Ajánlott engedélyezési eljárások

A Teljes felügyelet-alapelvek használatával történő fejlesztés során ez a cikk továbbra is az erőforrásokhoz való hozzáférés engedélyezésétől, a delegált engedélystratégiák fejlesztésétől és az alkalmazásengedélyezési stratégia fejlesztésétől folytatódik. Fejlesztőként segít a legjobb engedélyezési, engedély- és hozzájárulási modellek megvalósításában az alkalmazásokhoz.

Az engedélyezési logikát olyan alkalmazásokban vagy megoldásokban implementálhatja, amelyek hozzáférés-vezérlést igényelnek. Ha az engedélyezési megközelítések egy hitelesített entitásra vonatkozó információkra támaszkodnak, az alkalmazások kiértékelhetik a hitelesítés során kicserélt információkat (például egy biztonsági jogkivonaton belül megadott információkat). Ha egy biztonsági jogkivonat nem tartalmaz információt, az alkalmazás hívásokat kezdeményezhet külső erőforrásokhoz.

Nem kell teljesen beágyaznia az engedélyezési logikát az alkalmazásba. Dedikált engedélyezési szolgáltatások használatával központosíthatja az engedélyezés megvalósítását és kezelését.

Ajánlott eljárások az engedélyekhez

A Microsoft Entra ID-ban a legelfogadottabb alkalmazások a hozzájárulási és engedélyezési ajánlott eljárásokat követik. Tekintse át az ajánlott eljárásokat a Microsoft Graph és a Microsoft Graph engedélyekkel kapcsolatos hivatkozásainak használatához, és ismerje meg, hogyan lehet átgondolni az engedélykérelmeket.

• Minimális jogosultság alkalmazása. Csak a szükséges engedélyeket kérje. A növekményes hozzájárulás használatával részletes engedélyeket kérhet csak időben. Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.

• Forgatókönyvek alapján használja a megfelelő engedélytípust. Kerülje az alkalmazás és a delegált engedélyek használatát ugyanabban az alkalmazásban. Ha olyan interaktív alkalmazást hoz létre, amelyben egy bejelentkezett felhasználó van jelen, az alkalmazásnak delegált engedélyeket kell használnia. Ha azonban az alkalmazás bejelentkezett felhasználó (például háttérszolgáltatás vagy démon) nélkül fut, az alkalmazásnak alkalmazásengedélyeket kell használnia.

• Adja meg a szolgáltatási feltételeket és az adatvédelmi nyilatkozatokat. A felhasználói hozzájárulási felület felfedi a használati feltételeket és az adatvédelmi nyilatkozatot a felhasználóknak, hogy segítsen nekik tudni, hogy megbízhatnak az alkalmazásában. Különösen kritikus fontosságúak a felhasználók számára elérhető több-bérlős alkalmazások esetében.

Mikor kell engedélyt kérni?

Egyes engedélyekhez a rendszergazdának hozzájárulást kell adnia egy bérlőn belül. A rendszergazdai hozzájárulási végpont használatával engedélyeket adhatnak egy teljes bérlőnek. Három modellt követve kérhet engedélyeket vagy hatóköröket.

• Dinamikus felhasználói hozzájárulás megvalósítása bejelentkezéskor vagy az első hozzáférési jogkivonat-kérelemben. A dinamikus felhasználói hozzájárulás nem igényel semmit az alkalmazásregisztrációban. Bizonyos feltételek mellett megadhatja a szükséges hatóköröket (például amikor először jelentkezik be egy felhasználóba). Miután ezt az engedélyt kérte, és megkapta a hozzájárulást, nem kell engedélyt kérnie. Ha azonban nem kapott dinamikus felhasználói hozzájárulást a bejelentkezéskor vagy az első hozzáféréskor, akkor az átmegy az engedélykezelési felületen.

• Igény szerint növekményes felhasználói hozzájárulás kérése. A dinamikus felhasználói hozzájárulással kombinált növekményes hozzájárulással nem kell egyszerre minden engedélyt kérnie. Kérhet néhány engedélyt, majd amikor a felhasználó az alkalmazás különböző funkcióira lép, további hozzájárulást fog kérni. Ez a megközelítés növelheti a felhasználó kényelmi szintjét, mivel fokozatosan engedélyeket adnak az alkalmazásnak. Ha például az alkalmazás OneDrive-hozzáférést kér, az gyanút kelthet, ha Naptár-hozzáférést is kér. Ehelyett később kérje meg a felhasználót, hogy adjon hozzá naptáremlékeztetőket a OneDrive-on.

• Használja a hatókört /.default . A /.default hatókör gyakorlatilag utánozza a régi alapértelmezett felületet, amely megvizsgálta, hogy mit tett az alkalmazásregisztrációban, kitalálta, hogy milyen hozzájárulásokra van szüksége, majd a még nem megadott összes hozzájárulást kérte. Ehhez nem kell megadnia a kódban szükséges engedélyeket, mert azok szerepelnek az alkalmazásregisztrációban.

Igazolt közzétevővé válás

A Microsoft ügyfelei néha nehezen döntik el, hogy egy alkalmazás mikor fér hozzá a Microsoft Identitásplatform egy felhasználó bejelentkezésével vagy EGY API meghívásával. A Teljes felügyelet alapelvek alkalmazása során a következőt szeretnék:

• Nagyobb láthatóság és vezérlés.
• Proaktívabb és könnyebb reaktív döntések.
• Olyan rendszerek, amelyek biztonságosan tartják az adatokat, és csökkentik a döntési terheket.
• Gyorsított alkalmazásbevezetés megbízható fejlesztőknek.
• Korlátozott hozzájárulás a közzétevő által ellenőrzött, alacsony kockázatú engedélyekkel rendelkező alkalmazásokhoz.

Bár a Microsoft Graphhoz hasonló API-kban az adatokhoz való hozzáférés lehetővé teszi a gazdag alkalmazások létrehozását, a szervezet vagy az ügyfél kiértékeli az alkalmazás által kért engedélyeket, valamint az alkalmazás megbízhatóságát.

A Microsoft Verified Publisherré válással egyszerűbb felhasználói élményt biztosíthat ügyfeleinek az alkalmazáskérések elfogadásában. Ha egy alkalmazás ellenőrzött közzétevőtől származik, a felhasználók, az informatikai szakemberek és az ügyfelek tudják, hogy olyan személytől származik, akivel a Microsoft üzleti kapcsolatban áll. Kék pipa jelenik meg a közzétevő neve mellett (az Engedélyek kért hozzájárulás kérése példa 5. összetevője az alábbi példában; lásd a Microsoft Entra alkalmazás hozzájárulási felületének összetevőtábláját). A felhasználó további információk megtekintéséhez kiválaszthatja az ellenőrzött közzétevőt a hozzájárulási kérésből.

"Képernyőkép a hozzájárulási felület kért engedélyekkel foglalkozó párbeszédpaneléről, amelyen az összetevők építőelemei láthatók a csatolt Microsoft Entra-alkalmazás hozzájárulási élményéről szóló cikkben leírtak szerint. Hangsúlyozva van az 5. összetevő, amely az ellenőrzött közzétevő neve, és egy kék pipa, amelyet a felhasználó kiválaszthat, hogy további információt kapjon a közzétevőről."

Ha Ön igazolt közzétevő, a felhasználók és az informatikai szakemberek megbíznak az alkalmazásban, mert Ön ellenőrzött entitás. A közzétevő ellenőrzése továbbfejlesztett védjegyezést biztosít az alkalmazás számára, valamint nagyobb átláthatóságot, kisebb kockázatot és zökkenőmentesebb vállalati bevezetést biztosít az ügyfelek számára.

Következő lépések

• A delegált engedélystratégia fejlesztése segít a legjobb módszer megvalósításában az engedélyek alkalmazásbeli kezeléséhez, és Teljes felügyelet alapelveket használva fejleszthet.
• Az alkalmazásengedélyezési stratégia fejlesztése segít eldönteni, hogy az alkalmazásengedélyek milyen megközelítést alkalmaznak a hitelesítő adatok kezelésére.
• Használjon Teljes felügyelet identitás- és hozzáférés-kezelési fejlesztési ajánlott eljárásokat az alkalmazásfejlesztési életciklusban a biztonságos alkalmazások létrehozásához.
• Az alkalmazástulajdonságok biztonsági ajánlott eljárásai az átirányítási URI-t, a hozzáférési jogkivonatokat, a tanúsítványokat és titkos kulcsokat, az alkalmazásazonosító URI-t és az alkalmazás tulajdonjogát ismertetik.
• A jogkivonatok testreszabása ismerteti a Microsoft Entra-jogkivonatokban kapott információkat, valamint azt, hogy hogyan szabhatja testre a jogkivonatokat a rugalmasság és a szabályozás javítása érdekében, miközben a minimális jogosultsággal rendelkező, az alkalmazás zéró megbízhatósági biztonságát növeli.
• A csoportjogcímek és alkalmazásszerepkörök jogkivonatokban való konfigurálása bemutatja, hogyan konfigurálhatja alkalmazásait alkalmazásszerepkör-definíciókkal, és hogyan rendelhet hozzá biztonsági csoportokat az alkalmazásszerepkörökhöz a rugalmasság és az ellenőrzés javítása érdekében, miközben a minimális jogosultsággal rendelkező alkalmazásmegbízhatóság nélküli biztonság növelése érdekében.
• Az API Protection ismerteti az API regisztrációval, engedélyek és hozzájárulások meghatározásával, valamint a hozzáférés kényszerítésével kapcsolatos ajánlott eljárásokat a Teljes felügyelet célok elérése érdekében.
• Az erőforrások elérésére vonatkozó engedélyek beszerzése segít megérteni, hogyan biztosíthatja a legjobban Teljes felügyelet az alkalmazás erőforrás-hozzáférési engedélyeinek beszerzésekor.