Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jako deweloper możesz dobrze wykorzystać standardy branżowe na potrzeby tworzenia oprogramowania rozszerzonego przez bibliotekę Microsoft Authentication Library (MSAL). W tym artykule przedstawiono omówienie obsługiwanych standardów i ich korzyści z platformy tożsamości firmy Microsoft. Upewnij się, że aplikacje w chmurze spełniają wymagania zero trust w celu uzyskania optymalnego bezpieczeństwa.
Co z protokołami?
Podczas implementowania protokołów należy wziąć pod uwagę koszty, które obejmują czas pisania kodu, który jest w pełni aktualny ze wszystkimi najlepszymi rozwiązaniami i postępuje zgodnie z najlepszymi rozwiązaniami protokołu OAuth 2.0 w celu zapewnienia bezpiecznej implementacji. Użyj dobrze utrzymywanej biblioteki (z preferencją dla MSAL) podczas budowy bezpośrednio do Microsoft Entra ID lub Microsoft Identity.
Optymalizujemy MSAL, aby tworzyć i pracować z Microsoft Entra ID. Jeśli środowisko nie ma biblioteki MSAL lub zawiera odblokowane funkcje we własnej bibliotece, opracuj aplikację przy użyciu platformy tożsamości firmy Microsoft. Wykorzystaj funkcje protokołu OAuth 2.0 i OpenID Connect. Rozważ koszty prawidłowego powrotu do protokołu.
Jak platforma tożsamości firmy Microsoft obsługuje standardy
Aby efektywnie i wydajnie osiągnąć zero trust, twórz aplikacje ze standardami branżowymi, które obsługuje platforma tożsamości firmy Microsoft:
Protokoły OAuth 2.0 i OpenID Connect
Jako branżowy protokół autoryzacji protokół OAuth 2.0 umożliwia użytkownikom udzielanie ograniczonego dostępu do chronionych zasobów. Protokół OAuth 2.0 współdziała z protokołem HTTP (Hypertext Transfer Protocol), aby oddzielić rolę klienta od właściciela zasobu. Klienci używają tokenów do uzyskiwania dostępu do chronionych zasobów na serwerze zasobów.
Konstrukcje OpenID Connect pozwalają rozszerzeniom Microsoft Entra na zwiększenie bezpieczeństwa. Te rozszerzenia firmy Microsoft Entra są najbardziej typowe:
- Kontekst uwierzytelniania dostępu warunkowego umożliwia aplikacjom stosowanie szczegółowych zasad w celu ochrony poufnych danych i akcji zamiast tylko na poziomie aplikacji.
- Ciągła ocena dostępu umożliwia aplikacjom firmy Microsoft Entra subskrybowanie zdarzeń krytycznych na potrzeby oceny i wymuszania. CaE obejmuje ryzykowną ocenę zdarzeń, taką jak wyłączone lub usunięte konta użytkowników, zmiany haseł, odwołania tokenów i wykrytych użytkowników.
Gdy aplikacje korzystają z rozszerzonych funkcji zabezpieczeń, takich jak CAE i kontekst uwierzytelniania z dostępem warunkowym, muszą zawierać kod do zarządzania wyzwaniami związanymi z roszczeniami. Dzięki otwartym protokołom można wykorzystywać wyzwania związane z oświadczeniami i żądania oświadczeń, aby wywołać inne możliwości klienta. Na przykład wskazanie aplikacji, które muszą powtórzyć interakcję z identyfikatorem Entra firmy Microsoft z powodu anomalii. Innym scenariuszem jest to, że użytkownik nie spełnia już warunków, w których wcześniej się uwierzytelnił. Można kodować dla tych rozszerzeń bez zakłócania podstawowych przepływów kodu uwierzytelniania.
Język znaczników asercji zabezpieczeń (SAML)
Platforma tożsamości firmy Microsoft używa protokołu SAML 2.0, aby umożliwić aplikacjom Zero Trust zapewnianie doświadczania jednokrotnego logowania przez użytkowników. Logowanie jednokrotnego dostępu (SSO) i jednokrotne wylogowanie (Single Sign-Out) profile SAML w usłudze Microsoft Entra ID wyjaśniają, w jaki sposób usługa dostawcy tożsamości używa asercji, protokołów i powiązań SAML. Protokół SAML wymaga od dostawcy tożsamości (platformy tożsamości firmy Microsoft) i dostawcy usług (aplikacji) wymiany informacji o sobie. Rejestrując aplikację Zero Trust przy użyciu identyfikatora Entra firmy Microsoft, należy zarejestrować informacje dotyczące federacji, które zawierają URI przekierowania i URI metadanych aplikacji.
Zalety biblioteki MSAL nad protokołami
Firma Microsoft optymalizuje biblioteki MSAL dla platformy tożsamości Microsoft i zapewnia najlepsze środowisko dla logowania jednokrotnego, buforowania tokenów i odporności na przerwy w działaniu. Ponieważ MSALs (Microsoft Authentication Libraries) są ogólnie dostępne, nadal rozszerzamy zakres języków i frameworków.
Korzystając z biblioteki MSAL, uzyskujesz tokeny dla typów aplikacji, które obejmują aplikacje internetowe, internetowe interfejsy API, aplikacje jednostronicowe, aplikacje mobilne i natywne, demony i aplikacje po stronie serwera. Biblioteka MSAL umożliwia szybką i prostą integrację z bezpiecznym dostępem do użytkowników i danych za pośrednictwem programu Microsoft Graph i interfejsów API. Dzięki najlepszym w swojej klasie bibliotekom uwierzytelniania możesz dotrzeć do dowolnej grupy odbiorców i postępować zgodnie z cyklem projektowania zabezpieczeń firmy Microsoft.
Następne kroki
- Biblioteki uwierzytelniania platformy tożsamości firmy Microsoft opisują obsługę typów aplikacji.
- Opracowywanie przy użyciu zasad zero trust ułatwia zrozumienie wytycznych dotyczących modelu Zero Trust, dzięki czemu można zwiększyć bezpieczeństwo aplikacji.
- Użyj najlepszych praktyk zarządzania tożsamością i dostępem Zero Trust w cyklu rozwoju aplikacji, aby projektować bezpieczne aplikacje.
- Tworzenie aplikacji z podejściem Zero Trust do tożsamości zawiera omówienie uprawnień i najlepszych rozwiązań dotyczących dostępu.
- Obowiązki deweloperów i administratorów dotyczące rejestracji aplikacji, autoryzacji i dostępu ułatwiają współpracę z informatykami.
- Usługa API Protection opisuje najlepsze rozwiązania dotyczące ochrony interfejsu API za pomocą rejestracji, definiowania uprawnień i zgody oraz wymuszania dostępu w celu osiągnięcia celów zero trust.
- Dostosowywanie tokenów opisuje informacje, które można uzyskać z tokenów Microsoft Entra. Wyjaśniono w nim, jak dostosowywanie tokenu zwiększa elastyczność i kontrolę przy jednoczesnym zwiększeniu zabezpieczeń typu Zero Trust aplikacji zgodnie z zasadą najmniejszych uprawnień.
- Konfigurowanie oświadczeń grup i ról aplikacji w tokenach opisuje sposób konfigurowania aplikacji z definicjami ról aplikacji i przypisywania grup zabezpieczeń do ról aplikacji. Takie podejście zwiększa elastyczność i kontrolę, jednocześnie zwiększając zabezpieczenia Zero Trust aplikacji przy zachowaniu zasady najmniejszych uprawnień.