Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Jako vývojář je vaše primární interakce s ID Microsoft Entra v žádosti o token k identifikaci uživatele. Také si vyžádáte token k získání autorizace pro volání webového API. Token webového rozhraní API určuje, co může rozhraní API dělat, když obsluhuje konkrétní požadavek. V tomto článku se dozvíte o informacích, které můžete přijímat v tokenech, a o tom, jak přizpůsobit tokeny. Tyto osvědčené postupy pro vývojáře nulové důvěry (Zero Trust) zlepšují flexibilitu a řízení při zvyšování zabezpečení aplikací s nejnižšími oprávněními.
Vaše důvody pro přizpůsobení tokenů aplikace závisí na procesu, který používáte k řízení podrobnější autorizace v aplikacích a rozhraních API. V aplikaci můžete mít například různé role uživatelů, úrovně přístupu a funkce, které spoléhají na informace z tokenů.
Rozhraní Microsoft Graph API poskytuje robustní sadu informací a dat adresáře v Microsoftu 365. Můžete vyvíjet jemně odstupňovaný a bohatý systém autorizace tím, že budete stavět na datech v Microsoft Graphu. Můžete například získat přístup k informacím z členství ve skupině uživatele, podrobných dat profilu, SharePointu a Outlooku, abyste je mohli použít při rozhodování o autorizaci. Do tokenu můžete zahrnout autorizační data z ID Microsoft Entra.
Autorizace na úrovni aplikace
IT specialistům je možné přidat autorizaci na úrovni aplikace bez přizpůsobení tokenu nebo přidání kódu.
IT odborníci mohou zabránit vystavování tokenů pro jakoukoli aplikaci v tenantovi pomocí příznaku požadováno přiřazení uživatele. Tento přístup zajišťuje, že se k aplikaci může přihlásit jenom skupina uživatelů. Bez tohoto parametru mohou mít všichni uživatelé v tenantu přístup k aplikaci. S tímto příznakem mají k aplikaci přístup pouze přiřazení uživatelé a skupiny. Když přiřazený uživatel k aplikaci přistupuje, aplikace obdrží token. Pokud uživatel nemá přiřazení, aplikace neobdrží token. Nezapomeňte vždy vhodně zpracovávat žádosti o tokeny, které nedostanou tokeny.
Metody přizpůsobení tokenu
Tokeny můžete přizpůsobit dvěma způsoby: volitelné deklarace identity a mapování deklarací identity.
Volitelné nároky
Volitelné deklarace identity určují, které deklarace identity mají microsoft Entra ID odesílat do vaší aplikace v tokenech. Můžete použít volitelné nároky k:
- Vyberte další deklarace identity, které chcete zahrnout do tokenů aplikace.
- Změňte chování deklarací identity, které platforma Microsoft Identity Platform vrací v tokenech.
- Přidejte a přistupujte k vlastním tvrzením ve vaší aplikaci.
Volitelné nároky jsou přidruženy k objektu registrace aplikace s definovaným schématem. Platí pro aplikaci bez ohledu na to, kde byla spuštěna. Při psaní víceklientských aplikací fungují volitelné nároky dobře, protože jsou konzistentní pro každého klienta v Microsoft Entra ID. NAPŘÍKLAD IP adresa není specifická pro tenanta, zatímco aplikace má IP adresu.
Ve výchozím nastavení se uživatelé typu host v tenantovi můžou také přihlásit k vaší aplikaci. Pokud chcete blokovat hostující uživatele, aktivujte nepovinný atribut (acct). Pokud ano 1, má uživatel klasifikaci hostů. Pokud chcete blokovat hosty, zablokujte tokeny pomocí acct==1.
Zásady mapování nároků
V Microsoft Entra ID představují objekty zásad sady pravidel pro jednotlivé aplikace nebo pro všechny aplikace v organizaci. Zásady mapování nároků mění nároky, které Microsoft Entra ID vydává v tokenech pro konkrétní aplikace.
Mapování identit se používá pro informace specifické pro tenanta, které nemají žádné schéma (například EmployeeID, DivisionName). Mapování deklarací identity se vztahuje na úrovni hlavní služby, kterou řídí tenant admin. Mapování deklarací identity odpovídá podnikové aplikaci nebo principálu služby pro danou aplikaci. Každý tenant může mít vlastní mapování deklarací identity.
Při vývoji podnikové aplikace se podívejte konkrétně na to, co váš tenant konkrétně dělá (jaké konkrétní nároky má váš tenant k dispozici, které můžete použít ve svém tokenu). Pokud má například organizace v místní službě Active Directory vlastnost názvu dělení uživatele (nikoli standardní pole v Microsoft Entra ID), použijte Microsoft Entra Connect k jeho synchronizaci s Microsoft Entra ID.
Pokud chcete tyto informace obsahovat, použijte jeden ze standardních atributů rozšíření. Definujte token s deklarací názvu oddělení, kterou můžete vytvořit z odpovídajícího rozšíření (i když se nevztahuje na každý tenant). Například organizace umístí název oddělení do atributu rozšíření 13.
Mapování nároků vám umožňuje použít pro jiného nájemce, který umístí název jejich oddělení do sedmého atributu.
Plánování přizpůsobení tokenů
Který token přizpůsobíte, závisí na typu aplikace: klientská aplikace nebo rozhraní API. V tom, co můžete udělat při přizpůsobení tokenu, není žádný rozdíl. To, co můžete vložit do tokenu, je stejné pro každý z nich. Který token zvolíte pro přizpůsobení, závisí na tom, jaký token vaše aplikace využívá.
Přizpůsobení tokenů ID
Pokud vyvíjíte klientskou aplikaci, přizpůsobíte token ID , protože se jedná o token, který požadujete k identifikaci uživatele. Token patří vaší aplikaci, když deklarace cílové skupiny (aud) v tokenu odpovídá ID klienta vaší aplikace. U klientské aplikace, která volá rozhraní API, ale neimplementuje je, nezapomeňte přizpůsobit pouze token ID vaší aplikace.
Azure Portal a rozhraní Microsoft Graph API vám také umožňují přizpůsobit přístupový token pro vaši aplikaci, ale tato přizpůsobení nemají žádný vliv. Přístupový token pro rozhraní API, které nevlastníte, nemůžete přizpůsobit. Nezapomeňte, že se vaše aplikace nesmí pokoušet dekódovat ani kontrolovat přístupový token, který klientská aplikace obdrží jako autorizaci pro volání rozhraní API.
Přizpůsobení přístupových tokenů
Při vývoji rozhraní API přizpůsobíte přístupový token , protože vaše rozhraní API přijímá přístupové tokeny jako součást volání klienta do vašeho rozhraní API.
Klientské aplikace vždy přizpůsobí token ID, který obdrží k identitě uživatele. Rozhraní API přizpůsobí přístupové tokeny, které rozhraní API přijímá jako součást volání rozhraní API.
Skupiny a role aplikací
Jednou z nejběžnějších technik autorizace je založit přístup na členství ve skupinách nebo přiřazených rolích uživatele. Konfigurace deklarací identity skupin a rolí aplikací v tokenech ukazuje, jak nakonfigurovat aplikace s definicemi rolí aplikace a přiřadit skupiny zabezpečení k rolím aplikací. Tyto metody pomáhají zlepšit flexibilitu a kontrolu při zvyšování zabezpečení nulové důvěryhodnosti aplikací s nejnižšími oprávněními.
Další kroky
- Mapování deklarací identity uživatelů spolupráce B2B popisuje podporu ID Microsoft Entra pro přizpůsobení deklarací identity vydané v tokenu SAML (Security Assertion Markup Language) pro uživatele spolupráce B2B.
- Přizpůsobte deklarace tokenu SAML aplikace když se uživatel ověřuje v aplikaci prostřednictvím platformy Microsoft Identity pomocí protokolu SAML 2.0.
- Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení cílů nulové důvěryhodnosti.
- Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
- K vytváření zabezpečených aplikací použijte osvědčené postupy pro vývoj řízení identit a přístupu Zero Trust v životním cyklu vývoje aplikací.