Erőforrásokhoz való hozzáférés engedélyezésének beszerzése
Ez a cikk fejlesztőként segít megérteni, hogyan biztosíthatja a legjobban Teljes felügyelet az alkalmazás erőforrás-hozzáférési engedélyeinek beszerzésekor. A védett erőforrások, például az e-mail- vagy naptáradatok eléréséhez az alkalmazásnak szüksége van az erőforrás tulajdonosának engedélyére. Az erőforrás tulajdonosa jóváhagyhatja vagy elutasíthatja az alkalmazás kérését. Az alkalmazás akkor kap hozzáférési jogkivonatot, ha az erőforrás tulajdonosa jóváhagyást ad; az alkalmazás nem kap hozzáférési jogkivonatot, ha az erőforrás tulajdonosa tagadja a hozzáférést.
Fogalmi áttekintés
A Microsoft Identitásplatform használhatja az alkalmazások hitelesítésére és engedélyezésére, valamint az engedélyek és hozzájárulások kezelésére. Kezdjük néhány fogalommal:
A hitelesítés (néha rövidítve AuthN-ra) annak bizonyítása, hogy az igényelt identitás pontos. A Microsoft Identitásplatform az OpenID Csatlakozás protokollt használja a hitelesítés kezeléséhez. Az engedélyezés (néha az AuthZ rövidítése) egy hitelesített fél számára engedélyt ad arra, hogy tegyen valamit. Meghatározza, hogy a hitelesített fél milyen adatokhoz férhet hozzá. A Microsoft Identitásplatform az OAuth2.0 protokollt használja az engedélyezés kezeléséhez. Az engedélyezési lehetőségek közé tartoznak a hozzáférés-vezérlési listák (ACL), a szerepköralapú hozzáférés-vezérlés és az attribútumhozzáférés-vezérlés (ABAC). A hitelesítés gyakran az engedélyezés egyik tényezője.
Az adatok eléréséhez az alkalmazás delegált hozzáférést (bejelentkezett felhasználó nevében eljárva) vagy közvetlen hozzáférést használhat (csak az alkalmazás saját identitásaként). A delegált hozzáféréshez delegált engedélyekre (más néven hatókörökre) van szükség; az ügyfélnek és a felhasználónak külön engedéllyel kell rendelkeznie a kérés végrehajtásához. A közvetlen hozzáférés alkalmazásengedélyeket (más néven alkalmazásszerepköröket) igényelhet; amikor alkalmazásszerepköröket adnak az alkalmazásoknak, alkalmazásengedélyeknek is nevezhetők.
A delegált hozzáféréssel használt delegált engedélyek lehetővé teszik, hogy az alkalmazások a felhasználó nevében járjanak el, és csak azt érhessék el, amelyhez a felhasználó hozzáférhet. A közvetlen hozzáféréssel használt alkalmazásengedélyek lehetővé teszik, hogy az alkalmazások hozzáférjenek minden olyan adathoz, amelyhez az engedély társítva van. Csak a rendszergazdák és a szolgáltatásnevek tulajdonosai járulhatnak hozzá az alkalmazásengedélyekhez .
Az alkalmazások hozzájáruláson keresztül kapnak engedélyeket; a felhasználók vagy rendszergazdák engedélyezik az alkalmazás számára a védett erőforrások elérését. A hozzájárulási kérés felsorolja az alkalmazás által igényelt engedélyeket, valamint a közzétevő adatait.
Az erőforrásalkalmazás-tulajdonosok előhitelesíthetik az ügyfélalkalmazásokat (az Azure Portalon vagy a PowerShell és a Microsoft Graphhoz hasonló API-k használatával). Az erőforrások engedélyeit anélkül adhatják meg, hogy a felhasználóknak meg kellene jelenniük az előre fel lett adva engedélyekre vonatkozó hozzájárulási kérésnek.
A delegált és az alkalmazásengedély közötti különbség
Az alkalmazások két módban működnek: ha egy felhasználó jelen van (delegált engedély), és ha nincs felhasználó (alkalmazásengedély). Amikor egy felhasználó egy alkalmazás előtt van, önnek kell eljárnia az adott felhasználó nevében; nem szabad az alkalmazás nevében eljárnia. Amikor egy felhasználó irányítja az alkalmazást, Ön lesz az adott felhasználó meghatalmazottja. Engedélyt kap arra, hogy a jogkivonat által azonosított felhasználó nevében járjon el.
A szolgáltatás típusú alkalmazások (háttérfeladatok, démonok, kiszolgáló–kiszolgáló folyamatok) nem rendelkeznek olyan felhasználókkal, akik azonosíthatják magukat, vagy jelszót írhatnak be. Alkalmazásengedélyt igényelnek ahhoz, hogy saját nevében járjanak el (a szolgáltatásalkalmazás nevében).
ajánlott eljárások az alkalmazásengedélyezési Teljes felügyelet
Az engedélyezési módszer összetevőként hitelesítéssel fog rendelkezni, amikor az alkalmazáshoz és a hívott erőforráshoz csatlakozó felhasználóhoz csatlakozik. Amikor az alkalmazás egy felhasználó nevében jár el, nem bízunk abban, hogy egy hívó alkalmazás megmondja, ki a felhasználó, vagy hagyja, hogy az alkalmazás döntse el, ki a felhasználó. A Microsoft Entra ID ellenőrzi és közvetlenül megadja a jogkivonatban szereplő felhasználó adatait.
Ha engedélyeznie kell az alkalmazás számára egy API meghívását vagy az alkalmazás engedélyezését, hogy az alkalmazás hozzáférhessen egy erőforráshoz, a modern engedélyezési sémák engedély- és hozzájárulási keretrendszeren keresztüli engedélyezést igényelhetnek. Ajánlott biztonsági eljárások az olyan alkalmazástulajdonságokhoz , amelyek tartalmazzák az átirányítási URI-t, a hozzáférési jogkivonatokat (implicit folyamatokhoz), a tanúsítványokat és titkos kulcsokat, az alkalmazásazonosító URI-t és az alkalmazás tulajdonjogát.
Következő lépések
- A jogkivonatok testreszabása ismerteti a Microsoft Entra-jogkivonatokban kapott információkat, valamint azt, hogy hogyan szabhatja testre a jogkivonatokat a rugalmasság és a szabályozás javítása érdekében, miközben a minimális jogosultsággal rendelkező, az alkalmazás zéró megbízhatósági biztonságát növeli.
- A csoportjogcímek és alkalmazásszerepkörök jogkivonatokban való konfigurálása bemutatja, hogyan konfigurálhatja alkalmazásait alkalmazásszerepkör-definíciókkal, és hogyan rendelhet hozzá biztonsági csoportokat az alkalmazásszerepkörökhöz a rugalmasság és az ellenőrzés javítása érdekében, miközben a minimális jogosultsággal rendelkező alkalmazásmegbízhatóság nélküli biztonság növelése érdekében.
- A delegált engedélystratégia fejlesztése segít a legjobb módszer megvalósításában az engedélyek alkalmazásbeli kezeléséhez, és Teljes felügyelet alapelveket használva fejleszthet.
- Az alkalmazásengedélyezési stratégia fejlesztése segít eldönteni, hogy az alkalmazásengedélyek milyen megközelítést alkalmaznak a hitelesítő adatok kezelésére.
- Az alkalmazás identitásának hitelesítő adatainak megadása, ha nincs felhasználó, elmagyarázza, hogy az Azure-beli szolgáltatások (nem felhasználói alkalmazások) esetében a legjobb Teljes felügyelet ügyfél-hitelesítő adatok az Azure-erőforrások felügyelt identitásai.
- Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.
- Használjon Teljes felügyelet identitás- és hozzáférés-kezelési fejlesztési ajánlott eljárásokat az alkalmazásfejlesztési életciklusban a biztonságos alkalmazások létrehozásához.
- A Teljes felügyelet identitáskezelési megközelítéssel rendelkező alkalmazások létrehozása a Teljes felügyelet identitás- és hozzáférés-kezelési fejlesztési ajánlott eljárásokról szóló cikkből folytatódik, amely segít Teljes felügyelet identitáskezelési megközelítés használatát a szoftverfejlesztési életciklusban (SDLC).
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: