Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Разработчик может использовать отраслевые стандарты разработки программного обеспечения, дополненные библиотекой проверки подлинности Майкрософт (MSAL). В этой статье представлен обзор поддерживаемых стандартов и их преимуществ на платформе удостоверений Майкрософт. Убедитесь, что облачные приложения соответствуют требованиям нулевого доверия для оптимальной безопасности.
Что касается протоколов?
При реализации протоколов рассмотрите затраты, которые включают время на написание кода, современного и соответствующего всем актуальным рекомендациям, включая лучшие практики OAuth 2.0 для безопасной реализации. Используйте хорошо поддерживаемую библиотеку (с предпочтением MSAL) при разработке непосредственно для идентификатора Microsoft Entra или Microsoft Identity.
Мы оптимизируем MSALs для создания и работы с идентификатором Microsoft Entra. Если ваша среда не имеет MSAL или включает в себя разблокированные возможности в собственной библиотеке, разработайте приложение с помощью платформы удостоверений Майкрософт. Создайте возможности OAuth 2.0 и OpenID Connect. Рассмотрите затраты на корректное возвращение к протоколу.
Как платформа удостоверений Майкрософт поддерживает стандарты
Чтобы добиться нулевого доверия наиболее эффективно и эффективно, разработайте приложения с отраслевыми стандартами, поддерживаемыми платформой удостоверений Майкрософт:
OAuth 2.0 и OpenID Connect
В качестве отраслевого протокола авторизации OAuth 2.0 позволяет пользователям предоставлять ограниченный доступ к защищенным ресурсам. OAuth 2.0 работает с протоколом HTTP, чтобы разделить роль клиента от владельца ресурса. Клиенты используют маркеры для доступа к защищенным ресурсам на сервере ресурсов.
Конструкции OpenID Connect позволяют расширениям Microsoft Entra повысить безопасность. Эти расширения Microsoft Entra являются наиболее распространенными:
- Контекст проверки подлинности условного доступа позволяет приложениям применять детализированные политики для защиты конфиденциальных данных и действий, а не только на уровне приложения.
- Непрерывная оценка доступа (CAE) позволяет приложениям Microsoft Entra подписаться на критические события для оценки и принудительного применения. CAE включает оценку рискованных событий, таких как отключенные или удаленные учетные записи пользователей, изменения пароля, отзыв токенов и обнаруженные пользователи с подозрительными действиями.
Когда приложения используют расширенные функции безопасности, такие как CAE и контекст проверки подлинности условного доступа, они должны включать код для управления проблемами утверждений. С открытыми протоколами вы используете вызовы утверждений и запросы утверждений для вызова других возможностей клиента. Например, указывая приложениям, что им необходимо повторно взаимодействовать с Microsoft Entra ID из-за аномалии. Другой сценарий заключается в том, что пользователь больше не удовлетворяет условиям, в которых они ранее прошли проверку подлинности. Вы можете писать код для этих расширений, не нарушая основные потоки аутентификации.
Язык разметки утверждений безопасности (SAML)
Платформа удостоверений Microsoft использует SAML 2.0 для того, чтобы ваши приложения Zero Trust могли предоставлять пользователям опыт единого входа (SSO). Профили единого входа и единого выхода (Single Sign-Out) SAML в Microsoft Entra ID объясняют, как служба поставщика удостоверений использует утверждения SAML, протоколы и привязки. Протокол SAML требует, чтобы поставщик удостоверений (платформа удостоверений Майкрософт) и поставщик услуг (приложение) обменивались информацией о себе. При регистрации приложения Нулевого доверия с идентификатором Microsoft Entra необходимо зарегистрировать сведения, связанные с федерацией, которые включают URI перенаправления и URI метаданных приложения с идентификатором Microsoft Entra.
Преимущества MSAL по сравнению с протоколами
Корпорация Майкрософт оптимизирует MSALs для платформы удостоверений Майкрософт и обеспечивает оптимальный интерфейс для единого входа, кэширования маркеров и устойчивости к сбоям. Поскольку MSAL являются общедоступными, мы продолжаем расширять охват языков и фреймворков.
С помощью MSAL вы получаете маркеры для типов приложений, включающих веб-приложения, веб-API, одностраничные приложения, мобильные и собственные приложения, управляющей программы и серверные приложения. MSAL обеспечивает быструю и простую интеграцию с безопасным доступом к пользователям и данным через Microsoft Graph и API. С помощью лучших библиотек проверки подлинности в классе вы можете достичь любой аудитории и следовать жизненному циклу разработки безопасности Майкрософт.
Дальнейшие действия
- Библиотеки аутентификации платформы идентификаций Microsoft описывают поддержку типов приложений.
- Разработка с помощью принципов нулевого доверия помогает понять руководящие принципы нулевого доверия, чтобы повысить безопасность приложений.
- Используйте лучшие практики разработки управления идентификацией и доступом по модели Zero Trust в жизненном цикле разработки приложений для создания безопасных приложений.
- Создание приложений с использованием подхода "Нулевое доверие" к удостоверениям предоставляет общие сведения о разрешениях и рекомендациях по доступу.
- Обязанности разработчика и администратора для регистрации приложений, авторизации и доступа помогают лучше сотрудничать с ИТ-специалистами.
- Защита API описывает рекомендации по защите API путем регистрации, определения разрешений и согласия и принудительного доступа к достижению целей нулевого доверия.
- Настройка токенов описывает информацию, которую можно получить в Microsoft Entra токенах. В нем объясняется, как настройка токенов повышает гибкость и контроль, увеличивая безопасность приложений Zero Trust с принципом минимального уровня привилегий.
- Настройка утверждений групп и ролей приложений в маркерах описывает настройку приложений с определениями ролей приложения и назначение групп безопасности ролям приложений. Этот подход повышает гибкость и контроль при увеличении безопасности приложений Zero Trust с минимальными привилегиями.