Biztonságos alkalmazásmodell-keretrendszer
A Microsoft egy biztonságos, méretezhető keretrendszert vezet be a felhőszolgáltatói (CSP-) partnerek és Vezérlőpult Szállítók (CPV) hitelesítéséhez a Microsoft Azure többtényezős hitelesítési (MFA) architektúrán keresztül. A CSP-partnerek és a Vezérlőpult Szállítók az új modellre támaszkodva emelhetik a partnerközpont API-integrációs hívások biztonságát. Ez segít minden félnek, beleértve a Microsoftot, a CSP-partnereket és Vezérlőpult szállítókat, hogy megvédjék infrastruktúrájukat és ügyféladataikat a biztonsági kockázatoktól.
Fontos
Az Azure Active Directory (Azure AD) Graph 2023. június 30-ától elavult. A továbbiakban nem teszünk további befektetéseket az Azure AD Graphban. Az Azure AD Graph API-k nem rendelkeznek SLA-val vagy karbantartási kötelezettségvállalással a biztonsággal kapcsolatos javításokon túl. Az új funkciókba és funkciókba csak a Microsoft Graph-ban lehet befektetni.
Az Azure AD Graphot növekményes lépésekben kivonjuk, hogy elegendő ideje legyen az alkalmazások Microsoft Graph API-kba való migrálására. Egy későbbi időpontban, amikor bejelentjük, letiltjuk az új alkalmazások létrehozását az Azure AD Graph használatával.
További információ: Fontos: Az Azure AD Graph kivonása és a PowerShell-modul elavulása.
Hatókör
Ez a cikk a következő partnerekre vonatkozik:
- Vezérlőpult Szállítók (CPV-k) független szoftvergyártók, akik a CSP-partnerek által a Partnerközpont API-kkal való integrációhoz használt alkalmazásokat fejlesztenek. A CPV nem olyan CSP-partner, amely közvetlen hozzáféréssel rendelkezik a partner irányítópultjához vagy API-jához. Ők azok a vállalatok, amelyek olyan alkalmazásokat fejlesztenek (általában webalkalmazásokat), amelyek lehetővé teszik a CSP-k számára a termékeik egységes piactéren keresztüli értékesítését.
- Közvetett CSP-szolgáltatók és közvetlen CSP-partnerek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálhatók a Partnerközpont API-ival.
Feljegyzés
A CPV-nek való minősítéshez először CPV-ként kell bejelentkeznie a Partnerközpontba. Ha Ön egy meglévő CSP-partner, aki egyben CPV is, ez az előfeltétel Önre is vonatkozik.
Biztonságos alkalmazásfejlesztés
A Microsoft-termékekre vonatkozó megrendelések CSP-k nevében történő leadásának folyamata során a CPV-k piactéri alkalmazásai a Microsoft API-kkal együttműködve rendelnek, és erőforrásokat építenek ki az ügyfelek számára.
Ezen API-k némelyike a következők:
- A Partnerközpont API-k olyan kereskedelmi műveleteket implementálnak, mint a rendelések leadása és az előfizetések életciklusának kezelése.
- Microsoft Graph API-k, amelyek identitáskezelést implementálnak a CSP-bérlők és a CSP-ügyfél bérlői számára.
- Az Azure Resource Manager (ARM) API-k implementálják az Azure üzembehelyezési funkcióit.
A CSP-partnerek felhatalmazást kapnak arra, hogy delegált jogosultságokkal járjanak el az ügyfeleik nevében a Microsoft API-k hívása során. A delegált jogosultságok lehetővé teszik a CSP-partnerek számára a vásárlási, üzembe helyezési és támogatási forgatókönyvek elvégzését ügyfeleik számára.
A Marketplace-alkalmazások célja, hogy segítsenek a CSP-partnereknek az ügyfeleknek szánt megoldások listázásában. Ennek eléréséhez a Marketplace-alkalmazásoknak meg kell megszemélyesítenie a CSP-partnerek jogosultságait a Microsoft API-k meghívásához.
Mivel a CSP-partnerek jogosultságai magasak, és hozzáférést biztosítanak a partner összes ügyfele számára, fontos megérteni, hogyan kell ezeket az alkalmazásokat úgy tervezni, hogy ellenálljanak a biztonsági kihasználtság vektorainak. A bizalmas alkalmazások biztonsági támadásai az ügyféladatok sérüléséhez vezethetnek. Ezért az engedélyek megadását és a partneri jogosultságok megszemélyesítését úgy kell kialakítani, hogy a legkisebb jogosultság elvét kövessék. Az alábbi alapelvek és ajánlott eljárások biztosítják, hogy a Marketplace-alkalmazások fenntarthatók legyenek, és ellenálljanak a kompromisszumoknak.
A hitelesítő adatok megszemélyesítésének biztonsági alapelvei
A Marketplace-alkalmazások nem tárolnak hitelesítő adatokat a CSP-partnerektől.
A CSP-partner felhasználói jelszavait nem szabad megosztani.
A CSP-partnerbérlelő webalkalmazáskulcsai nem oszthatók meg Vezérlőpult szállítókkal.
A marketplace-alkalmazásoknak meg kell jelenítenie az alkalmazás identitását a partneradatokkal együtt, nem pedig csak partneri hitelesítő adatokat kell használniuk a CSP-partneri identitást megszemélyesítő hívások során.
A marketplace-alkalmazásokhoz való hozzáférésnek a minimális jogosultság elvén kell alapulnia, és egyértelműen meg kell fogalmaznia az engedélyeket.
A piactéri alkalmazások engedélyezését több hitelesítő adathoz kell fordosni.
A hozzáféréshez együtt kell megadni az alkalmazás hitelesítő adatait és a partneri hitelesítő adatokat.
Fontos
Fontos, hogy egyetlen kompromisszumos pont se legyen.
A hozzáférést egy adott célközönségre vagy API-ra kell korlátozni.
A hozzáférésnek azonosítania kell a megszemélyesítés célját.
A marketplace-alkalmazások hozzáférési engedélyeinek időkorlátnak kell lenniük. A CSP-partnereknek képesnek kell lenniük a marketplace-alkalmazáshoz való hozzáférés megújítására vagy visszavonására.
A piactéri alkalmazás hitelesítő adatainak feltöréseinek kezeléséhez gyors vezérlési vagy szervizelési folyamatokat kell végrehajtani.
Minden felhasználói fióknak kéttényezős hitelesítést (2FA) kell használnia.
Az alkalmazásmodellnek barátságosnak kell lennie a további biztonsági rendelkezésekhez, például egy jobb biztonsági modellhez való feltételes hozzáféréshez.
Feljegyzés
A közvetett CSP-szolgáltatóknak és a KÖZVETLEN CSP-partnereknek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálódnak a Partnerközpont API-kkal, a fenti alapelveket követve kell biztosítaniuk saját piactéri alkalmazásaikat.
Alkalmazás identitása és fogalmai
Több-bérlős alkalmazások
A több-bérlős alkalmazások általában szolgáltatásként (SaaS)-alkalmazások. Az alkalmazás úgy konfigurálható, hogy bármely Microsoft Entra-bérlőről fogadjon be bejelentkezéseket, ha az alkalmazástípust több-bérlőként konfigurálja az Azure-irányítópulton. Bármely Microsoft Entra-bérlő felhasználói bejelentkezhetnek az alkalmazásba, miután hozzájárultak a fiókjuk alkalmazáshoz való használatához.
A több-bérlős alkalmazások létrehozásáról további információt a Microsoft Entra bármely felhasználójának bejelentkezése a több-bérlős alkalmazásmintával című témakörben talál.
Jóváhagyási keretrendszer
Ahhoz, hogy egy felhasználó bejelentkezzen egy alkalmazásba a Microsoft Entra-azonosítóban, az alkalmazást a felhasználó bérlőjében kell képviselnie, ami lehetővé teszi a szervezet számára, hogy egyedi szabályzatokat alkalmazzon, amikor a felhasználók a bérlőjükből jelentkeznek be az alkalmazásba. Egyetlen bérlői alkalmazás esetében ez a regisztráció egyszerű: ez történik, amikor regisztrálja az alkalmazást az Azure-irányítópulton.
Több-bérlős alkalmazások esetén az alkalmazás kezdeti regisztrációja a fejlesztő által használt Microsoft Entra-bérlőben található. Amikor egy másik bérlő felhasználója először jelentkezik be az alkalmazásba, a Microsoft Entra-azonosító megkéri őket, hogy járuljanak hozzá az alkalmazás által kért engedélyekhez. Ha beleegyeznek, akkor létrejön egy szolgáltatásnévnek nevezett alkalmazás ábrázolása a felhasználó bérlőjében, és a bejelentkezési folyamat folytatódhat. A címtárban létrejön egy delegálás is, amely rögzíti a felhasználónak az alkalmazáshoz való hozzájárulását.
Feljegyzés
A közvetett CSP-szolgáltatóknak és a KÖZVETLEN CSP-partnereknek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálják a Partnerközpont API-kkal, ugyanazzal a hozzájárulási keretrendszerrel kell hozzájárulást adniuk a piactéri alkalmazásukhoz.
A hozzájárulási élményt az alkalmazás által kért engedélyek befolyásolják. A Microsoft Entra ID kétféle engedélyt támogat, csak alkalmazással és delegáltként.
- A csak alkalmazásra vonatkozó engedély közvetlenül az alkalmazás identitásához adható. Például engedélyt adhat egy alkalmazásnak a bérlői felhasználók listájának olvasására, függetlenül attól, hogy ki jelentkezett be az alkalmazásba.
- A delegált engedély lehetővé teszi, hogy az alkalmazás bejelentkezett felhasználóként működjön a felhasználó által elvégezhető műveletek egy részhalmazában. Például delegált engedélyt adhat egy alkalmazásnak a bejelentkezett felhasználó naptárának olvasására.
Egyes engedélyekhez egy normál felhasználó járul hozzá, míg másokhoz bérlői rendszergazdai hozzájárulás szükséges. A Microsoft Entra hozzájárulási keretrendszerével kapcsolatos további információkért lásd a Microsoft Entra alkalmazás-hozzájárulási élményének ismertetése című témakört.
- Hatókörök, engedélyek és hozzájárulás az Azure Active Directory 2.0-s verziójú végpontján
- A felhasználói és rendszergazdai hozzájárulás ismertetése
Több-bérlős alkalmazásmegnyitási (OAuth) jogkivonat-folyamat
A több-bérlős alkalmazások nyílt engedélyezési (OAuth) folyamatában az alkalmazás több-bérlős alkalmazásként jelenik meg a CPV- vagy CSP-partner bérlőjében.
A Microsoft API-k (Partnerközpont API-k, Graph API-k stb.) eléréséhez a CSP-partnereknek be kell jelentkezniük az alkalmazásba, és engedélyezniük kell az alkalmazás számára az API-k meghívását a nevükben.
Feljegyzés
A közvetett CSP-szolgáltatóknak és a közvetlen CSP-partnereknek, akik alkalmazásazonosítót és felhasználói hitelesítést használnak, és közvetlenül integrálódnak a Partnerközpont API-kkal, hozzájárulást kell adniuk a piactéri alkalmazásuknak ahhoz, hogy ugyanazt a hozzájárulási keretrendszert használják.
Az alkalmazás hozzájárulással és OAuth-támogatásokkal fér hozzá a partner erőforrásaihoz, például a Graph és a Partnerközpont API-khoz.
Több-bérlős alkalmazás létrehozása
A több-bérlős alkalmazásoknak meg kell felelnie a következő követelményeknek:
- Alkalmazásazonosítóval és titkos kulccsal rendelkező webalkalmazásnak kell lennie.
- Az implicit hitelesítési módnak ki kell kapcsolnia.
Emellett javasoljuk, hogy a következő ajánlott eljárásokat alkalmazza:
- Használjon tanúsítványt a titkos kulcshoz.
- Engedélyezze a feltételes hozzáférést az IP-tartományokra vonatkozó korlátozások alkalmazásához. Ez további funkciókat igényelhet a Microsoft Entra-bérlőn.
- Hozzáférési jogkivonat élettartam-szabályzatainak alkalmazása az alkalmazáshoz.
Jogkivonat beszerzésekor meg kell jeleníteni az alkalmazásazonosítót és a titkos kulcsot. A titkos kulcs lehet tanúsítvány.
Az alkalmazás konfigurálható több API meghívására, beleértve az Azure Resource Manager API-kat is. A Partnerközpont API-khoz minimálisan szükséges engedélyek a következők:
- Microsoft Entra ID delegált engedélyek: Hozzáférés a címtárhoz bejelentkezett felhasználóként
- Partnerközpont API-k delegált engedélyei: Hozzáférés
Az alkalmazás rögzíti a partner hozzájárulását
A több-bérlős alkalmazásoknak meg kell szereznie a partnerek hozzájárulását, és a hozzájárulást kell használniuk, és meg kell adniuk, hogy további hívásokat kezdeményezhessenek a Partnerközpont API-k felé. A hozzájárulás oAuth-hitelesítési kódfolyamaton keresztül szerezhető be.
A hozzájárulás beszerzéséhez a CPV-knek vagy a CSP-partnereknek létre kell készítenie egy olyan előkészítési webhelyet, amely elfogadhat egy hitelesítési kód megadását a Microsoft Entra ID-tól.
További információ: Hozzáférés engedélyezése az Azure Active és Directory webalkalmazásokhoz az OAuth 2.0 kódhozzáadási folyamat használatával.
Az alábbiakban egy több-bérlős alkalmazás lépéseit követve rögzítheti a CSP-partnerek beleegyezését, valamint egy újrafelhasználható jogkivonatot a Partnerközpont API-k felé irányuló hívások indításához.
A partneri hozzájárulás beszerzéséhez kövesse az alábbi lépéseket.
- Hozzon létre egy partnert az előkészítési webalkalmazásba, amely egy hozzájárulási hivatkozást üzemeltethet a partner számára, amelyre kattintva elfogadhatja a több-bérlős alkalmazáshoz való hozzájárulást.
- A CSP-partner a hozzájárulási hivatkozásra kattint. Például:
https://login.microsoftonline.com/common/oauth2/authorize?&client_id=<marketplaceappid>&response_ty
- A Microsoft Entra bejelentkezési oldala ismerteti azokat az engedélyeket, amelyeket a felhasználó nevében kap az alkalmazás. A CSP-partner dönthet úgy, hogy Rendszergazda ügynök vagy értékesítési ügynök hitelesítő adatait használja a bejelentkezéshez és a hozzájárulás jóváhagyásához. Az alkalmazás a bejelentkezéshez használt felhasználói szerepkör alapján kap engedélyeket.
- A hozzájárulás megadása után a Microsoft Entra ID létrehozza a CPV több-bérlős alkalmazásának szolgáltatásnevét a CSP-partner bérlőjében. Az alkalmazás OAuth-támogatást kap, hogy a felhasználó nevében járjon el. Ezek a támogatások lehetővé teszik, hogy a több-bérlős alkalmazás meghívja a Partnerközpont API-kat a partner nevében. Ezen a ponton a Microsoft Entra bejelentkezési lapja átirányítja a partnert az előkészítési webalkalmazásba. A webalkalmazás egy engedélyezési kódot kap a Microsoft Entra-azonosítótól. A webalkalmazást kérő partnernek az engedélyezési kóddal és az alkalmazásazonosítóval és titkos kulccsal kell meghívnia a Microsoft Entra ID Tokens API-t a frissítési jogkivonat beszerzéséhez.
- A frissítési jogkivonat biztonságos tárolása. A frissítési jogkivonat a partner nevében a Partnerközpont API-khoz való hozzáféréshez használt partneri hitelesítő adatok része. A frissítési jogkivonat beszerzése után titkosítsa és tárolja egy titkos kulcstárolóban, például az Azure Key Vaultban.
Jogkivonat-kérelem hívási folyamata
A CPV-knek vagy a CSP-partnerek alkalmazásának hozzáférési jogkivonatot kell beszerezniük, mielőtt hívásokat kezdeményeznek a Partnerközpont API-k felé. Ezek az API-k az erőforrás URL-címén https://api.partnercenter.microsoft.com
jelennek meg.
A CPV-alkalmazásoknak meg kell határozniuk, hogy melyik partnerfiókot kell megszemélyesíteniük a Partnerközpont API-k termék vagy összevont bejelentkezés alapján történő meghívásához. Az alkalmazás lekéri az adott partnerbérlmének titkosított frissítési jogkivonatát a titkos kulcstárolóból. A frissítési jogkivonatot használat előtt vissza kell fejteni.
Azon CSP-partnerek esetében, ahol csak egy bérlő ad hozzájárulást, a partnerfiók a CSP-partner bérlőjére hivatkozik.
A frissítési jogkivonat egy több célközönségből áll. Ez azt jelenti, hogy a frissítési jogkivonat használható egy jogkivonat lekérésére több célközönség számára a megadott hozzájárulás alapján. Ha például partneri hozzájárulást kapnak a Partnerközpont API-k és a Microsoft Graph API-k számára, a frissítési jogkivonat használatával mindkét API-hoz hozzáférési jogkivonatot kérhet. A hozzáférési jogkivonat rendelkezik a "nevében" megadással, és lehetővé teszi, hogy egy piactéri alkalmazás megszemélyesítse azt a partnert, aki hozzájárult az API-k meghívásához.
A hozzáférési jogkivonat egyszerre egyetlen célközönség számára is beszerezhető. Ha egy alkalmazásnak több API-hoz kell hozzáférnie, több hozzáférési jogkivonatot kell kérnie a célközönség számára. Hozzáférési jogkivonat kéréséhez az alkalmazásnak meg kell hívnia a Microsoft Entra ID Tokens API-t. Másik lehetőségként használhatja a Microsoft Entra SDK AuthenticationContext.AcquireTokenAsync szolgáltatását is, és a következő információkat adhatja meg:
- Erőforrás URL-címe, amely a meghívandó alkalmazás végponti URL-címe. A Microsoft Partner Center API erőforrás-URL-címe például az
https://api.partnercenter.microsoft.com
. - A webalkalmazás alkalmazásazonosítóját és titkos kulcsát tartalmazó alkalmazás hitelesítő adatai.
- A frissítési jogkivonat
Az eredményül kapott hozzáférési jogkivonat lehetővé teszi, hogy az alkalmazás hívásokat kezdeményezhessen az erőforrásban említett API-khoz. Az alkalmazás nem kérhet hozzáférési jogkivonatot olyan API-khoz, amelyek nem kaptak engedélyt a hozzájárulási kérelem részeként. A UserPrincipalName (UPN) attribútum értéke a felhasználói fiókok Microsoft Entra-felhasználóneve.
További szempontok
Feltételes hozzáférés
A felhőbeli erőforrások kezelésekor a felhőbiztonság egyik kulcsfontosságú eleme az identitás és a hozzáférés. A mobil első, felhőbeli világban a felhasználók bárhonnan hozzáférhetnek a szervezet erőforrásaihoz különböző eszközökkel és alkalmazásokkal. Már nem elég arra koncentrálni, hogy ki férhet hozzá egy erőforráshoz. A biztonság és a termelékenység közötti egyensúly elsajátításához figyelembe kell vennie az erőforrások elérését is. A Microsoft Entra feltételes hozzáféréssel kezelheti ezt a követelményt. A feltételes hozzáférés segítségével automatikus döntéshozatali képességeket valósíthat meg a felhőalkalmazásai eléréséhez különféle feltételek alapján.
További információ: Mi a feltételes hozzáférés a Microsoft Entra-azonosítóban?
IP-tartományalapú korlátozások
Korlátozhatja, hogy a jogkivonatok csak adott IP-címtartományra legyenek kibocsátva. Ez a funkció segít korlátozni a támadás felületét egy adott hálózatra.
Többtényezős hitelesítés
A többtényezős hitelesítés kényszerítése segít korlátozni a hitelesítő adatokkal kapcsolatos biztonsági helyzeteket azáltal, hogy a hitelesítő adatok ellenőrzését két vagy több űrlapra kényszeríti. Ez a funkció lehetővé teszi, hogy a Microsoft Entra ID biztonságos másodlagos csatornákon, például mobileszközökön vagy e-mailben ellenőrizze a hívó identitását a jogkivonatok kiadása előtt.
További információ: Hogyan működik: Azure Multi.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: