ajánlott eljárások és javaslatok Microsoft Identitásplatform
Ez a cikk az ajánlott eljárásokat, javaslatokat és gyakori felügyeleteket ismerteti a Microsoft Identitásplatform való integráció során. Ez az ellenőrzőlista a kiváló minőségű és biztonságos integrációhoz vezet. Rendszeresen tekintse át ezt a listát, hogy biztosan megőrizze az alkalmazás identitásplatformmal való integrációjának minőségét és biztonságát. Az ellenőrzőlista nem a teljes alkalmazás áttekintésére szolgál. Az ellenőrzőlista tartalma változhat, mivel fejlesztjük a platformot.
Ha még csak most kezdi, tekintse meg a Microsoft Identitásplatform dokumentációt, amelyből megismerheti a hitelesítési alapokat, az alkalmazásforgatókönyveket a Microsoft Identitásplatform, és még sok mást.
Az alábbi ellenőrzőlistával biztosíthatja, hogy az alkalmazás hatékonyan integrálva legyen a Microsoft Identitásplatform.
Tipp.
Az Integrációs asszisztens számos ajánlott eljárás és javaslat alkalmazását segítheti. Válassza ki bármelyik alkalmazásregisztrációt, majd válassza az Integrációs segéd menüelemet az asszisztens használatának megkezdéséhez.
Alapvető beállítások
Olvassa el és ismerje meg a Microsoft platformszabályzatát. Győződjön meg arról, hogy az alkalmazás betartja a felhasználók és a platform védelme érdekében megfogalmazott feltételeket.
Tulajdonjog
Győződjön meg arról, hogy az alkalmazások regisztrálásához és kezeléséhez használt fiókhoz társított információk naprakészek.
Arculat
Tartsa be az alkalmazások arculati irányelveit.
Adjon meg egy értelmes nevet és emblémát az alkalmazás számára. Ezek az információk megjelennek az alkalmazás hozzájárulási kérésében. Győződjön meg arról, hogy neve és emblémája a vállalat/termék reprezentatív, így a felhasználók megalapozott döntéseket hozhatnak. Győződjön meg arról, hogy nem sérti a védjegyeket.
Adatvédelem
Adjon meg hivatkozásokat az alkalmazás szolgáltatási feltételeire és adatvédelmi nyilatkozatára.
Biztonság
Az átirányítási URI-k kezelése:
- Az átirányítási URI-k tulajdonjogának fenntartása és a DNS-rekordok naprakészen tartása.
- Ne használjon helyettesítő karaktereket (*) az URI-kban.
- Webalkalmazások esetén győződjön meg arról, hogy az összes URI biztonságos és titkosított (például https-sémák használatával).
- Nyilvános ügyfelek esetén használjon platformspecifikus átirányítási URI-kat, ha vannak (főleg iOS és Android esetén). Ellenkező esetben nagy véletlenszerűséggel használjon átirányítási URI-kat, hogy megakadályozza az ütközéseket az alkalmazásba való visszahíváskor.
- Ha az alkalmazást izolált webügynökből használja, használhatja
https://login.microsoftonline.com/common/oauth2/nativeclient
. - Rendszeresen tekintse át és vágja le az összes nem használt vagy szükségtelen átirányítási URI-t.
Ha az alkalmazás regisztrálva van egy címtárban, minimalizálja és manuálisan monitorozza az alkalmazásregisztráció-tulajdonosok listáját.
Csak akkor engedélyezze az OAuth2 implicit engedélyezési folyamat támogatását, ha kifejezetten szükséges. Itt megismerheti az érvényes forgatókönyvet.
Lépkedje túl a felhasználónevet/jelszót. Ne használjon erőforrás-tulajdonosi jelszóval kapcsolatos hitelesítő folyamatot (ROPC), amely közvetlenül kezeli a felhasználók jelszavát. Ez a folyamat magas szintű megbízhatóságot és felhasználói kitettséget igényel, és csak akkor használható, ha más, biztonságosabb folyamatok nem használhatók. Ez a folyamat bizonyos helyzetekben (például a DevOpsban) továbbra is szükséges, de ne feledje, hogy a használata kényszereket fog szabni az alkalmazásra. A modernebb megközelítések érdekében olvassa el a hitelesítési folyamatokat és az alkalmazásforgatókönyveket.
Webalkalmazások, webes API-k és démonalkalmazások bizalmas alkalmazás-hitelesítő adatainak védelme és kezelése. A tanúsítvány hitelesítő adatait használja, ne a jelszót (titkos ügyfélkulcsokat). Ha jelszó hitelesítő adatokat kell használnia, ne állítsa be manuálisan. Ne tárolja a hitelesítő adatokat kódban vagy konfigurációban, és soha ne engedélyezze az emberek általi kezelésüket. Ha lehetséges, használjon felügyelt identitásokat az Azure-erőforrásokhoz vagy az Azure Key Vaulthoz a hitelesítő adatok tárolásához és rendszeres elforgatásához.
Győződjön meg arról, hogy az alkalmazás a legkevésbé jogosultsági engedélyeket kéri. Csak olyan engedélyeket kérjen, amelyekre az alkalmazásnak feltétlenül szüksége van, és csak akkor, ha szüksége van rájuk. Ismerje meg a különböző típusú engedélyeket. Csak akkor használja az alkalmazásengedélyeket, ha szükséges; ha lehetséges, delegált engedélyeket használjon. A Microsoft Graph-engedélyek teljes listájáért tekintse meg ezt az engedélyreferenciát.
Ha egy API-t a Microsoft Identitásplatform használ, alaposan gondolja át, hogy milyen engedélyeket kell elérhetővé tennie. Gondolja át, hogy mi a megoldás megfelelő részletessége, és hogy mely engedély(ek) igényelnek rendszergazdai hozzájárulást. Mielőtt bármilyen engedélyezési döntést hoz, ellenőrizze, hogy vannak-e a várt engedélyek a bejövő jogkivonatokban.
Megvalósítás
Használjon modern hitelesítési megoldásokat (OAuth 2.0, OpenID Connect) a felhasználók biztonságos bejelentkezéséhez.
Ne programozza közvetlenül az olyan protokollokat, mint az OAuth 2.0 és a Open ID. Ehelyett használja a Microsoft Authentication Library (MSAL) függvényt. Az MSAL-kódtárak biztonságosan burkolják a biztonsági protokollokat egy könnyen használható kódtárban, és beépített támogatást kap a feltételes hozzáférési forgatókönyvekhez, az eszközszintű egyszeri bejelentkezéshez (SSO) és a beépített jogkivonat-gyorsítótárazáshoz. További információkért tekintse meg a Microsoft által támogatott ügyfélkódtárak listáját. Ha kézzel kell kódolnia a hitelesítési protokollokat, kövesse a Microsoft SDL-t vagy hasonló fejlesztési módszertant. Ügyeljen az egyes protokollok szabványspecifikációiban szereplő biztonsági szempontokra.
NE tekintse meg a hozzáférési jogkivonat értékét, vagy próbálja meg ügyfélként elemezni. Módosíthatják az értékeket, a formátumokat, vagy akár figyelmeztetés nélkül titkosíthatók is – mindig használja az azonosító jogkivonatot, ha az ügyfélnek valamit meg kell tudnia a felhasználóról. Csak webes API-k elemezhetik a hozzáférési jogkivonatokat (mivel ezek határozzák meg a formátumot és a titkosítási kulcsokat). A hozzáférési jogkivonatok ügyfél általi közvetlen elküldése biztonsági kockázatot jelent, mivel ezek bizalmas hitelesítő adatok, amelyek hozzáférést biztosítanak bizonyos erőforrásokhoz. A fejlesztők nem feltételezhetik, hogy az ügyfél megbízhatóan érvényesítheti a hozzáférési jogkivonatot.
Meglévő alkalmazások migrálása az Azure Active Directory Authentication Libraryből (ADAL) a Microsoft Authentication Librarybe. Az MSAL a Microsoft legújabb identitásplatform-megoldása, amely .NET, JavaScript, Android, iOS, macOS, Python és Java rendszereken érhető el. További információ a ADAL.NET, ADAL.js és ADAL.NET és iOS-közvetítőalkalmazások migrálásáról.
Mobilalkalmazások esetén konfiguráljon minden platformot az alkalmazásregisztrációs felület használatával. Ahhoz, hogy az alkalmazás kihasználhassa a Microsoft Authenticator vagy a Microsoft Céges portál előnyeit az egyszeri bejelentkezéshez, az alkalmazásnak konfigurálnia kell egy "közvetítő átirányítási URI-t". Ez lehetővé teszi, hogy a Microsoft a hitelesítés után visszavezhesse az irányítást az alkalmazáshoz. Az egyes platformok konfigurálásakor az alkalmazásregisztrációs felület végigvezeti a folyamaton. A rövid útmutató segítségével letölthet egy működő példát. IOS rendszeren használjon közvetítőket és a system webview-t, amikor csak lehetséges.
Webalkalmazásokban vagy webes API-kban fiókonként egy jogkivonat-gyorsítótárat tartson. Webalkalmazások esetén a jogkivonat-gyorsítótárat a fiókazonosítónak kell megadnia. Webes API-k esetén a fiókot az API meghívásához használt jogkivonat kivonatának kell megadnia. MSAL.NET egyéni tokengyorsítótár-szerializálást biztosít a .NET-ben és a .NET-keretrendszer. Biztonsági és teljesítménybeli okokból javasoljuk, hogy felhasználónként egy gyorsítótárat szerializáljon. További információkért olvassa el a jogkivonat-gyorsítótár szerializálását.
Ha az alkalmazás által igényelt adatok a Microsoft Graphon keresztül érhetők el, az egyes API-k helyett a Microsoft Graph-végpont használatával kérjen engedélyeket ezekhez az adatokhoz.
Végfelhasználói élmény
Ismerje meg a hozzájárulási felületet, és konfigurálja az alkalmazás hozzájárulási kérésének egyes részeit, hogy a végfelhasználók és a rendszergazdák elegendő információval rendelkezzenek annak megállapításához, hogy megbíznak-e az alkalmazásban.
Minimalizálhatja, hogy a felhasználónak hányszor kell bejelentkezési hitelesítő adatokat megadnia az alkalmazás használata során, ha csendes hitelesítést (csendes jogkivonat-beszerzést) kísérel meg az interaktív folyamatok előtt.
Ne használja a "prompt=consent" kifejezést minden bejelentkezéshez. Csak akkor használja a prompt=consent parancsot, ha úgy határozott, hogy további engedélyeket kell kérnie (például ha módosította az alkalmazás szükséges engedélyeit).
Adott esetben bővítse az alkalmazást felhasználói adatokkal. A Microsoft Graph API használata egyszerű módszer erre. A Graph Explorer eszköz, amely segíthet az első lépésekben.
Regisztrálja az alkalmazás által igényelt engedélyek teljes készletét, hogy a rendszergazdák egyszerűen hozzájárulást adjanak a bérlőjüknek. A növekményes hozzájárulás futásidőben történő használatával segít a felhasználóknak megérteni, hogy az alkalmazás miért kér olyan engedélyeket, amelyek érinthetik vagy összezavarhatják a felhasználókat az első indításkor.
Tiszta egyszeri kijelentkezés megvalósítása. Ez adatvédelmi és biztonsági követelmény, és jó felhasználói élményt nyújt.
Tesztelés
Olyan feltételes hozzáférési szabályzatok tesztelése, amelyek befolyásolhatják a felhasználók alkalmazását.
Tesztelje az alkalmazást az összes olyan fiókkal, amelyet támogatni szeretne (például munkahelyi vagy iskolai fiókok, személyes Microsoft-fiókok, gyermekfiókok és szuverén fiókok).
További erőforrások
Részletes információk a 2.0-s verzióról: