Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jako deweloper, ten artykuł wspiera cię w poprawie bezpieczeństwa aplikacji poprzez stałą ocenę dostępu. Dowiesz się, jak zapewnić obsługę usługi Zero Trust w aplikacjach, które otrzymują autoryzację dostępu do zasobów podczas uzyskiwania tokenów dostępu z identyfikatora Entra firmy Microsoft.
Gdy identyfikator entra firmy Microsoft wystawia te tokeny dostępu, w pełni ocenia warunki tej autoryzacji. Identyfikator Entra firmy Microsoft wykonuje standardowe akcje autoryzacji, takie jak zapewnianie zgody, za każdym razem, gdy wystawia tokeny dla początkowych żądań tokenów i podczas odświeżania tokenów.
Identyfikator Entra firmy Microsoft używa głównie tokenów sieci Web JSON (JWT) do tokenów dostępu. Interfejs API zasobów może dekodować, weryfikować i interpretować zestaw JWT bez konieczności odwoływania się do identyfikatora Entra firmy Microsoft przy każdym wywołaniu interfejsu API zasobów. Standard JWT definiuje oświadczenie exp, które identyfikuje czas wygaśnięcia, od którego nie wolno przyjąć tokenu JWT do przetwarzania. Domyślnie tokeny Microsoft Entra wygasają od 60 do 90 minut po ich wydaniu. Upewnij się, że aplikacje buforują i wykorzystują tokeny dostępu przez okres, w którym Microsoft Entra ID nie ocenia warunków autoryzacji.
Ocena warunków poza wystawianiem tokenu
Opóźnienia mogą wystąpić między zmianami warunków użytkownika a wymuszaniem zmian zasad, gdy identyfikator Entra firmy Microsoft wystawia tokeny. Obniżone podejście do okresu istnienia tokenu może obniżyć wydajność i niezawodność użytkownika bez eliminowania ryzyka.
Jednym z rozwiązań jest ocena warunków przy każdym wywołaniu chronionego zasobu. Najczęstszym sposobem implementacji tego wymuszania jest introspekcja tokenu. Introspekcja tokenu nie używa formatu JWT dla tokenu. Zamiast tego introspekcja tokenu używa nieprzezroczystego łańcucha znaków, którego interfejs API zasobów nie jest w stanie zinterpretować. Interfejs API zasobów wysyła token do dostawcy tożsamości przy każdym wywołaniu. Następnie dostawca tożsamości sprawdza, czy istnieją jakieś warunki i zwraca dane, które interfejs API zasobu może wykorzystać do zakończenia operacji. Ten proces może być kosztowny, ponieważ dodaje dodatkowe żądanie zwrotne do każdego wywołania interfejsu API.
Aby rozwiązać ten wydatek za pomocą oceny ciągłego dostępu (CAE), interfejs API zasobu może nasłuchiwać zdarzeń, które identyfikator Microsoft Entra wysyła o tokenach generowanych przez identyfikator Microsoft Entra dla interfejsu API zasobu. Na przykład, gdy aplikacja wywołuje interfejs API Microsoft Graph, usługa Microsoft Graph może sprawdzić, czy otrzymano zdarzenia z Microsoft Entra ID dotyczące tokenu. Jeśli warunki oryginalnego uwierzytelniania są różne i użytkownik musi ponownie uwierzytelnić, program Microsoft Graph zwraca błąd do aplikacji wywołującej.
Identyfikator Microsoft Entra wysyła zdarzenie do zasobów Microsoft z włączoną obsługą CAE, gdy wystąpi dowolne z tych zdarzeń:
- Wyłączone lub usunięte konto użytkownika
- Zmieniono lub zresetowaliśmy hasło użytkownika
- Włączone uwierzytelnianie wieloskładnikowe użytkownika
- Administrator jawnie odwołuje wszystkie tokeny odświeżania dla użytkownika
- Usługa Microsoft Entra ID Protection wykrywa podwyższony poziom ryzyka użytkownika
Ponadto zasoby firmy Microsoft obsługujące caE mogą wymuszać zasady dostępu warunkowego opartego na lokalizacji.
Zwiększanie bezpieczeństwa i odporności aplikacji przy użyciu środowiska CAE
Poniższy film wideo pokazuje bezpieczniejsze i odporniejsze aplikacje zbudowane na platformie Microsoft Entra Continuous Access Evaluation przedstawia tworzenie aplikacji klienckiej z obsługą CAE.
