Microsoft e o fornecedor independente de software podem colaborar compartilhando informações de ambas as partes. A API confirmar compromisso permite definir o nível de risco de um usuário alvo como alto. Esta API permite que o Microsoft Entra ID responda de forma adequada, por exemplo, exigindo que o utilizador se reautentique ou restringindo o seu acesso a dados sensíveis.
Por outro lado, o Microsoft Entra ID avalia continuamente o risco do utilizador com base em vários sinais e aprendizagem automática. API Risky User oferece acesso programático a todos os utilizadores em risco no tenant Microsoft Entra da aplicação. Fornecedores de software independentes podem fazer uso dessa API para garantir que estão lidando com os usuários adequadamente ao seu nível atual de risco. riskyUser o tipo de recurso.
Cenários exclusivos de produtos
As orientações a seguir são para fornecedores independentes de software que oferecem tipos específicos de soluções.
Integrações de acesso híbrido seguro Muitos aplicativos de negócios foram criados para funcionar dentro de uma rede corporativa protegida, e alguns desses aplicativos usam métodos de autenticação herdados. À medida que as empresas procuram construir uma estratégia Confiança Zero e apoiar ambientes de trabalho híbridos e cloud-first, precisam de soluções que liguem aplicações ao Microsoft Entra ID e forneçam soluções modernas de autenticação para aplicações legadas. Use este guia para criar soluções que forneçam autenticação moderna na nuvem para aplicativos locais herdados.
Torne-se um fornecedor de chaves de segurança FIDO2 compatível com a Microsoft as chaves de segurança FIDO2 podem substituir credenciais fracas por credenciais de chave pública/privada fortes apoiadas por hardware que não podem ser reutilizadas, reproduzidas ou compartilhadas entre serviços. Você pode se tornar um fornecedor de chave de segurança FIDO2 compatível com a Microsoft seguindo o processo neste documento.
Microsoft Entra ID Externo
O ID Externo do Microsoft Entra combina soluções poderosas para trabalhar com pessoas fora da sua organização. Com os recursos de ID Externa, você pode permitir que identidades externas acessem com segurança seus aplicativos e recursos. Quer esteja a trabalhar com parceiros externos, consumidores ou clientes empresariais, os utilizadores podem trazer as suas próprias identidades. Essas identidades podem variar de contas corporativas ou emitidas pelo governo a provedores de identidade social como Google ou Facebook. Para obter mais informações sobre como proteger os seus aplicativos para parceiros externos, consumidores ou clientes empresariais, consulte Introdução ao Microsoft External ID.
Integração com endpoints RESTful
Os fornecedores independentes de software podem integrar suas soluções por meio de endpoints RESTful para habilitar a autenticação multifator (MFA) e o controle de acesso baseado em função (RBAC), habilitar a verificação e a prova de identidade, melhorar a segurança com deteção de bots e proteção contra fraudes e atender aos requisitos da Autenticação Segura do Cliente (SCA) da Diretiva de Serviços de Pagamento 2 (PSD2).
Temos orientações sobre como usar nossos pontos de extremidade RESTful e exemplos detalhados de passo a passo de parceiros que se integraram às APIs RESTful:
- Comprovação e verificação de identidade, que permite aos clientes verificar a identidade dos seus utilizadores finais
- Controle de acesso baseado em função, que permite o controle de acesso granular para usuários finais
- Acesso híbrido seguro a aplicativos locais, que permite que os usuários finais acessem aplicativos locais e herdados com protocolos de autenticação modernos
- Proteção contra fraudes, que permite que os clientes protejam seus aplicativos e usuários finais contra tentativas de login fraudulentas e ataques de bots
Firewall de aplicativos Web
O Firewall de Aplicações Web (WAF) fornece proteção centralizada para aplicações web contra explorações e vulnerabilidades comuns. O ID Externo do Microsoft Entra permite que fornecedores de software independentes integrem o seu serviço WAF. Todo o tráfego para domínios personalizados (por exemplo, ) sempre passa pelo serviço WAF para fornecer outra camada de segurança.
Para implementar uma solução WAF, configure domínios personalizados do ID Externo do Microsoft Entra. Visão geral de domínios URL personalizados para ID Externo do Microsoft Entra descreve como configurar ID Externo do Microsoft Entra em domínios URL personalizados em inquilinos externos.