Megosztás a következőn keresztül:


ajánlott eljárások és javaslatok Microsoft Identitásplatform

Ez a cikk az ajánlott eljárásokat, javaslatokat és gyakori felügyeleteket ismerteti a Microsoft Identitásplatform való integráció során. Ez az ellenőrzőlista a kiváló minőségű és biztonságos integrációhoz vezet. Rendszeresen tekintse át ezt a listát, hogy biztosan megőrizze az alkalmazás identitásplatformmal való integrációjának minőségét és biztonságát. Az ellenőrzőlista nem a teljes alkalmazás áttekintésére szolgál. Az ellenőrzőlista tartalma változhat, mivel fejlesztjük a platformot.

Ha még csak most kezdi, tekintse meg a Microsoft Identitásplatform dokumentációt, amelyből megismerheti a hitelesítési alapokat, az alkalmazásforgatókönyveket a Microsoft Identitásplatform, és még sok mást.

Az alábbi ellenőrzőlistával biztosíthatja, hogy az alkalmazás hatékonyan integrálva legyen a Microsoft Identitásplatform.

Tipp.

Az Integrációs asszisztens számos ajánlott eljárás és javaslat alkalmazását segítheti. Válassza ki bármelyik alkalmazásregisztrációt, majd válassza az Integrációs segéd menüelemet az asszisztens használatának megkezdéséhez.

Alapvető beállítások

jelölőnégyzet Olvassa el és ismerje meg a Microsoft platformszabályzatát. Győződjön meg arról, hogy az alkalmazás betartja a felhasználók és a platform védelme érdekében megfogalmazott feltételeket.

Tulajdonjog

jelölőnégyzet Győződjön meg arról, hogy az alkalmazások regisztrálásához és kezeléséhez használt fiókhoz társított információk naprakészek.

Arculat

jelölőnégyzet Tartsa be az alkalmazások arculati irányelveit.

jelölőnégyzet Adjon meg egy értelmes nevet és emblémát az alkalmazás számára. Ezek az információk megjelennek az alkalmazás hozzájárulási kérésében. Győződjön meg arról, hogy neve és emblémája a vállalat/termék reprezentatív, így a felhasználók megalapozott döntéseket hozhatnak. Győződjön meg arról, hogy nem sérti a védjegyeket.

Adatvédelem

jelölőnégyzet Adjon meg hivatkozásokat az alkalmazás szolgáltatási feltételeire és adatvédelmi nyilatkozatára.

Biztonság

jelölőnégyzet Az átirányítási URI-k kezelése:

  • Az átirányítási URI-k tulajdonjogának fenntartása és a DNS-rekordok naprakészen tartása.
  • Ne használjon helyettesítő karaktereket (*) az URI-kban.
  • Webalkalmazások esetén győződjön meg arról, hogy az összes URI biztonságos és titkosított (például https-sémák használatával).
  • Nyilvános ügyfelek esetén használjon platformspecifikus átirányítási URI-kat, ha vannak (főleg iOS és Android esetén). Ellenkező esetben nagy véletlenszerűséggel használjon átirányítási URI-kat, hogy megakadályozza az ütközéseket az alkalmazásba való visszahíváskor.
  • Ha az alkalmazást izolált webügynökből használja, használhatja https://login.microsoftonline.com/common/oauth2/nativeclient.
  • Rendszeresen tekintse át és vágja le az összes nem használt vagy szükségtelen átirányítási URI-t.

jelölőnégyzet Ha az alkalmazás regisztrálva van egy címtárban, minimalizálja és manuálisan monitorozza az alkalmazásregisztráció-tulajdonosok listáját.

jelölőnégyzet Csak akkor engedélyezze az OAuth2 implicit engedélyezési folyamat támogatását, ha kifejezetten szükséges. Itt megismerheti az érvényes forgatókönyvet.

jelölőnégyzet Lépkedje túl a felhasználónevet/jelszót. Ne használjon erőforrás-tulajdonosi jelszóval kapcsolatos hitelesítő folyamatot (ROPC), amely közvetlenül kezeli a felhasználók jelszavát. Ez a folyamat magas szintű megbízhatóságot és felhasználói kitettséget igényel, és csak akkor használható, ha más, biztonságosabb folyamatok nem használhatók. Ez a folyamat bizonyos helyzetekben (például a DevOpsban) továbbra is szükséges, de ne feledje, hogy a használata kényszereket fog szabni az alkalmazásra. A modernebb megközelítések érdekében olvassa el a hitelesítési folyamatokat és az alkalmazásforgatókönyveket.

