Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет вам, как разработчику, повысить безопасность приложений с помощью непрерывной оценки доступа. Вы узнаете, как обеспечить поддержку нулевого доверия в приложениях, которые получают авторизацию для доступа к ресурсам при получении маркеров доступа от идентификатора Microsoft Entra.
Когда Entra ID компании Microsoft выдает эти токены доступа, она полностью оценивает условия для этой авторизации. Идентификатор Microsoft Entra выполняет стандартные действия авторизации, такие как гарантирование согласия, каждый раз, когда он выдает токены для первичных запросов токенов и при обновлении токенов.
Идентификатор Microsoft Entra в основном использует веб-маркеры JSON (JWT) для маркеров доступа. API ресурсов может декодировать, проверять и интерпретировать JWT без необходимости обратного вызова идентификатора Microsoft Entra при каждом вызове API ресурсов. Стандарт JWT определяет утверждение exp, которое идентифицирует время истечения срока действия, начиная с которого не следует принимать маркер JWT для последующей обработки. По умолчанию токены Microsoft Entra истекают через 60–90 минут после выдачи. Убедитесь, что приложения кэшируются и используют маркеры доступа в течение периода, в течение которого идентификатор Microsoft Entra ID не оценивает условия авторизации.
Оценка условий вне процесса выдачи токена
Задержки могут возникать между изменениями условий пользователя и применением политики при выдаче токенов идентификатором Microsoft Entra. Подход с сокращением времени жизни токенов может снизить качество пользовательского опыта и надежность, не устраняя риски.
Одним из решений является оценка условий для каждого вызова защищенного ресурса. Наиболее распространенным способом реализации данного механизма обеспечения является интроспекция токена. Интроспекция токена не использует формат JWT для токена. Вместо этого интроспекция токена использует непрозрачную строку, которая не может интерпретироваться API ресурсов. API ресурсов отправляет маркер поставщику удостоверений по каждому вызову. Затем поставщик удостоверений проверяет все условия и возвращает данные, которые API ресурсов может использовать для завершения операции. Этот процесс может быть дорогостоящим, так как он добавляет еще один веб-запрос кругового пути к каждому вызову API.
Чтобы компенсировать эти затраты с помощью непрерывной оценки доступа (CAE), API ресурса может прослушивать события, отправляемые Microsoft Entra ID о маркерах, которые Microsoft Entra ID выдает для использования API ресурса. Например, когда ваше приложение вызывает API Microsoft Graph, Microsoft Graph может проверить, были ли получены события от Microsoft Entra ID о токене. Если условия исходной проверки подлинности отличаются, и пользователю необходимо повторно выполнить проверку подлинности, Microsoft Graph возвращает ошибку вызывающему приложению.
Идентификатор Microsoft Entra отправляет событие в ресурсы Microsoft с поддержкой CAE при возникновении любого из этих событий.
- Отключенная или удаленная учетная запись пользователя
- Изменение или сброс пароля пользователя
- Включенная многофакторная проверка подлинности пользователя
- Администратор явно отзывает все токены обновления для пользователя.
- Защита идентификаторов Microsoft Entra обнаруживает повышенный риск пользователя
Кроме того, ресурсы Майкрософт с поддержкой CAE могут применять политики условного доступа на основе расположения.
Улучшите безопасность и надёжность приложений с помощью CAE
В следующих более безопасных и устойчивых приложениях, созданных на основе видео оценки непрерывного доступа Microsoft Entra , демонстрируется создание клиентского приложения с поддержкой CAE.
В видео-презентации описывается, как приложения работают с современной аутентификацией и следующие шаги:
- Приложение запрашивает идентификационные данные Microsoft для токенов
- Приложение получает маркер доступа
- API вызовов приложений и авторизация с помощью JWT
- Самоанализ
- Общие сигналы и события
- Оценка критических событий
- Оценка политики условного доступа
- Называется API Оценка непрерывного доступа
- Оспаривание утверждений
Непрерывная оценка доступа позволяет приложению получать доступ к ресурсу, отозванном за пределами времени существования маркера доступа. Например, приложение имеет маркер, действительный в течение 75 минут. Пользователь имеет состояние высокого риска из-за нарушения учетных данных. CAE блокирует доступ приложения к ресурсу, требуя от пользователя повторной проверки подлинности перед продолжением. Таким образом, CAE достигает своей основной цели для повышения безопасности приложений.
Так как доступ к ресурсу можно отозвать за пределами времени существования маркера, идентификатор Microsoft Entra может выдавать маркеры в течение более длительного времени существования. Для приложений, поддерживающих CAE (Constant Application Example), идентификатор Microsoft Entra может выдавать токены, действительные в течение 28 часов. Хотя это продолжительное время существования маркера не улучшает устойчивость приложения, это снижает затраты на приложения, так как приложение должно запрашивать маркеры гораздо реже.
CAE улучшает устойчивость приложения к проблемам, с которыми приложение может столкнуться при попытке получения токена доступа от Microsoft Entra ID. По возможности Microsoft Entra ID выдает время обновления в ответе на токен, содержащем токен доступа. Библиотеки аутентификации Microsoft (MSAL) используют это время обновления, чтобы проактивно обновить токен. Время обновления — это часть (обычно половина) времени истечения токена. Если MSAL может обновить маркер доступа до истечения срока действия маркера, приложение устойчиво к проблемам обновления маркера.
Например, если приложение поддерживает CAE, идентификатор Microsoft Entra id выдает маркер, который разрешает приложению вызывать Microsoft Graph, действительный в течение 24 часов. Затем Microsoft Entra ID сообщает MSAL активно обновить токен через каждые 12 часов. Если попытки обновления токена доступа в MSAL терпят неудачу из-за того, что исходный токен доступа остается действительным еще 12 часов, приложение становится более устойчивым к проблемам при получении токенов из категории Microsoft Entra ID.
Реализация оценки непрерывного доступа в приложении
Как описано в руководстве по использованию API с поддержкой непрерывной оценки доступа в ваших приложениях, как ваше приложение, так и API ресурса, к которому оно обращается, должны поддерживать данную функцию. Однако подготовка кода к использованию ресурса с поддержкой CAE не препятствует использованию API, которые не поддерживают CAE. Приложения, которые не используют MSAL, могут добавлять поддержку проверки утверждений, запросов утверждений и возможностей клиента чтобы использовать ЦС.
Дальнейшие действия
- Непрерывная оценка доступа для идентификаторов рабочей нагрузки в Microsoft Entra ID описывает преимущества безопасности CAE для организации.
- Применение принципов нулевого доверия к управлению сеансами проверки подлинности с помощью оценки непрерывного доступа описывает, как защитить сеансы проверки подлинности, не влияя на работу пользователей и производительность и модернизируйте управление сеансами.
- Повышение устойчивости приложений проверки подлинности и авторизации, которые вы разрабатываете , содержит ряд статей, которые предоставляют рекомендации по повышению устойчивости приложений с помощью платформы удостоверений Майкрософт и идентификатора Microsoft Entra. Они содержат рекомендации по использованию маркеров и вызова ресурсов.
- Создание приложений с использованием подхода "Нулевое доверие" к удостоверениям предоставляет общие сведения о разрешениях и рекомендациях по доступу.
- Интеграция приложений с идентификатором Microsoft Entra и платформой удостоверений Майкрософт помогает разработчикам создавать и интегрировать приложения, которые ИТ-специалисты могут защитить в организации.