Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ahogy megtanulja, hogyan fejleszthet a Zero Trust elvei szerint, ez a cikk további útmutatást nyújt, kezdve azzal, hogy szerezze meg az erőforrásokhoz való hozzáférés engedélyét, fejlessze ki a delegált engedélyek stratégiáját és az alkalmazásengedélyek stratégiáját. Fejlesztőként segít a legjobb engedélyezési, engedély- és hozzájárulási modellek implementálásában az alkalmazásokhoz.
Az engedélyezési logikát olyan alkalmazásokban vagy megoldásokban implementálhatja, amelyek hozzáférés-vezérlést igényelnek. Ha az engedélyezési megközelítések egy hitelesített entitásra vonatkozó információkra támaszkodnak, az alkalmazások kiértékelhetik a hitelesítés során kicserélt információkat (például egy biztonsági jogkivonaton belül megadott információkat). Ha egy biztonsági jogkivonat nem tartalmaz információt, az alkalmazás hívásokat kezdeményezhet külső erőforrásokhoz.
Nem kell teljesen beágyaznia az engedélyezési logikát az alkalmazásba. Dedikált engedélyezési szolgáltatások használatával központosíthatja az engedélyezés megvalósítását és kezelését.
Ajánlott eljárások az engedélyekhez
A Microsoft Entra ID-ban a legelfogadottabb alkalmazások a hozzájárulási és engedélyezési ajánlott eljárásokat követik. Tekintse át az ajánlott eljárásokat a Microsoft Graph és a Microsoft Graph engedélyekkel kapcsolatos hivatkozásainak használatához, és ismerje meg, hogyan lehet átgondolni az engedélykérelmeket.
Minimális jogosultság alkalmazása. Csak a szükséges engedélyeket kérje. A fokozatos hozzájárulás használatával részletes engedélyeket kérhet megfelelő időben. Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.
Forgatókönyvek alapján használja a megfelelő engedélytípust. Kerülje az alkalmazás és a delegált engedélyek használatát ugyanabban az alkalmazásban. Ha olyan interaktív alkalmazást hoz létre, amelyben egy bejelentkezett felhasználó jelen van, használjon delegált engedélyeket. Ha azonban az alkalmazás bejelentkezett felhasználó (például háttérszolgáltatás vagy démon) nélkül fut, használja az alkalmazásengedélyeket.
Adja meg a szolgáltatási feltételeket és az adatvédelmi nyilatkozatokat. A felhasználói hozzájárulási felület felfedi a használati feltételeket és az adatvédelmi nyilatkozatot a felhasználóknak, hogy segítsen nekik tudni, hogy megbízhatnak az alkalmazásában. Különösen kritikus fontosságúak a felhasználóknak szánt töbérlős alkalmazások esetében.
Mikor kell engedélyt kérni?
Egyes engedélyekhez a rendszergazdának hozzájárulást kell adnia egy bérlőn belül. A rendszergazdai hozzájárulási végpont használatával engedélyeket adhatnak egy teljes bérlőnek. Engedélyek vagy hatókörök kéréséhez kövesse ezeket a modelleket.
Dinamikus felhasználói hozzájárulás megvalósítása bejelentkezéskor vagy az első hozzáférési jogkivonat-kérelemben. A dinamikus felhasználói hozzájárulás nem igényel semmit az alkalmazásregisztrációban. Bizonyos feltételek mellett megadhatja a szükséges hatóköröket (például amikor először jelentkezik be egy felhasználóba). Miután ezt az engedélyt kérte, és megkapta a hozzájárulást, nem kell engedélyt kérnie. Ha azonban nem kap dinamikus felhasználói hozzájárulást a bejelentkezéskor vagy az első hozzáféréskor, akkor az átmegy az engedélykezelési felületen.
Igény szerint növekményes felhasználói hozzájárulás kérése. A dinamikus felhasználói hozzájárulással kombinált növekményes hozzájárulással nem kell egyszerre minden engedélyt kérnie. Igényelhet néhány engedélyt. Amikor a felhasználó az alkalmazás különböző funkcióira lép, ön további hozzájárulást kér. Ez a megközelítés növelheti a felhasználó kényelmi szintjét, mivel fokozatosan engedélyeket adnak az alkalmazásnak. Ha például az alkalmazás OneDrive-hozzáférést kér, az gyanút kelthet, ha Naptár-hozzáférést is kér. Ehelyett később kérje meg a felhasználót, hogy adjon hozzá naptáremlékeztetőket a OneDrive-on.
Használja a hatókört
/.default. A/.defaulthatókör gyakorlatilag utánozza a régi alapértelmezett felületet, amely megvizsgálta, hogy mit tett az alkalmazásregisztrációban, kitalálta, hogy milyen hozzájárulásokra van szüksége, majd a még nem megadott összes hozzájárulást kérte. Ehhez nem kell megadnia a kódban szükséges engedélyeket, mert azok szerepelnek az alkalmazásregisztrációban.
Igazolt közzétevővé válás
A Microsoft ügyfelei néha nehezen döntik el, hogy egy alkalmazás mikor férhet hozzá a Microsoft Identitásplatformhoz egy felhasználó bejelentkezésével vagy egy API hívásával. A Zéró bizalom alapelvek alkalmazása során a következőt szeretnék:
- Nagyobb láthatóság és vezérlés.
- Proaktívabb és könnyebb reaktív döntések.
- Olyan rendszerek, amelyek biztonságosan tartják az adatokat, és csökkentik a döntési terheket.
- Gyorsított alkalmazásbevezetés megbízható fejlesztőknek.
- Korlátozott hozzájárulás a közzétevő által ellenőrzött, alacsony kockázatú engedélyekkel rendelkező alkalmazásokhoz.
Bár a Microsoft Graphhoz hasonló API-kban az adatokhoz való hozzáférés lehetővé teszi a gazdag alkalmazások létrehozását, a szervezet vagy az ügyfél kiértékeli az alkalmazás által kért engedélyeket, valamint az alkalmazás megbízhatóságát.
A Microsoft Verified Publisherré válással egyszerűbb felhasználói élményt biztosíthat ügyfeleinek az alkalmazáskérések elfogadásában. Ha egy alkalmazás ellenőrzött közzétevőtől származik, a felhasználók, az informatikai szakemberek és az ügyfelek tudják, hogy olyan személytől származik, akivel a Microsoft üzleti kapcsolatban áll. A közzétevő neve mellett egy kék pipa jelenik meg (az alábbi Engedélykérési kérelem példa 5. összetevője). Tekintse meg a Microsoft Entra alkalmazás-hozzájárulási felületén található összetevőtáblát). A felhasználó további információk megtekintéséhez kiválaszthatja az ellenőrzött közzétevőt a hozzájárulási kérésből.
Ha Ön igazolt közzétevő, a felhasználók és az informatikai szakemberek megbíznak az alkalmazásban, mert Ön ellenőrzött entitás. A közzétevő ellenőrzése továbbfejlesztett védjegyezést biztosít az alkalmazás számára, valamint nagyobb átláthatóságot, kisebb kockázatot és zökkenőmentesebb vállalati bevezetést biztosít az ügyfelek számára.
Következő lépések
- A delegált engedélystratégia segítségével megvalósíthatja az engedélyek kezelésének legjobb módszerét az alkalmazásban, és nulla megbízhatósági elvekkel fejleszthet.
- Az alkalmazásengedélyezési stratégia kialakításával eldöntheti, hogy milyen alkalmazásengedély-megközelítést alkalmaz a hitelesítő adatok kezelésére.
- Alkalmazzon Zero Trust identitás- és hozzáférés-kezelési fejlesztési eljárásokat az alkalmazásfejlesztési életciklusban a biztonságos alkalmazások létrehozásához.
- Az alkalmazástulajdonságok biztonsági ajánlott eljárásai az átirányítási URI-t, a hozzáférési jogkivonatokat, a tanúsítványokat és titkos kulcsokat, az alkalmazásazonosító URI-t és az alkalmazás tulajdonjogát ismertetik.
- Tokenek testreszabása ismerteti az információkat, amelyeket a Microsoft Entra tokenekben kaphat. Ez a cikk bemutatja, hogyan szabhatja testre a tokeneket a rugalmasság és a szabályozás javítása érdekében, miközben a legkisebb jogosultságokkal rendelkező Zero Trust biztonságot növeli.
- A csoportjogcímek és alkalmazásszerepkörök tokenekben való konfigurálása bemutatja, hogyan konfigurálhatja alkalmazásait alkalmazásszerepkör-definíciókkal, és hogyan rendelhet biztonsági csoportokat alkalmazásszerepkörökhöz. Ezek a módszerek segítenek a rugalmasság és az ellenőrzés javításában, miközben a minimális jogosultsággal rendelkező alkalmazásmegbízhatósági biztonságot növelik.
- API védelem ismerteti az API regisztrációval, az engedélyek és hozzájárulások meghatározásával, valamint a hozzáférés szigorításával kapcsolatos legjobb gyakorlatokat a Zero Trust célok elérése érdekében.
- Az erőforrások elérési engedélyeinek megszerzése segít megérteni, hogyan biztosíthatja legjobban a Zero Trust megközelítést, amikor az alkalmazásához erőforrás-hozzáférési engedélyeket szerez.