jelölőnégyzet Webalkalmazások, webes API-k és démonalkalmazások bizalmas alkalmazás-hitelesítő adatainak védelme és kezelése. A tanúsítvány hitelesítő adatait használja, ne a jelszót (titkos ügyfélkulcsokat). Ha jelszó hitelesítő adatokat kell használnia, ne állítsa be manuálisan. Ne tárolja a hitelesítő adatokat kódban vagy konfigurációban, és soha ne engedélyezze az emberek általi kezelésüket. Ha lehetséges, használjon felügyelt identitásokat az Azure-erőforrásokhoz vagy az Azure Key Vaulthoz a hitelesítő adatok tárolásához és rendszeres elforgatásához.

jelölőnégyzet Győződjön meg arról, hogy az alkalmazás a legkevésbé jogosultsági engedélyeket kéri. Csak olyan engedélyeket kérjen, amelyekre az alkalmazásnak feltétlenül szüksége van, és csak akkor, ha szüksége van rájuk. Ismerje meg a különböző típusú engedélyeket. Csak akkor használja az alkalmazásengedélyeket, ha szükséges; ha lehetséges, delegált engedélyeket használjon. A Microsoft Graph-engedélyek teljes listájáért tekintse meg ezt az engedélyreferenciát.

jelölőnégyzetHa egy API-t a Microsoft Identitásplatform használ, alaposan gondolja át, hogy milyen engedélyeket kell elérhetővé tennie. Gondolja át, hogy mi a megoldás megfelelő részletessége, és hogy mely engedély(ek) igényelnek rendszergazdai hozzájárulást. Mielőtt bármilyen engedélyezési döntést hoz, ellenőrizze, hogy vannak-e a várt engedélyek a bejövő jogkivonatokban.

Megvalósítás

jelölőnégyzet Használjon modern hitelesítési megoldásokat (OAuth 2.0, OpenID Connect) a felhasználók biztonságos bejelentkezéséhez.

jelölőnégyzet Ne programozza közvetlenül az olyan protokollokat, mint az OAuth 2.0 és a Open ID. Ehelyett használja a Microsoft Authentication Library (MSAL) függvényt. Az MSAL-kódtárak biztonságosan burkolják a biztonsági protokollokat egy könnyen használható kódtárban, és beépített támogatást kap a feltételes hozzáférési forgatókönyvekhez, az eszközszintű egyszeri bejelentkezéshez (SSO) és a beépített jogkivonat-gyorsítótárazáshoz. További információkért tekintse meg a Microsoft által támogatott ügyfélkódtárak listáját. Ha kézzel kell kódolnia a hitelesítési protokollokat, kövesse a Microsoft SDL-t vagy hasonló fejlesztési módszertant. Ügyeljen az egyes protokollok szabványspecifikációiban szereplő biztonsági szempontokra.

jelölőnégyzetNE tekintse meg a hozzáférési jogkivonat értékét, vagy próbálja meg ügyfélként elemezni. Módosíthatják az értékeket, a formátumokat, vagy akár figyelmeztetés nélkül titkosíthatók is – mindig használja az azonosító jogkivonatot, ha az ügyfélnek valamit meg kell tudnia a felhasználóról. Csak webes API-k elemezhetik a hozzáférési jogkivonatokat (mivel ezek határozzák meg a formátumot és a titkosítási kulcsokat). A hozzáférési jogkivonatok ügyfél általi közvetlen elküldése biztonsági kockázatot jelent, mivel ezek bizalmas hitelesítő adatok, amelyek hozzáférést biztosítanak bizonyos erőforrásokhoz. A fejlesztők nem feltételezhetik, hogy az ügyfél megbízhatóan érvényesítheti a hozzáférési jogkivonatot.

jelölőnégyzet Meglévő alkalmazások migrálása az Azure Active Directory Authentication Libraryből (ADAL) a Microsoft Authentication Librarybe. Az MSAL a Microsoft legújabb identitásplatform-megoldása, amely .NET, JavaScript, Android, iOS, macOS, Python és Java rendszereken érhető el. További információ a ADAL.NET, ADAL.js és ADAL.NET és iOS-közvetítőalkalmazások migrálásáról.

jelölőnégyzet Mobilalkalmazások esetén konfiguráljon minden platformot az alkalmazásregisztrációs felület használatával. Ahhoz, hogy az alkalmazás kihasználhassa a Microsoft Authenticator vagy a Microsoft Céges portál előnyeit az egyszeri bejelentkezéshez, az alkalmazásnak konfigurálnia kell egy "közvetítő átirányítási URI-t". Ez lehetővé teszi, hogy a Microsoft a hitelesítés után visszavezhesse az irányítást az alkalmazáshoz. Az egyes platformok konfigurálásakor az alkalmazásregisztrációs felület végigvezeti a folyamaton. A rövid útmutató segítségével letölthet egy működő példát. IOS rendszeren használjon közvetítőket és a system webview-t, amikor csak lehetséges.

jelölőnégyzet Webalkalmazásokban vagy webes API-kban fiókonként egy jogkivonat-gyorsítótárat tartson. Webalkalmazások esetén a jogkivonat-gyorsítótárat a fiókazonosítónak kell megadnia. Webes API-k esetén a fiókot az API meghívásához használt jogkivonat kivonatának kell megadnia. MSAL.NET egyéni tokengyorsítótár-szerializálást biztosít a .NET-ben és a .NET-keretrendszer. Biztonsági és teljesítménybeli okokból javasoljuk, hogy felhasználónként egy gyorsítótárat szerializáljon. További információkért olvassa el a jogkivonat-gyorsítótár szerializálását.

jelölőnégyzetHa az alkalmazás által igényelt adatok a Microsoft Graphon keresztül érhetők el, az egyes API-k helyett a Microsoft Graph-végpont használatával kérjen engedélyeket ezekhez az adatokhoz.

Végfelhasználói élmény

jelölőnégyzetIsmerje meg a hozzájárulási felületet, és konfigurálja az alkalmazás hozzájárulási kérésének egyes részeit, hogy a végfelhasználók és a rendszergazdák elegendő információval rendelkezzenek annak megállapításához, hogy megbíznak-e az alkalmazásban.

jelölőnégyzet Minimalizálhatja, hogy a felhasználónak hányszor kell bejelentkezési hitelesítő adatokat megadnia az alkalmazás használata során, ha csendes hitelesítést (csendes jogkivonat-beszerzést) kísérel meg az interaktív folyamatok előtt.

jelölőnégyzet Ne használja a "prompt=consent" kifejezést minden bejelentkezéshez. Csak akkor használja a prompt=consent parancsot, ha úgy határozott, hogy további engedélyeket kell kérnie (például ha módosította az alkalmazás szükséges engedélyeit).

jelölőnégyzet Adott esetben bővítse az alkalmazást felhasználói adatokkal. A Microsoft Graph API használata egyszerű módszer erre. A Graph Explorer eszköz, amely segíthet az első lépésekben.

jelölőnégyzet Regisztrálja az alkalmazás által igényelt engedélyek teljes készletét, hogy a rendszergazdák egyszerűen hozzájárulást adjanak a bérlőjüknek. A növekményes hozzájárulás futásidőben történő használatával segít a felhasználóknak megérteni, hogy az alkalmazás miért kér olyan engedélyeket, amelyek érinthetik vagy összezavarhatják a felhasználókat az első indításkor.

jelölőnégyzetTiszta egyszeri kijelentkezés megvalósítása. Ez adatvédelmi és biztonsági követelmény, és jó felhasználói élményt nyújt.

Tesztelés

jelölőnégyzetOlyan feltételes hozzáférési szabályzatok tesztelése, amelyek befolyásolhatják a felhasználók alkalmazását.

jelölőnégyzet Tesztelje az alkalmazást az összes olyan fiókkal, amelyet támogatni szeretne (például munkahelyi vagy iskolai fiókok, személyes Microsoft-fiókok, gyermekfiókok és szuverén fiókok).

További erőforrások

Részletes információk a 2.0-s verzióról: