Szabványokon alapuló fejlesztési módszertanok használata
Fejlesztőként jól kihasználhatja a Microsoft Authentication Library (MSAL) által kiegészített szoftverfejlesztésre vonatkozó iparági szabványokat. Ebben a cikkben áttekintjük a támogatott szabványokat (OAuth 2.0, OpenID Csatlakozás, SAML, WS-Federation és SCIM), valamint az MSAL és a Microsoft Identitásplatform használatának előnyeit. Győződjön meg arról, hogy a felhőalkalmazások megfelelnek Teljes felügyelet optimális biztonságra vonatkozó követelményeknek.
Mi a helyzet a protokollokkal?
A protokollok implementálásakor vegye figyelembe azokat a költségeket, amelyek magukban foglalják a kód írásának idejét, amely teljes mértékben naprakész az ajánlott eljárásokkal, és az OAuth 2.0 ajánlott eljárásait követi a biztonságos megvalósítás érdekében. Ehelyett azt javasoljuk, hogy jól karbantartott (az MSAL-t előnyben részesítő) kódtárat használjon, amikor közvetlenül a Microsoft Entra-azonosítóra vagy a Microsoft Identity-ra épít.
Optimalizáljuk az MSALs-eket a Microsoft Entra-azonosítók létrehozásához és használatához. Ha a környezet nem implementált MSAL-t, vagy a saját kódtárában oldotta fel a képességeket, akkor az alkalmazást a Microsoft Identitásplatform fejlesztheti. Építs az OAuth 2.0 képességeire és az OpenID Csatlakozás. Fontolja meg a protokollra való megfelelő visszaesés költségeit.
Hogyan támogatja a Microsoft Identitásplatform a szabványokat?
A Teljes felügyelet leghatékonyabb és leghatékonyabb elérése érdekében az Microsoft Identitásplatform által támogatott iparági szabványoknak megfelelő alkalmazásokat fejleszthet:
Az OAuth 2.0 és az OpenID Connect
Az engedélyezés iparági protokolljaként az OAuth 2.0 lehetővé teszi a felhasználók számára, hogy korlátozott hozzáférést biztosítsanak a védett erőforrásokhoz. Az OAuth 2.0 a Hypertext Transfer Protocol (HTTP) használatával választja el az ügyfélszerepkört az erőforrás tulajdonosától. Az ügyfelek jogkivonatokkal érik el a védett erőforrásokat egy erőforráskiszolgálón.
Az OpenID Csatlakozás szerkezetek lehetővé teszik a Microsoft Entra-bővítmények biztonságának növelését. Ezek a Microsoft Entra-bővítmények a leggyakoribbak:
- A feltételes hozzáférés hitelesítési környezete lehetővé teszi az alkalmazások számára, hogy részletes szabályzatokat alkalmazzanak a bizalmas adatok és műveletek védelmére, és nem csak az alkalmazás szintjén.
- A folyamatos hozzáférés-kiértékelés (CAE) lehetővé teszi, hogy a Microsoft Entra-alkalmazások feliratkozzanak a kritikus eseményekre a kiértékeléshez és a végrehajtáshoz. A CAE kockázatos események kiértékelését tartalmazza, például letiltott vagy törölt felhasználói fiókokat, jelszómódosításokat, jogkivonat-visszavonásokat és észlelt felhasználókat.
Ha az alkalmazások olyan továbbfejlesztett biztonsági funkciókat használnak, mint a CAE és a feltételes hozzáférés hitelesítési környezete, a jogcímekkel kapcsolatos problémák kezeléséhez kódokat kell tartalmazniuk. Nyílt protokollokkal jogcímekkel kapcsolatos kihívásokat és jogcímkérelmeket használhat más ügyfélképességek meghívásához. Például azt jelzi az alkalmazásoknak, hogy egy rendellenesség miatt meg kell ismételniük a Microsoft Entra-azonosítóval való interakciót. Egy másik forgatókönyv az, amikor a felhasználó már nem felel meg a korábban hitelesített feltételeknek. Ezekhez a bővítményekhez az elsődleges hitelesítési kódfolyamatok megzavarása nélkül is kódokat használhat.
Security Assertions Markup Language (SAML)
A Microsoft Identitásplatform AZ SAML 2.0 használatával teszi lehetővé a Teljes felügyelet alkalmazások számára, hogy egyszeri bejelentkezési (SSO) felhasználói élményt nyújtsanak. Az egyszeri bejelentkezés és az egyszeri kijelentkezés SAML-profiljai a Microsoft Entra-azonosítóban ismertetik, hogy az identitásszolgáltató szolgáltatás hogyan használja az SAML-állításokat, protokollokat és kötéseket. Az SAML protokoll megköveteli, hogy az identitásszolgáltató (Microsoft Identitásplatform) és a szolgáltató (az ön alkalmazása) információt cseréljenek magukról. Amikor a Teljes felügyelet alkalmazást a Microsoft Entra-azonosítóval regisztrálja, olyan összevonással kapcsolatos információkat regisztrál, amelyek tartalmazzák az alkalmazás átirányítási URI-ját és metaadat-URI-ját a Microsoft Entra-azonosítóval.
Az MSAL előnyei a protokollok felett
A Microsoft optimalizálja az MSALs-eket a Microsoft Identitásplatform, és a legjobb élményt nyújtja az egyszeri bejelentkezéshez, a tokenek gyorsítótárazáshoz és a kimaradás rugalmasságához. Mivel az MSAL-ek általánosan elérhetők, továbbra is bővítjük a nyelvek és keretrendszerek lefedettségét.
Az MSAL használatával jogkivonatokat szerezhet be olyan alkalmazástípusokhoz, amelyek webalkalmazásokat, webes API-kat, egyoldalas alkalmazásokat, mobil- és natív alkalmazásokat, démonokat és kiszolgálóoldali alkalmazásokat tartalmaznak. Az MSAL gyors és egyszerű integrációt tesz lehetővé a felhasználókhoz és adatokhoz való biztonságos hozzáféréssel a Microsoft Graph és API-k segítségével. Az osztályon belüli legjobb hitelesítési libek segítségével bármely célközönséget elérheti, és követheti a Microsoft biztonsági fejlesztési életciklusát.
Következő lépések
- Microsoft Identitásplatform hitelesítési kódtárak az alkalmazástípusok támogatását ismertetik.
- A Teljes felügyelet alapelvek használatával történő fejlesztéssel megismerheti a Teljes felügyelet alapelveit, így javíthatja az alkalmazás biztonságát.
- Használjon Teljes felügyelet identitás- és hozzáférés-kezelési fejlesztési ajánlott eljárásokat az alkalmazásfejlesztési életciklusban a biztonságos alkalmazások létrehozásához.
- Az Teljes felügyelet identitáskezelési megközelítéssel rendelkező alkalmazások létrehozása áttekintést nyújt az engedélyekről és az ajánlott eljárások eléréséről.
- Az alkalmazásregisztrációval, engedélyezéssel és hozzáféréssel kapcsolatos fejlesztői és rendszergazdai feladatok segítenek az informatikai szakemberekkel való hatékonyabb együttműködésben.
- Az API Protection ismerteti az API regisztráción, engedélyek és hozzájárulások meghatározásán, valamint a hozzáférés kényszerítésén keresztüli védelmének ajánlott eljárásait Teljes felügyelet célok elérése érdekében.
- A jogkivonatok testreszabása a Microsoft Entra-jogkivonatokban kapott információkat ismerteti. Elmagyarázza, hogy a jogkivonat testreszabása hogyan javítja a rugalmasságot és a vezérlést, miközben növeli az alkalmazás Teljes felügyelet minimális jogosultsággal rendelkező biztonságot.
- A csoportjogcímek és alkalmazásszerepkörök tokenekben való konfigurálása azt ismerteti, hogyan konfigurálhat alkalmazásokat alkalmazásszerepkör-definíciókkal, és hogyan rendelhet biztonsági csoportokat alkalmazásszerepkörökhöz. Ez a megközelítés javítja a rugalmasságot és a szabályozást, miközben növeli az alkalmazás Teljes felügyelet minimális jogosultsággal rendelkező biztonságot.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: