Microsoft Entra odgrywa centralną rolę w strategiach zarządzania tożsamością i dostępem (IAM) wielu organizacji. Oferuje integrację z Microsoft 365, obsługuje zasady dostępu warunkowego i zapewnia natywne możliwości logowania bez hasła. Te funkcje sprawiają, że Entra jest naturalnym wyborem dla firm działających głównie w środowiskach Microsoft.
Jednak infrastruktura IT w przedsiębiorstwach rzadko ogranicza się do chmury. Wiele organizacji pracuje w środowiskach hybrydowych, utrzymuje aplikacje typu legacy i obsługuje zarówno użytkowników wewnętrznych, jak i zewnętrznych – każdy z tych przypadków wiąże się z odmiennymi wymaganiami dotyczącymi tożsamości i uwierzytelniania. Niektóre z nich wykraczają poza zakres natywnej obsługi Entra.
W takich scenariuszach dodatkowe narzędzia, takie jak Secfense, mogą uzupełniać Microsoft Entra, wspierając specyficzne potrzeby związane z uwierzytelnianiem, zgodnością i bezpieczeństwem dla aplikacji i systemów, które nie mieszczą się w standardowej architekturze Entra.
IAM w praktyce: kiedy Entra potrzebuje wsparcia
Microsoft Entra została zaprojektowana jako centralna warstwa kontroli tożsamości w środowiskach opartych na Microsoft. Oferuje:
- Logowanie jednokrotne (SSO) i federację przez SAML/OIDC
- Dostęp warunkowy na podstawie urządzenia, lokalizacji lub poziomu ryzyka
- Uwierzytelnianie bez hasła przez Microsoft Authenticator i Windows Hello
- Integrację z Microsoft Defender i Microsoft Graph do celów raportowych
Jednak wiele scenariuszy w rzeczywistych środowiskach IT wymaga uzupełnienia tych możliwości o funkcje wykraczające poza natywny zakres Entra:
1. Aplikacje legacy i systemy on-prem
Wiele firm nadal korzysta z aplikacji webowych, które nie obsługują nowoczesnych protokołów uwierzytelniania. Microsoft Application Proxy może zapewnić do nich dostęp, ale jego wdrożenie wiąże się z synchronizacją tożsamości, konfiguracją gatewaya lub nawet koniecznością zmian w kodzie aplikacji.
Secfense działa jako reverse proxy i umożliwia egzekwowanie silnego uwierzytelniania (np. FIDO2 lub passkeys) bez modyfikowania aplikacji co jest szczególnie przydatne w środowiskach hybrydowych.
2. Tożsamość klientów (CIAM) z nowoczesnym uwierzytelnianiem
Microsoft Entra External ID obsługuje podstawowe scenariusze CIAM. Na ten moment jednak nie wspiera jeszcze FIDO2 ani passkeyów ich obsługa planowana jest dopiero na przyszłość.
Secfense umożliwia logowanie bez hasła oparte na FIDO2 dla użytkowników B2B i B2C już dziś, niezależnie od używanego uwierzytelniacza (w tym passkeyów powiązanych z urządzeniem).
3. Środowiska wymagające lokalnego przechowywania tożsamości
Niektóre organizacje, zwłaszcza w sektorze publicznym, zdrowotnym czy finansowym, muszą przechowywać dane o tożsamościach lokalnie i unikać synchronizacji z chmurą.
Secfense działa bez potrzeby synchronizacji tożsamości do chmury umożliwia wdrażanie nowoczesnego uwierzytelniania w oparciu o lokalne środowiska Active Directory.
4. Elastyczność uwierzytelniaczy i passkeyów
Microsoft Authenticator i Windows Hello dobrze sprawdzają się w ekosystemie Microsoft. Jednak obecnie passkeye w Microsoft Authenticator są ograniczone do środowiska Entra.
Secfense obsługuje szeroką gamę uwierzytelniaczy FIDO2, umożliwiając logowanie za pomocą passkeyów w środowiskach wieloplatformowych, z pełną kontrolą nad ich przechowywaniem i synchronizacją.
Uwierzytelnianie warstwowe jako zasada projektowa
Powszechnym wyzwaniem w IAM jest unikanie zależności od jednej warstwy uwierzytelniania. Entra oferuje mocną ochronę, ale w środowiskach o podwyższonym ryzyku zaleca się stosowanie dodatkowych warstw bezpieczeństwa.
Secfense dodaje taką warstwę, działając niezależnie od dostawcy tożsamości. Nawet jeśli użytkownik został uwierzytelniony przez Entra, Secfense może zastosować dodatkowe kontrole, takie jak:
- Drugie żądanie FIDO2 dla krytycznych aplikacji
- Mikroautoryzacje dla konkretnych operacji
- Zasady bezpieczeństwa na poziomie sesji, a nie tylko logowania
Takie rozdzielenie przechowywania tożsamości (IAM) i egzekwowania uwierzytelnienia (IdP/MFA) wspiera zasady Zero Trust i defense-in-depth.
Uzupełnianie zamiast zastępowania
Ważne jest podkreślenie, że celem Secfense nie jest zastępowanie Microsoft Entra ani żadnego innego rozwiązania IAM. Platforma została zaprojektowana jako warstwa współpracująca z istniejącą infrastrukturą i umożliwiająca rozszerzenie uwierzytelniania tam, gdzie nie sięgają natywne funkcje Entra.
W typowej architekturze:
- Microsoft Entra zarządza tożsamością, federacją i politykami
- Secfense dodaje FIDO2, passkeye i MFA do aplikacji lokalnych, niestandardowych lub CIAM, bez zmian w aplikacjach
To modułowe podejście pozwala firmom wdrażać nowoczesne zabezpieczenia etapami, bez potrzeby przebudowy całego stosu tożsamości.
Tabela podsumowująca: Możliwości Secfense w środowiskach z Entra
| Scenariusz | Microsoft Entra | Secfense (uzupełniająco) |
|---|---|---|
| Aplikacje legacy/on-prem | Application Proxy | Reverse proxy, brak zmian w kodzie |
| Passkeye dla CIAM | W planach | Dostępne już teraz |
| Tożsamości lokalne | Wymagana synchronizacja do chmury | Obsługa w pełni lokalna |
| MFA dla aplikacji | Polityki centralne | MFA per aplikacja/sesja |
| Obsługa uwierzytelniaczy | Głównie Microsoft | Dowolny uwierzytelniacz FIDO2 |
| Warstwowość bezpieczeństwa | IAM i IdP zintegrowane | IAM ≠ MFA (warstwa dodatkowa) |
Podsumowanie
Microsoft Entra to zaawansowana platforma IAM, dobrze dopasowana do organizacji korzystających z ekosystemu Microsoft. Jednak organizacje posiadające środowiska hybrydowe, aplikacje legacy lub wymagania CIAM mogą skorzystać na rozszerzeniu tych możliwości o narzędzia takie jak Secfense.
Secfense pozwala:
- dodać nowoczesne uwierzytelnianie do starszych aplikacji bez zmian w kodzie,
- wdrożyć passkeye w środowiskach CIAM i B2B,
- wzmocnić ochronę krytycznych zasobów poprzez mikroautoryzacje i warstwowe podejście do bezpieczeństwa.
Co dalej?
Jeśli Twoja organizacja:
- Planuje wdrożenie passkeyów lub FIDO2 dla klientów, pracowników lub aplikacji legacy
- Szuka elastycznego podejścia do warstwowego uwierzytelniania
- Chce uzupełnić Entra o MFA w środowiskach on-prem i niestandardowych
Umów się na demo lub rozmowę techniczną: Skontaktuj się z nami
Antoni Sikora 