Udostępnij za pośrednictwem

Architektura zabezpieczeń uwierzytelniania w aparacie testowym (wersja zapoznawcza)

Notatka

Funkcje w wersji zapoznawczej nie są przeznaczone do użytku w środowiskach produkcyjnych i mogą mieć ograniczoną funkcjonalność. Te funkcje są udostępniane przed oficjalnym wydaniem, dzięki czemu klienci mogą szybciej uzyskać do nich dostęp i przekazać opinie na ich temat.

Ten dokument techniczny przedstawia architekturę zabezpieczeń mechanizmów uwierzytelniania w Power Apps Test Engine. Aby uzyskać wskazówki dotyczące wybierania i konfigurowania metod uwierzytelniania skoncentrowane na użytkowniku, zobacz Przewodnik uwierzytelniania.

Omówienie metod uwierzytelniania

Test Engine obsługuje dwie podstawowe metody uwierzytelniania:

  • Uwierzytelnianie stanu pamięci — na podstawie trwałych plików cookie przeglądarki i stanu pamięci
  • Uwierzytelnianie oparte na certyfikatach — oparte na certyfikatach X.509 i integracji Dataverse

Obie metody są przeznaczone do obsługi nowoczesnych wymagań dotyczących zabezpieczeń, w tym uwierzytelniania wieloskładnikowego (MFA) i zasad dostępu warunkowego.

Architektura uwierzytelniania stanu pamięci masowej

Metoda uwierzytelniania stanu pamięci używa zarządzania kontekstem przeglądarki Playwright do bezpiecznego przechowywania i ponownego używania tokenów uwierzytelniania.

Omówienie przepływu uwierzytelniania w module Test Engine

Implementacja ochrony danych systemu Windows

Implementacja lokalnego stanu magazynu używa Windows API Ochrony Danych (DPAPI) do bezpiecznego przechowywania.

Omówienie uwierzytelniania przy użyciu lokalnego interfejsu API ochrony danych systemu Windows (DPAPI)

Zagadnienia dotyczące zabezpieczeń

Architektura zabezpieczeń stanu magazynu zapewnia:

  • Ochrona statycznych tokenów uwierzytelniania za pomocą szyfrowania DPAPI
  • Microsoft Entra Obsługa uwierzytelniania wieloskładnikowego i zasad dostępu warunkowego
  • Izolacja sandbox za pomocą kontekstów przeglądarkowych Playwright
  • Zgodność z Microsoft Entra zasadami okresu istnienia sesji

Architektura uwierzytelniania opartego na certyfikatach

Uwierzytelnianie oparte na certyfikatach integruje się z platformą Dataverse i wykorzystuje certyfikaty X.509 w celu zwiększenia bezpieczeństwa oraz szyfrowania danych w spoczynku.

Omówienie uwierzytelniania przy użyciu Dataverse

Implementacja pamięci masowej w Dataverse

Implementacja Dataverse wykorzystuje niestandardowe repozytorium XML do bezpiecznego przechowywania kluczy ochrony:

Omówienie przechowywania wartości w Dataverse

Technologia szyfrowania

W poniższych sekcjach opisano algorytmy szyfrowania i podejścia do zarządzania kluczami używane przez Test Engine do ochrony informacji uwierzytelniających w stanie spoczynku i w trakcie przesyłania.

AES-256-CBC + HMACSHA256

Domyślnie wartości danych są szyfrowane za pomocą kombinacji AES-256-CBC i HMACSHA256:

Omówienie szyfrowania Dataverse za pomocą interfejsu API ochrony danych ASP.Net

Takie podejście zapewnia:

  1. Poufność dzięki szyfrowaniu AES-256
  2. Integralność dzięki weryfikacji HMAC
  3. Uwierzytelnianie źródła danych

Integracja z interfejsem API ochrony danych

Silnik testowy integruje się z API ochrony danych ASP.NET Core w celu zarządzania kluczami i szyfrowania:

Przegląd użycia interfejsu API ochrony danych w Dataverse

Implementacja niestandardowego repozytorium XML

Test Engine implementuje niestandardowe IXmlRepository do integracji z Dataverse.

Omówienie niestandardowego dostawcy API ochrony danych XML

Dostęp warunkowy i zgodność z uwierzytelnianiem wieloskładnikowym

Architektura uwierzytelniania silnika testowego została zaprojektowana tak, aby bezproblemowo współpracować z zasadami dostępu warunkowego Microsoft Entra:

Omówienie zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego

Zaawansowane zagadnienia dotyczące zabezpieczeń

W poniższych sekcjach omówiono inne funkcje zabezpieczeń i integracje, które zwiększają ochronę danych uwierzytelniania i obsługują bezpieczne operacje w środowiskach przedsiębiorstwa.

Dataverse Integracja modelu zabezpieczeń

Test Engine korzysta z solidnego modelu zabezpieczeń Dataverse.

  • Zabezpieczenia na poziomie rekordu — kontroluje dostęp do przechowywanych danych uwierzytelniających
  • Model udostępniania — umożliwia bezpieczne udostępnianie kontekstów uwierzytelniania testowego
  • Inspekcja — śledzi dostęp do poufnych danych uwierzytelniających
  • Zabezpieczenia na poziomie kolumny — zapewnia szczegółową ochronę wrażliwych pól

Zarządzanie tokenami interfejsu wiersza polecenia platformy Azure

Na potrzeby Dataverse uwierzytelniania Test Engine bezpiecznie uzyskuje tokeny dostępu:

Omówienie uwierzytelniania opartego na wierszu polecenia platformy Azure (CLI)

Sprawdzone metody zabezpieczeń

Podczas implementowania uwierzytelniania aparatu testowego należy wziąć pod uwagę następujące najlepsze rozwiązania w zakresie zabezpieczeń:

  • Dostęp z najmniejszymi uprawnieniami — udziel minimalnych niezbędnych uprawnień do testowania kont
  • Regularna rotacja certyfikatów — okresowe aktualizowanie certyfikatów
  • Bezpieczne zmienne CI/CD — ochrona zmiennych CI/CD zawierających poufne dane
  • Inspekcja dostępu — monitorowanie dostępu do zasobów uwierzytelniania
  • Izolacja środowiska — używanie oddzielnych środowisk do testowania

Przyszłe ulepszenia zabezpieczeń

Potencjalne przyszłe ulepszenia architektury zabezpieczeń uwierzytelniania obejmują:

  • Integracja z usługą Azure Key Vault w celu ulepszonego zarządzania tajemnicami
  • Obsługa tożsamości zarządzanych w środowiskach platformy Azure
  • Ulepszone możliwości rejestrowania i monitorowania zabezpieczeń
  • Więcej dostawców ochrony dla scenariuszy międzyplatformowych

Ochrona danych w ASP.NET Core
Interfejs API ochrony danych systemu Windows
Microsoft Entra uwierzytelnianie
Model bezpieczeństwa Dataverse
Uwierzytelnianie oparte na certyfikatach X.509

  • Last updated on