W prezentacji wideo opisano sposób pracy aplikacji z nowoczesnym uwierzytelnianiem i wykonaniem następujących kroków:
- Aplikacja żąda tokenów z platformy tożsamości Microsoft
- Aplikacja otrzymuje token dostępu
- Wywołanie interfejsu API/autoryzacji aplikacji za pomocą biblioteki JWT
- Introspekcja
- Udostępnione sygnały i zdarzenia
- Ocena zdarzeń krytycznych
- Ocena zasad dostępu warunkowego
- Nazywana ocena ciągłego dostępu API
- Wyzwanie dotyczące roszczeń
Ciągła ocena dostępu umożliwia autoryzację aplikacji w celu uzyskania dostępu do zasobu odwołanego poza okresem istnienia tokenu dostępu. Na przykład aplikacja ma token ważny przez 75 minut. Użytkownik ma stan wysokiego ryzyka z powodu naruszonych poświadczeń. Usługa CAE blokuje dostęp aplikacji do zasobu, co wymaga ponownego uwierzytelnienia użytkownika przed kontynuowaniem. W związku z tym caE osiąga swój podstawowy cel w celu poprawy bezpieczeństwa aplikacji.
Ponieważ dostęp do zasobu można odwołać poza okresem istnienia tokenu, identyfikator Entra firmy Microsoft może wystawiać tokeny przez dłuższy okres istnienia. W przypadku aplikacji obsługujących caE identyfikator Entra firmy Microsoft może wystawiać tokeny, które są ważne przez maksymalnie 28 godzin. Mimo że ten dłuższy okres istnienia tokenu nie poprawia odporności aplikacji, zmniejsza koszty aplikacji, ponieważ aplikacja musi żądać tokenów znacznie rzadziej.
CaE zwiększa odporność aplikacji na problemy, które aplikacja może napotkać podczas uzyskiwania tokenu dostępu z identyfikatora Entra firmy Microsoft. Jeśli to możliwe, identyfikator Entra firmy Microsoft wystawia czas odświeżania w ramach odpowiedzi tokenu zawierającej token dostępu. Biblioteki uwierzytelniania firmy Microsoft (MSAL) używają tego czasu odświeżania, aby aktywnie odświeżyć token. Czas odświeżania to część (zazwyczaj połowa) czasu wygaśnięcia tokenu. Tak długo, jak biblioteka MSAL może odświeżyć token dostępu przed upływem czasu wygaśnięcia tokenu, aplikacja jest odporna na problemy z odświeżaniem tokenu.
Na przykład gdy aplikacja obsługuje usługę CAE, identyfikator Entra firmy Microsoft wystawia token, który autoryzuje aplikację do wywołania programu Microsoft Graph, który jest ważny przez 24 godziny. Identyfikator Microsoft Entra powiadamia MSAL o proaktywnym odświeżeniu tokenu po 12 godzinach. Jeśli próba odświeżenia tokenu dostępu przez bibliotekę MSAL nie powiedzie się, ponieważ oryginalny token jest nadal ważny przez 12 godzin, aplikacja jest bardziej odporna na problemy podczas uzyskiwania tokenów z Microsoft Entra ID.
Implementowanie oceny ciągłego dostępu w aplikacji
Zgodnie z opisem w temacie Jak używać interfejsów API z włączoną ciągłą oceną dostępu w aplikacjach, zarówno aplikacja, jak i interfejs API zasobów, do których uzyskuje dostęp, musi być włączona funkcja CAE. Jednak przygotowanie kodu do korzystania z zasobu z obsługą CAE nie uniemożliwia korzystania z API, które nie obsługują CAE. Aplikacje, które nie korzystają z biblioteki MSAL, mogą dodawać obsługę wyzwań dotyczących oświadczeń, żądań oświadczeń i funkcji klienta do korzystania z usługi CAE.
Następne kroki
- Ciągła ocena dostępu dla tożsamości roboczych w usłudze Microsoft Entra ID opisuje korzyści zabezpieczeń CAE dla organizacji.
- Stosowanie zasad zerowego zaufania do zarządzania sesjami uwierzytelniania za pomocą ciągłej oceny dostępu opisuje sposób zabezpieczania sesji uwierzytelniania bez wpływu na środowisko użytkownika i produktywność i modernizację zarządzania sesjami.
- Zwiększenie odporności aplikacji uwierzytelniania i autoryzacji , które tworzysz, wprowadza serię artykułów, które zawierają wskazówki dotyczące zwiększania odporności w aplikacjach przy użyciu platformy tożsamości firmy Microsoft i identyfikatora Entra firmy Microsoft. Zawierają one najlepsze rozwiązania dotyczące używania tokenów i wywoływania zasobów.
- Tworzenie aplikacji z podejściem Zero Trust do tożsamości zawiera omówienie uprawnień i najlepszych rozwiązań dotyczących dostępu.
- Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i platformą tożsamości firmy Microsoft ułatwia deweloperom tworzenie i integrowanie aplikacji, które specjalista IT może zabezpieczyć w przedsiębiorstwie.