Megosztás a következőn keresztül:

Biztonságos alkalmazásmodell-keretrendszer

  • Cikk

A Microsoft egy biztonságos, méretezhető keretrendszert vezet be a felhőszolgáltatói (CSP-) partnerek és Vezérlőpult Szállítók (CPV) hitelesítéséhez a Microsoft Azure többtényezős hitelesítési (MFA) architektúrán keresztül. A CSP-partnerek és a Vezérlőpult Szállítók az új modellre támaszkodva emelhetik a partnerközpont API-integrációs hívások biztonságát. Ez segít minden félnek, beleértve a Microsoftot, a CSP-partnereket és Vezérlőpult szállítókat, hogy megvédjék infrastruktúrájukat és ügyféladataikat a biztonsági kockázatoktól.

Fontos

Az Azure Active Directory (Azure AD) Graph 2023. június 30-ától elavult. A továbbiakban nem teszünk további befektetéseket az Azure AD Graphban. Az Azure AD Graph API-k nem rendelkeznek SLA-val vagy karbantartási kötelezettségvállalással a biztonsággal kapcsolatos javításokon túl. Az új funkciókba és funkciókba csak a Microsoft Graph-ban lehet befektetni.

Az Azure AD Graphot növekményes lépésekben kivonjuk, hogy elegendő ideje legyen az alkalmazások Microsoft Graph API-kba való migrálására. Egy későbbi időpontban, amikor bejelentjük, letiltjuk az új alkalmazások létrehozását az Azure AD Graph használatával.

További információ: Fontos: Az Azure AD Graph kivonása és a PowerShell-modul elavulása.

Hatókör

Ez a cikk a következő partnerekre vonatkozik:

  • Vezérlőpult Szállítók (CPV-k) független szoftvergyártók, akik a CSP-partnerek által a Partnerközpont API-kkal való integrációhoz használt alkalmazásokat fejlesztenek. A CPV nem olyan CSP-partner, amely közvetlen hozzáféréssel rendelkezik a partner irányítópultjához vagy API-jához. Ők azok a vállalatok, amelyek olyan alkalmazásokat fejlesztenek (általában webalkalmazásokat), amelyek lehetővé teszik a CSP-k számára a termékeik egységes piactéren keresztüli értékesítését.
  • Közvetett CSP-szolgáltatók és közvetlen CSP-partnerek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálhatók a Partnerközpont API-ival.

Feljegyzés

A CPV-nek való minősítéshez először CPV-ként kell bejelentkeznie a Partnerközpontba. Ha Ön egy meglévő CSP-partner, aki egyben CPV is, ez az előfeltétel Önre is vonatkozik.

Biztonságos alkalmazásfejlesztés

A Microsoft-termékekre vonatkozó megrendelések CSP-k nevében történő leadásának folyamata során a CPV-k piactéri alkalmazásai a Microsoft API-kkal együttműködve rendelnek, és erőforrásokat építenek ki az ügyfelek számára.

Ezen API-k némelyike a következők:

  • A Partnerközpont API-k olyan kereskedelmi műveleteket implementálnak, mint a rendelések leadása és az előfizetések életciklusának kezelése.
  • Microsoft Graph API-k, amelyek identitáskezelést implementálnak a CSP-bérlők és a CSP-ügyfél bérlői számára.
  • Az Azure Resource Manager (ARM) API-k implementálják az Azure üzembehelyezési funkcióit.

A CSP-partnerek felhatalmazást kapnak arra, hogy delegált jogosultságokkal járjanak el az ügyfeleik nevében a Microsoft API-k hívása során. A delegált jogosultságok lehetővé teszik a CSP-partnerek számára a vásárlási, üzembe helyezési és támogatási forgatókönyvek elvégzését ügyfeleik számára.

A Marketplace-alkalmazások célja, hogy segítsenek a CSP-partnereknek az ügyfeleknek szánt megoldások listázásában. Ennek eléréséhez a Marketplace-alkalmazásoknak meg kell megszemélyesítenie a CSP-partnerek jogosultságait a Microsoft API-k meghívásához.

Mivel a CSP-partnerek jogosultságai magasak, és hozzáférést biztosítanak a partner összes ügyfele számára, fontos megérteni, hogyan kell ezeket az alkalmazásokat úgy tervezni, hogy ellenálljanak a biztonsági kihasználtság vektorainak. A bizalmas alkalmazások biztonsági támadásai az ügyféladatok sérüléséhez vezethetnek. Ezért az engedélyek megadását és a partneri jogosultságok megszemélyesítését úgy kell kialakítani, hogy a legkisebb jogosultság elvét kövessék. Az alábbi alapelvek és ajánlott eljárások biztosítják, hogy a Marketplace-alkalmazások fenntarthatók legyenek, és ellenálljanak a kompromisszumoknak.

A hitelesítő adatok megszemélyesítésének biztonsági alapelvei

  • A Marketplace-alkalmazások nem tárolnak hitelesítő adatokat a CSP-partnerektől.

  • A CSP-partner felhasználói jelszavait nem szabad megosztani.

  • A CSP-partnerbérlelő webalkalmazáskulcsai nem oszthatók meg Vezérlőpult szállítókkal.

  • A marketplace-alkalmazásoknak meg kell jelenítenie az alkalmazás identitását a partneradatokkal együtt, nem pedig csak partneri hitelesítő adatokat kell használniuk a CSP-partneri identitást megszemélyesítő hívások során.

  • A marketplace-alkalmazásokhoz való hozzáférésnek a minimális jogosultság elvén kell alapulnia, és egyértelműen meg kell fogalmaznia az engedélyeket.

  • A piactéri alkalmazások engedélyezését több hitelesítő adathoz kell fordosni.

  • A hozzáféréshez együtt kell megadni az alkalmazás hitelesítő adatait és a partneri hitelesítő adatokat.

    Fontos

    Fontos, hogy egyetlen kompromisszumos pont se legyen.

  • A hozzáférést egy adott célközönségre vagy API-ra kell korlátozni.

  • A hozzáférésnek azonosítania kell a megszemélyesítés célját.

  • A marketplace-alkalmazások hozzáférési engedélyeinek időkorlátnak kell lenniük. A CSP-partnereknek képesnek kell lenniük a marketplace-alkalmazáshoz való hozzáférés megújítására vagy visszavonására.

  • A piactéri alkalmazás hitelesítő adatainak feltöréseinek kezeléséhez gyors vezérlési vagy szervizelési folyamatokat kell végrehajtani.

  • Minden felhasználói fióknak kéttényezős hitelesítést (2FA) kell használnia.

  • Az alkalmazásmodellnek barátságosnak kell lennie a további biztonsági rendelkezésekhez, például egy jobb biztonsági modellhez való feltételes hozzáféréshez.

Feljegyzés

A közvetett CSP-szolgáltatóknak és a KÖZVETLEN CSP-partnereknek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálódnak a Partnerközpont API-kkal, a fenti alapelveket követve kell biztosítaniuk saját piactéri alkalmazásaikat.

Alkalmazás identitása és fogalmai

Több-bérlős alkalmazások

A több-bérlős alkalmazások általában szolgáltatásként (SaaS)-alkalmazások. Az alkalmazás úgy konfigurálható, hogy bármely Microsoft Entra-bérlőről fogadjon be bejelentkezéseket, ha az alkalmazástípust több-bérlőként konfigurálja az Azure-irányítópulton. Bármely Microsoft Entra-bérlő felhasználói bejelentkezhetnek az alkalmazásba, miután hozzájárultak a fiókjuk alkalmazáshoz való használatához.

A több-bérlős alkalmazások létrehozásáról további információt a Microsoft Entra bármely felhasználójának bejelentkezése a több-bérlős alkalmazásmintával című témakörben talál.

Ahhoz, hogy egy felhasználó bejelentkezzen egy alkalmazásba a Microsoft Entra-azonosítóban, az alkalmazást a felhasználó bérlőjében kell képviselnie, ami lehetővé teszi a szervezet számára, hogy egyedi szabályzatokat alkalmazzon, amikor a felhasználók a bérlőjükből jelentkeznek be az alkalmazásba. Egyetlen bérlői alkalmazás esetében ez a regisztráció egyszerű: ez történik, amikor regisztrálja az alkalmazást az Azure-irányítópulton.

Több-bérlős alkalmazások esetén az alkalmazás kezdeti regisztrációja a fejlesztő által használt Microsoft Entra-bérlőben található. Amikor egy másik bérlő felhasználója először jelentkezik be az alkalmazásba, a Microsoft Entra-azonosító megkéri őket, hogy járuljanak hozzá az alkalmazás által kért engedélyekhez. Ha beleegyeznek, akkor létrejön egy szolgáltatásnévnek nevezett alkalmazás ábrázolása a felhasználó bérlőjében, és a bejelentkezési folyamat folytatódhat. A címtárban létrejön egy delegálás is, amely rögzíti a felhasználónak az alkalmazáshoz való hozzájárulását.

Feljegyzés

A közvetett CSP-szolgáltatóknak és a KÖZVETLEN CSP-partnereknek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálják a Partnerközpont API-kkal, ugyanazzal a hozzájárulási keretrendszerrel kell hozzájárulást adniuk a piactéri alkalmazásukhoz.

A hozzájárulási élményt az alkalmazás által kért engedélyek befolyásolják. A Microsoft Entra ID kétféle engedélyt támogat, csak alkalmazással és delegáltként.

  • A csak alkalmazásra vonatkozó engedély közvetlenül az alkalmazás identitásához adható. Például engedélyt adhat egy alkalmazásnak a bérlői felhasználók listájának olvasására, függetlenül attól, hogy ki jelentkezett be az alkalmazásba.
  • A delegált engedély lehetővé teszi, hogy az alkalmazás bejelentkezett felhasználóként működjön a felhasználó által elvégezhető műveletek egy részhalmazában. Például delegált engedélyt adhat egy alkalmazásnak a bejelentkezett felhasználó naptárának olvasására.

Egyes engedélyekhez egy normál felhasználó járul hozzá, míg másokhoz bérlői rendszergazdai hozzájárulás szükséges. A Microsoft Entra hozzájárulási keretrendszerével kapcsolatos további információkért lásd a Microsoft Entra alkalmazás-hozzájárulási élményének ismertetése című témakört.

Több-bérlős alkalmazásmegnyitási (OAuth) jogkivonat-folyamat

A több-bérlős alkalmazások nyílt engedélyezési (OAuth) folyamatában az alkalmazás több-bérlős alkalmazásként jelenik meg a CPV- vagy CSP-partner bérlőjében.

A Microsoft API-k (Partnerközpont API-k, Graph API-k stb.) eléréséhez a CSP-partnereknek be kell jelentkezniük az alkalmazásba, és engedélyezniük kell az alkalmazás számára az API-k meghívását a nevükben.

Feljegyzés

A közvetett CSP-szolgáltatóknak és a közvetlen CSP-partnereknek, akik alkalmazásazonosítót és felhasználói hitelesítést használnak, és közvetlenül integrálódnak a Partnerközpont API-kkal, hozzájárulást kell adniuk a piactéri alkalmazásuknak ahhoz, hogy ugyanazt a hozzájárulási keretrendszert használják.

Az alkalmazás hozzájárulással és OAuth-támogatásokkal fér hozzá a partner erőforrásaihoz, például a Graph és a Partnerközpont API-khoz.

Több-bérlős alkalmazás létrehozása

A több-bérlős alkalmazásoknak meg kell felelnie a következő követelményeknek:

  • Alkalmazásazonosítóval és titkos kulccsal rendelkező webalkalmazásnak kell lennie.
  • Az implicit hitelesítési módnak ki kell kapcsolnia.

Emellett javasoljuk, hogy a következő ajánlott eljárásokat alkalmazza:

  • Használjon tanúsítványt a titkos kulcshoz.
  • Engedélyezze a feltételes hozzáférést az IP-tartományokra vonatkozó korlátozások alkalmazásához. Ez további funkciókat igényelhet a Microsoft Entra-bérlőn.
  • Hozzáférési jogkivonat élettartam-szabályzatainak alkalmazása az alkalmazáshoz.

Jogkivonat beszerzésekor meg kell jeleníteni az alkalmazásazonosítót és a titkos kulcsot. A titkos kulcs lehet tanúsítvány.

Az alkalmazás konfigurálható több API meghívására, beleértve az Azure Resource Manager API-kat is. A Partnerközpont API-khoz minimálisan szükséges engedélyek a következők:

  • Microsoft Entra ID delegált engedélyek: Hozzáférés a címtárhoz bejelentkezett felhasználóként
  • Partnerközpont API-k delegált engedélyei: Hozzáférés

A több-bérlős alkalmazásoknak meg kell szereznie a partnerek hozzájárulását, és a hozzájárulást kell használniuk, és meg kell adniuk, hogy további hívásokat kezdeményezhessenek a Partnerközpont API-k felé. A hozzájárulás oAuth-hitelesítési kódfolyamaton keresztül szerezhető be.

A hozzájárulás beszerzéséhez a CPV-knek vagy a CSP-partnereknek létre kell készítenie egy olyan előkészítési webhelyet, amely elfogadhat egy hitelesítési kód megadását a Microsoft Entra ID-tól.

További információ: Hozzáférés engedélyezése az Azure Active és Directory webalkalmazásokhoz az OAuth 2.0 kódhozzáadási folyamat használatával.

Az alábbiakban egy több-bérlős alkalmazás lépéseit követve rögzítheti a CSP-partnerek beleegyezését, valamint egy újrafelhasználható jogkivonatot a Partnerközpont API-k felé irányuló hívások indításához.

A partneri hozzájárulás beszerzéséhez kövesse az alábbi lépéseket.

  1. Hozzon létre egy partnert az előkészítési webalkalmazásba, amely egy hozzájárulási hivatkozást üzemeltethet a partner számára, amelyre kattintva elfogadhatja a több-bérlős alkalmazáshoz való hozzájárulást.
  2. A CSP-partner a hozzájárulási hivatkozásra kattint. Például: https://login.microsoftonline.com/common/oauth2/authorize?&client_id=<marketplaceappid>&response_ty
  3. A Microsoft Entra bejelentkezési oldala ismerteti azokat az engedélyeket, amelyeket a felhasználó nevében kap az alkalmazás. A CSP-partner dönthet úgy, hogy Rendszergazda ügynök vagy értékesítési ügynök hitelesítő adatait használja a bejelentkezéshez és a hozzájárulás jóváhagyásához. Az alkalmazás a bejelentkezéshez használt felhasználói szerepkör alapján kap engedélyeket.
  4. A hozzájárulás megadása után a Microsoft Entra ID létrehozza a CPV több-bérlős alkalmazásának szolgáltatásnevét a CSP-partner bérlőjében. Az alkalmazás OAuth-támogatást kap, hogy a felhasználó nevében járjon el. Ezek a támogatások lehetővé teszik, hogy a több-bérlős alkalmazás meghívja a Partnerközpont API-kat a partner nevében. Ezen a ponton a Microsoft Entra bejelentkezési lapja átirányítja a partnert az előkészítési webalkalmazásba. A webalkalmazás egy engedélyezési kódot kap a Microsoft Entra-azonosítótól. A webalkalmazást kérő partnernek az engedélyezési kóddal és az alkalmazásazonosítóval és titkos kulccsal kell meghívnia a Microsoft Entra ID Tokens API-t a frissítési jogkivonat beszerzéséhez.
  5. A frissítési jogkivonat biztonságos tárolása. A frissítési jogkivonat a partner nevében a Partnerközpont API-khoz való hozzáféréshez használt partneri hitelesítő adatok része. A frissítési jogkivonat beszerzése után titkosítsa és tárolja egy titkos kulcstárolóban, például az Azure Key Vaultban.

Jogkivonat-kérelem hívási folyamata

A CPV-knek vagy a CSP-partnerek alkalmazásának hozzáférési jogkivonatot kell beszerezniük, mielőtt hívásokat kezdeményeznek a Partnerközpont API-k felé. Ezek az API-k az erőforrás URL-címén https://api.partnercenter.microsoft.comjelennek meg.

A CPV-alkalmazásoknak meg kell határozniuk, hogy melyik partnerfiókot kell megszemélyesíteniük a Partnerközpont API-k termék vagy összevont bejelentkezés alapján történő meghívásához. Az alkalmazás lekéri az adott partnerbérlmének titkosított frissítési jogkivonatát a titkos kulcstárolóból. A frissítési jogkivonatot használat előtt vissza kell fejteni.

Azon CSP-partnerek esetében, ahol csak egy bérlő ad hozzájárulást, a partnerfiók a CSP-partner bérlőjére hivatkozik.

A frissítési jogkivonat egy több célközönségből áll. Ez azt jelenti, hogy a frissítési jogkivonat használható egy jogkivonat lekérésére több célközönség számára a megadott hozzájárulás alapján. Ha például partneri hozzájárulást kapnak a Partnerközpont API-k és a Microsoft Graph API-k számára, a frissítési jogkivonat használatával mindkét API-hoz hozzáférési jogkivonatot kérhet. A hozzáférési jogkivonat rendelkezik a "nevében" megadással, és lehetővé teszi, hogy egy piactéri alkalmazás megszemélyesítse azt a partnert, aki hozzájárult az API-k meghívásához.

A hozzáférési jogkivonat egyszerre egyetlen célközönség számára is beszerezhető. Ha egy alkalmazásnak több API-hoz kell hozzáférnie, több hozzáférési jogkivonatot kell kérnie a célközönség számára. Hozzáférési jogkivonat kéréséhez az alkalmazásnak meg kell hívnia a Microsoft Entra ID Tokens API-t. Másik lehetőségként használhatja a Microsoft Entra SDK AuthenticationContext.AcquireTokenAsync szolgáltatását is, és a következő információkat adhatja meg:

  • Erőforrás URL-címe, amely a meghívandó alkalmazás végponti URL-címe. A Microsoft Partner Center API erőforrás-URL-címe például az https://api.partnercenter.microsoft.com.
  • A webalkalmazás alkalmazásazonosítóját és titkos kulcsát tartalmazó alkalmazás hitelesítő adatai.
  • A frissítési jogkivonat

Az eredményül kapott hozzáférési jogkivonat lehetővé teszi, hogy az alkalmazás hívásokat kezdeményezhessen az erőforrásban említett API-khoz. Az alkalmazás nem kérhet hozzáférési jogkivonatot olyan API-khoz, amelyek nem kaptak engedélyt a hozzájárulási kérelem részeként. A UserPrincipalName (UPN) attribútum értéke a felhasználói fiókok Microsoft Entra-felhasználóneve.

További szempontok

Feltételes hozzáférés

A felhőbeli erőforrások kezelésekor a felhőbiztonság egyik kulcsfontosságú eleme az identitás és a hozzáférés. A mobil első, felhőbeli világban a felhasználók bárhonnan hozzáférhetnek a szervezet erőforrásaihoz különböző eszközökkel és alkalmazásokkal. Már nem elég arra koncentrálni, hogy ki férhet hozzá egy erőforráshoz. A biztonság és a termelékenység közötti egyensúly elsajátításához figyelembe kell vennie az erőforrások elérését is. A Microsoft Entra feltételes hozzáféréssel kezelheti ezt a követelményt. A feltételes hozzáférés segítségével automatikus döntéshozatali képességeket valósíthat meg a felhőalkalmazásai eléréséhez különféle feltételek alapján.

További információ: Mi a feltételes hozzáférés a Microsoft Entra-azonosítóban?

IP-tartományalapú korlátozások

Korlátozhatja, hogy a jogkivonatok csak adott IP-címtartományra legyenek kibocsátva. Ez a funkció segít korlátozni a támadás felületét egy adott hálózatra.

Többtényezős hitelesítés

A többtényezős hitelesítés kényszerítése segít korlátozni a hitelesítő adatokkal kapcsolatos biztonsági helyzeteket azáltal, hogy a hitelesítő adatok ellenőrzését két vagy több űrlapra kényszeríti. Ez a funkció lehetővé teszi, hogy a Microsoft Entra ID biztonságos másodlagos csatornákon, például mobileszközökön vagy e-mailben ellenőrizze a hívó identitását a jogkivonatok kiadása előtt.

További információ: Hogyan működik: Azure Multi.

Következő lépések