Standardsbasierte Entwicklungsmethoden

Als Entwickler können Sie Branchenstandards für die Softwareentwicklung nutzen, die durch die Microsoft Authentication Library (MSAL) noch erweitert werden können. In diesem Artikel bieten wir eine Übersicht über unterstützte Standards und deren Vorteile auf der Microsoft Identity Platform. Stellen Sie sicher, dass Ihre Cloudanwendungen Zero Trust-Anforderungen für optimale Sicherheit erfüllen.

Wie sieht es mit Protokollen aus?

Berücksichtigen Sie bei der Implementierung von Protokollen die Kosten, die beim Schreiben von Code anfallen, der allen bewährten Methoden entspricht und die bewährten OAuth 2.0-Methoden für die sichere Implementierung befolgt. Stattdessen wird empfohlen, eine gut gepflegte Bibliothek (mit einem Vorzug für MSAL) zu verwenden, wenn Sie direkt für Microsoft Entra ID oder Microsoft Identity erstellen.

Wir optimieren MSALs zum Erstellen und Arbeiten mit Microsoft Entra ID. Wenn Ihre Umgebung nicht über MSAL oder über entsperrte Funktionen in einer eigenen Bibliothek verfügt, entwickeln Sie Ihre Anwendung mit der Microsoft Identity Platform. Erstellen Sie auf OAuth 2.0-Funktionen und OpenID Connect. Berücksichtigen Sie die Kosten für eine ordnungsgemäße Rückkehr zu einem Protokoll.

So unterstützt Microsoft Identity Platform Standards

Um Zero Trust effizient und effektiv einzusetzen, entwickeln Sie Anwendungen mit Branchenstandards, die von der Microsoft Identity Platform unterstützt werden:

• OAuth 2.0 und OpenID Connect
• SAML

OAuth 2.0 und OpenID Connect

Als Branchenprotokoll für die Autorisierung ermöglicht OAuth 2.0 Benutzern, eingeschränkten Zugriff auf geschützte Ressourcen zu gewähren. OAuth 2.0 arbeitet mit HTTP (Hypertext Transfer Protocol) zusammen, um die Clientrolle vom Ressourcenbesitzer zu trennen. Clients verwenden Token, um auf geschützte Ressourcen auf einem Ressourcenserver zuzugreifen.

OpenID Connect-Konstrukte ermöglichen es Microsoft Entra-Erweiterungen, die Sicherheit zu verbessern. Diese Microsoft Entra-Erweiterungen sind am häufigsten:

• Authentifizierungskontext für bedingten Zugriff (Authentifizierungskontext) ermöglicht es Apps, differenzierte Richtlinien auf vertrauliche Daten und Aktionen anstatt nur auf Anwendungsebene anzuwenden.
• Die Kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) ermöglicht es Microsoft Entra-Anwendungen, kritische Ereignisse für die Auswertung und Durchsetzung zu abonnieren. CAE umfasst die Auswertung riskanter Ereignisse wie deaktivierte oder gelöschte Benutzerkonten, Kennwortänderungen, Tokensperrungen und erkannte Benutzer.

Wenn Ihre Anwendungen erweiterte Sicherheitsfeatures wie CAE und den Authentifizierungskontext für bedingten Zugriff verwenden, müssen sie Code zur Verwaltung von Anspruchsaufforderungen enthalten. Mit offenen Protokollen können Sie die Anspruchsaufforderungen und -anforderungen verwenden, um zusätzliche Clientfunktionen aufzurufen. Weisen Sie beispielsweise Apps an, die Interaktion mit Microsoft Entra ID aufgrund einer Anomalie zu wiederholen. Ein weiteres Szenario ist, wenn der Benutzer keine Bedingungen mehr erfüllt, unter denen er zuvor authentifiziert wurde. Als Entwickler können Sie für diese Erweiterungen programmieren, ohne die primären Authentifizierung-Codeflows zu beeinträchtigen.

Security Assertions Markup Language (SAML)

Microsoft Identity Platform verwendet das SAML 2.0-Protokoll, um Ihren Zero Trust-Anwendungen das Bereitstellen einer Umgebung für einmaliges Anmelden (SSO) für die Benutzer zu ermöglichen. SSO- und Single Sign-Out-SAML-Profile in Microsoft Entra ID erläutern, wie der Identitätsanbieterdienst SAML-Assertionen, -Protokolle und -Bindungen verwendet. Für das SAML-Protokoll ist es erforderlich, dass der Identitätsanbieter (Microsoft Identity Platform) und der Dienstanbieter (Ihre Anwendung) Informationen übereinander austauschen. Wenn Sie Ihre Zero Trust-Anwendung mit Microsoft Entra ID registrieren, registrieren Sie verbundbezogene Informationen, die den Umleitungs-URI und den Metadaten-URI der Anwendung mit Microsoft Entra ID enthalten.

Vorteile von MSAL gegenüber Protokollen

Microsoft optimiert MSALs für die Microsoft Identity Platform und bietet die beste Benutzererfahrung für SSO, Tokenzwischenspeicherung und Ausfallsicherheit. Da MSALs allgemein verfügbar sind, erweitern wir weiterhin die Abdeckung von Sprachen und Frameworks.

Mit MSAL können Sie Token für verschiedene Anwendungsarten wie Webanwendungen, Web-APIs, Single-Page-Apps, mobile und native Anwendungen sowie Daemons und serverseitige Anwendungen abrufen. MSAL ermöglicht eine schnelle und einfache Integration mit sicherem Zugriff auf Benutzer und Daten über Microsoft Graph und APIs. Mit erstklassigen Authentifizierungsbibliotheken können Sie jedes Publikum erreichen und dem Microsoft Security Development Lifecycle folgen.

Nächste Schritte

• Microsoft Identity Platform-Authentifizierungsbibliotheken beschreiben die Unterstützung des Anwendungstyps.
• Die Entwicklung mit Zero Trust-Prinzipien hilft Ihnen, die Leitprinzipien von Zero Trust zu verstehen, damit Sie Ihre Anwendungssicherheit verbessern können.
• Verwenden Sie bewährte Methoden der Zero Trust-Identitäts- und Zugriffsverwaltungsentwicklung in Ihrem Anwendungsentwicklungslebenszyklus, um sichere Anwendungen zu erstellen.
• Erstellen von Apps mit einem Zero Trust-Ansatz für Identität bietet eine Übersicht über Berechtigungen und bewährte Methoden für den Zugriff.
• Entwickler- und Administratoraufgaben für die Anwendungsregistrierung, Autorisierung und den Zugriff helfen Ihnen, besser mit Ihren IT-Spezialisten zusammenzuarbeiten.
• DER API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Zustimmung sowie das Durchsetzen der Zugriffskontrolle, um Zero Trust-Ziele zu erreichen.
• Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können. Es wird erläutert, wie die Tokenanpassung Flexibilität und Kontrolle verbessert, während die Sicherheit der Anwendung Zero Trust mit geringsten Berechtigungen erhöht wird.
• Konfigurieren von Gruppenansprüchen und App-Rollen in Token beschreibt, wie Apps mit App-Rollendefinitionen konfiguriert und App-Rollen Sicherheitsgruppen zugewiesen werden. Dieser Ansatz verbessert Flexibilität und Kontrolle und erhöht gleichzeitig die Zero Trust-Sicherheit mit geringsten Rechten der Anwendung.