Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Como desarrollador, puede hacer un buen uso de los estándares del sector para el desarrollo de software aumentado por la Biblioteca de autenticación de Microsoft (MSAL). En este artículo se proporciona información general sobre los estándares admitidos y sus ventajas en la plataforma de identidad de Microsoft. Asegúrese de que las aplicaciones en la nube cumplen los requisitos de confianza cero para lograr una seguridad óptima.
¿Qué ocurre con los protocolos?
Al implementar protocolos, tenga en cuenta los costos que incluyen tiempo para escribir código que esté totalmente actualizado con todos los procedimientos recomendados y siga los procedimientos recomendados de OAuth 2.0 para la implementación segura. Utilice una biblioteca bien mantenida (con una preferencia por MSAL) al compilar directamente en Microsoft Entra ID o Microsoft Identity.
Optimizamos MSALs para crear y trabajar con Microsoft Entra ID. Si el entorno no tiene MSAL o incluye funcionalidades desbloqueadas en su propia biblioteca, desarrolle la aplicación con la plataforma de identidad de Microsoft. Aprovechar las capacidades de OAuth 2.0 y OpenID Connect. Considere los costos de volver correctamente a un protocolo.
Cómo admite la plataforma de identidad de Microsoft los estándares
Para lograr confianza cero de forma más eficaz y eficaz, desarrolle aplicaciones con estándares del sector compatibles con la plataforma de identidad de Microsoft:
OAuth 2.0 y OpenID Connect
Como protocolo del sector para la autorización, OAuth 2.0 permite a los usuarios conceder acceso limitado a los recursos protegidos. OAuth 2.0 funciona con el Protocolo de transferencia de hipertexto (HTTP) para separar el rol de cliente del propietario del recurso. Los clientes usan tokens para acceder a los recursos protegidos en un servidor de recursos.
Las construcciones openID Connect permiten a las extensiones de Microsoft Entra mejorar la seguridad. Estas extensiones de Microsoft Entra son las más comunes:
- El contexto de autenticación de acceso condicional permite a las aplicaciones aplicar directivas granulares para proteger datos confidenciales y acciones en lugar de solo en el nivel de aplicación.
- La evaluación continua de acceso (CAE) permite a las aplicaciones de Microsoft Entra suscribirse a eventos críticos para la evaluación y el cumplimiento. CAE incluye evaluación de eventos de riesgo, como cuentas de usuario deshabilitadas o eliminadas, cambios de contraseña, revocaciones de tokens y usuarios detectados.
Cuando las aplicaciones usan características de seguridad mejoradas como CAE y el contexto de autenticación de acceso condicional, deben incluir código para administrar los desafíos de las declaraciones. Con los protocolos abiertos, se utilizan desafíos de reclamaciones y solicitudes de reclamaciones para invocar otras capacidades del cliente. Por ejemplo, indicando a las aplicaciones que deben repetir la interacción con Microsoft Entra ID debido a una anomalía. Otro escenario es cuando el usuario ya no cumple las condiciones en las que se había autenticado anteriormente. Puede codificar estas extensiones sin alterar los flujos de código de autenticación principal.
Lenguaje de marcado de aserciones de seguridad (SAML)
La plataforma de identidad de Microsoft usa SAML 2.0 para permitir que las aplicaciones de Zero Trust proporcionen una experiencia de usuario de inicio de sesión único (SSO). Los perfiles de SSO y Single Sign-Out SAML de Microsoft Entra ID explican cómo el servicio del proveedor de identidades usa aserciones, protocolos y enlaces de SAML. El protocolo SAML requiere el proveedor de identidades (plataforma de identidad de Microsoft) y el proveedor de servicios (su aplicación) para intercambiar información sobre sí mismos. Al registrar su aplicación de Zero Trust con Microsoft Entra ID, registra información relacionada con la federación que incluye el URI de redirección y el URI de metadatos de la aplicación con Microsoft Entra ID.
Ventajas de MSAL sobre protocolos
Microsoft optimiza las MSAL para la plataforma de identidad de Microsoft y proporciona la mejor experiencia para el SSO (inicio de sesión único), la caché de tokens y la resiliencia ante interrupciones. A medida que las MSAL están disponibles con carácter general, seguimos ampliando la cobertura de lenguajes y marcos.
Usando MSAL, se adquieren tokens para tipos de aplicaciones que incluyen aplicaciones web, API web, aplicaciones de una sola página, aplicaciones móviles y nativas, demonios y aplicaciones del lado del servidor. MSAL permite una integración rápida y sencilla con acceso seguro a los usuarios y los datos a través de Microsoft Graph y las API. Con las bibliotecas de autenticación más adecuadas, puede llegar a cualquier público y seguir el ciclo de vida de desarrollo de seguridad de Microsoft.
Pasos siguientes
- Las bibliotecas de autenticación de la plataforma de identidad de Microsoft describen la compatibilidad con el tipo de aplicación.
- Desarrollar mediante principios de confianza cero le ayuda a comprender los principios rectores de Confianza cero para que pueda mejorar la seguridad de la aplicación.
- Use los procedimientos recomendados de desarrollo para la administración de identidad y acceso de confianza cero en el ciclo de vida de desarrollo de las aplicaciones para crear aplicaciones seguras.
- Creación de aplicaciones con un enfoque de confianza cero para la identidad proporciona información general sobre los permisos y los procedimientos recomendados de acceso.
- Las responsabilidades de desarrollador y administrador para el registro, autorización y acceso de aplicaciones le ayudan a colaborar mejor con sus profesionales de TI.
- API Protection describe los procedimientos recomendados para proteger la API mediante el registro, la definición de permisos y el consentimiento y la aplicación del acceso para lograr objetivos de confianza cero.
- Personalizar tokens describe la información que puede recibir en tokens de Microsoft Entra. Explica cómo la personalización de tokens mejora la flexibilidad y el control, al tiempo que aumenta la seguridad de confianza cero de la aplicación con privilegios mínimos.
- Configurar reclamaciones de grupo y roles de aplicación en tokens describe cómo configurar aplicaciones con definiciones de roles de aplicación y cómo asignar grupos de seguridad a estos roles. Este enfoque mejora la flexibilidad y el control, al tiempo que aumenta la seguridad de confianza cero con privilegios mínimos.