Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Jako vývojář můžete dobře využít oborové standardy pro vývoj softwaru rozšířenou knihovnou MSAL (Microsoft Authentication Library ). V tomto článku poskytujeme přehled podporovaných standardů a jejich výhod na platformě Microsoft Identity Platform. Zajistěte, aby vaše cloudové aplikace splňovaly požadavky nulové důvěryhodnosti pro optimální zabezpečení.
A co protokoly?
Při implementaci protokolů zvažte náklady, které zahrnují čas na napsání kódu, který je plně aktuální se všemi osvědčenými postupy a dodržuje osvědčené postupy OAuth 2.0 pro zabezpečenou implementaci. Při integraci přímo s Microsoft Entra ID nebo Microsoft Identity použijte dobře udržovanou knihovnu, preferenčně MSAL.
Optimalizujeme MSAL pro vytváření a práci s Microsoft Entra ID. Pokud vaše prostředí nemá MSAL nebo zahrnuje odemčené funkce ve své vlastní knihovně, vyvíjejte aplikaci pomocí platformy Microsoft Identity Platform. Využijte možnosti OAuth 2.0 a OpenID Connect. Zohledněte náklady na správné použití záložního protokolu.
Jak platforma Microsoft Identity Platform podporuje standardy
Pokud chcete dosáhnout nulové důvěryhodnosti co nejefektivněji a efektivněji, vyvíjejte aplikace s oborovými standardy, které platforma Microsoft Identity Platform podporuje:
OAuth 2.0 a OpenID Connect
Jako oborový protokol pro autorizaci umožňuje OAuth 2.0 uživatelům udělit omezený přístup k chráněným prostředkům. OAuth 2.0 pracuje s protokolem HTTP (Hypertext Transfer Protocol) k oddělení role klienta od vlastníka prostředku. Klienti používají tokeny pro přístup k chráněným prostředkům na serveru prostředků.
Konstrukty OpenID Connect umožňují rozšíření Microsoft Entra vylepšit zabezpečení. Nejběžnější jsou tato rozšíření Microsoft Entra:
- Kontext ověřování podmíněného přístupu umožňuje aplikacím používat podrobné zásady pro ochranu citlivých dat a akcí místo na úrovni aplikace.
- Funkce CaE (Continuous Access Evaluation) umožňuje aplikacím Microsoft Entra přihlásit se k odběru důležitých událostí pro vyhodnocení a vynucování. CaE zahrnuje vyhodnocení rizikových událostí, jako jsou zakázané nebo odstraněné uživatelské účty, změny hesla, odvolání tokenů a zjištěné uživatele.
Když vaše aplikace používají vylepšené funkce zabezpečení, jako je CAE a kontext ověřování podmíněného přístupu, musí obsahovat kód pro správu problémů s deklaracemi identity. S otevřenými protokoly používáte výzvy deklarací identity a žádosti o deklarace identity k vyvolání dalších možností klienta. Oznámit aplikacím, že musí kvůli anomálii opakovat interakci s Microsoft Entra ID. Dalším scénářem je situace, kdy uživatel již nesplňuje podmínky, za kterých se dříve ověřil. Pro tato rozšíření můžete kódovat bez narušení toků primárního ověřovacího kódu.
SamL (Security Assertions Markup Language)
Microsoft Identity Platform používá SAML 2.0 k tomu, aby aplikace nulové důvěry (Zero Trust) poskytovaly uživatelské prostředí jednotného přihlašování .SSO. Profily jednotného přihlašování a jednotného odhlašování SAML v Microsoft Entra ID vysvětlují, jak služba poskytovatele identity používá SAML výroky, protokoly a vazby. Protokol SAML vyžaduje, aby poskytovatel identity (Microsoft Identity Platform) a poskytovatel služeb (vaše aplikace) vyměňovali informace o sobě. Když zaregistrujete aplikaci Zero Trust u ID Microsoft Entra, zaregistrujete informace související s federací, které zahrnují identifikátor URI přesměrování a identifikátor URI metadat této aplikace u ID Microsoft Entra.
Výhody MSAL oproti protokolům
Microsoft optimalizuje MSAL pro Microsoft Identity Platform a nabízí nejlepší podporu pro jednotné přihlašování, ukládání tokenů do mezipaměti a odolnost vůči výpadkům. Vzhledem k tomu, že seznamy MSA jsou obecně dostupné, budeme i nadále rozšiřovat pokrytí jazyků a architektur.
Pomocí knihovny MSAL získáte tokeny pro typy aplikací, mezi které patří webové aplikace, webová rozhraní API, jednostránkové aplikace, mobilní a nativní aplikace, démony a serverové aplikace. MSAL umožňuje rychlou a jednoduchou integraci se zabezpečeným přístupem k uživatelům a datům prostřednictvím rozhraní Microsoft Graph a rozhraní API. Se špičkovými ověřovacími knihovnami můžete oslovit jakékoli publikum a dodržovat životní cyklus vývoje zabezpečení společnosti Microsoft.
Další kroky
- Knihovny ověřování platformy Microsoft Identity Platform popisují podporu typů aplikací.
- Vývoj s využitím principů nulové důvěryhodnosti vám pomůže porozumět hlavním principům nulové důvěryhodnosti, abyste mohli zlepšit zabezpečení aplikací.
- K vytváření zabezpečených aplikací použijte osvědčené postupy pro vývoj řízení identit a přístupu Zero Trust v životním cyklu vývoje aplikací.
- Vytváření aplikací s přístupem Zero Trust k identitě poskytuje přehled o oprávněních a osvědčených postupech přístupu.
- Odpovědnost vývojáře a správce za registraci, autorizaci a přístup k aplikacím vám pomůže lépe spolupracovat s it specialisty.
- Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení cílů nulové důvěryhodnosti.
- Přizpůsobení tokenů popisuje informace, které můžete přijímat v tokenech Microsoft Entra. Vysvětluje, jak přizpůsobení tokenů zlepšuje flexibilitu a řízení a současně zvyšuje zabezpečení nulové důvěryhodnosti aplikací s nejnižšími oprávněními.
- Konfigurace deklarací identity skupin a rolí aplikací v tokenech popisuje, jak nakonfigurovat aplikace s definicemi rolí aplikace a přiřadit skupiny zabezpečení k rolím aplikací. Tento přístup zlepšuje flexibilitu a řízení při zvyšování zabezpečení nulové důvěryhodnosti aplikací s nejnižšími oprávněními.