Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a cikk fejlesztőként segít megérteni az alkalmazásfejlesztési életciklus identitás- és hozzáférés-kezelési ajánlott eljárásait. Megkezdheti a biztonságos, Teljes felügyelet megfelelő alkalmazások fejlesztését identitás- és hozzáférés-kezeléssel (IAM).
A Teljes felügyelet biztonsági keretrendszer a explicit ellenőrzés, a legkevésbé emelt szintű hozzáférés és a jogsértés feltételezésének alapelveit használja. Biztonságossá teheti a felhasználókat és az adatokat, miközben olyan gyakori forgatókönyveket is lehetővé tesz, mint például az alkalmazásokhoz való hozzáférés a hálózat peremhálózatán kívülről. Csökkentse a biztonságos hálózati szegély mögötti interakciók implicit megbízhatóságára való támaszkodást, amely sebezhetővé válhat a biztonsági támadásokkal szemben.
Az iparág biztonsági trendjei hatással vannak az alkalmazáskövetelményekre
Bár Teljes felügyelet megvalósítása folyamatosan fejlődik, minden szervezet útja egyedi, és gyakran a felhasználói és alkalmazási identitással kezdődik. Az alábbiakban olyan szabályzatokat és vezérlőket talál, amelyeket számos szervezet rangsorol az Teljes felügyelet bevezetésekor:
- Hitelesítőadat-higiéniai és rotációs szabályzatok implementálása alkalmazásokhoz és szolgáltatásokhoz. Ha a támadók feltörik a titkos kulcsokat, például a tanúsítványokat vagy jelszavakat, akkor a rendszer mélysége lehetővé teszi a jogkivonatok beszerzését egy alkalmazás identitásának leple alatt. Ezután hozzáférnek a bizalmas adatokhoz, oldalirányban mozognak, és állandóságot hoznak létre.
- Erős hitelesítés bevezetése. A rendszergazdák olyan szabályzatokat konfigurálnak, amelyek többtényezős hitelesítést és jelszó nélküli FIDO2-eszközöket igényelnek.
- Az ellenőrzött közzétevő alkalmazásokra vonatkozó alacsony kockázatú engedélyekkel rendelkező alkalmazások felhasználói hozzájárulásának korlátozása. Az olyan API-kban lévő adatokhoz való hozzáférés, mint a Microsoft Graph, lehetővé teszi, hogy gazdag alkalmazásokat hozzon létre. A szervezetek és az ügyfelek a hozzájárulás megadása előtt kiértékelik az alkalmazás engedélykérelmeit és megbízhatóságát. Az informatikai rendszergazdák kifejezetten a közzétevő ellenőrzésének megkövetelésével végzik az ellenőrzés elvét. A minimális jogosultság elvét úgy alkalmazzák, hogy csak az alacsony kockázatú engedélyekhez engedélyezik a felhasználói hozzájárulást.
- Az örökölt protokollok és API-k letiltása. Az informatikai rendszergazdák blokkolják a régebbi hitelesítési protokollokat, például az "alapszintű hitelesítést", és modern protokollokat, például OpenID Csatlakozás és OAuth2 protokollokat igényelnek.
Megbízható, szabványalapú hitelesítési kódtárak használata
Ismert és elfogadott szabványokkal és kódtárakkal fejlesztheti az alkalmazást az alkalmazások hordozhatóságának és biztonságának növelése érdekében. A megbízható, szabványokon alapuló hitelesítési kódtárak naprakészek maradnak, így alkalmazásai a legújabb technológiákra és fenyegetésekre reagálnak. A szabványokon alapuló fejlesztési módszertanok áttekintést nyújtanak a támogatott szabványokról és azok előnyeiről.
Az ismert biztonsági résekkel és kiterjedt dokumentációval rendelkező protokollok használata helyett az alkalmazást olyan kódtárakkal fejlesztheti, mint a Microsoft Authentication Library (MSAL), a Microsoft Identity Web Authentication Library és az Azure Software Developer Kits (SDK). Az MSAL- és szoftverfejlesztői készletek (SDK) lehetővé teszik a funkciók használatát anélkül, hogy további kódot kellene írnia:
- Feltételes hozzáférés
- Eszközregisztráció és -kezelés
- Jelszó nélküli és FIDO2-hitelesítés
Az MSAL és a Microsoft Graph a legjobb választás a Microsoft Entra-alkalmazások fejlesztéséhez. Az MSAL-fejlesztők biztosítják a protokolloknak való megfelelést. A Microsoft optimalizálja az MSAL-t a hatékonyság érdekében, amikor közvetlenül a Microsoft Entra ID-val dolgozik.
Alkalmazások regisztrálása a Microsoft Entra-azonosítóban
Kövesse a Microsoft Entra ID alkalmazástulajdonságaival kapcsolatos ajánlott biztonsági eljárásokat. Az alkalmazásregisztráció a Microsoft Entra-azonosítóban kritikus fontosságú, mert az alkalmazás higiéniája helytelen konfigurálása vagy elévülése leállást vagy kompromisszumot eredményezhet.
A biztonságot javító alkalmazástulajdonságok közé tartozik az átirányítási URI, a hozzáférési jogkivonatok (az implicit folyamatokkal soha nem használható), a tanúsítványok és titkos kódok, az alkalmazásazonosító URI és az alkalmazás tulajdonjoga. Rendszeres biztonsági és állapotértékeléseket végezhet, hasonlóan a biztonsági fenyegetésmodellek kódértékeléseihez.
Identitás- és hozzáférés-kezelés delegálása
Az alkalmazást úgy fejlesztheti ki, hogy jogkivonatokat használjon az ügyfelek által definiált és kezelt explicit identitás-ellenőrzéshez és hozzáférés-vezérléshez. A Microsoft azt javasolja, hogy saját felhasználónév- és jelszókezelő rendszereket fejlessz ki.
Tartsa távol a hitelesítő adatokat a kódtól, hogy az informatikai rendszergazdák az alkalmazás leállása vagy ismételt üzembe helyezése nélkül is elforgathassák a hitelesítő adatokat. Az IAM delegálásához használjon olyan szolgáltatást, mint az Azure Key Vault vagy az Azure Managed Identityes .
A minimális jogosultsági hozzáférés megtervezése és megtervezése
A Teljes felügyelet egyik fő alapelve a minimális jogosultsági hozzáférés. Megfelelően fejlessze és dokumentálja az alkalmazást, hogy az ügyfelek sikeresen konfigurálhassák a minimális jogosultsági szabályzatokat. A jogkivonatok és API-k támogatásakor biztosítsa ügyfeleinek az alkalmazás által meghívt erőforrások megfelelő dokumentációját.
Mindig adja meg a felhasználó számára az adott feladatok elvégzéséhez szükséges legkisebb jogosultságot. Használjon például részletes hatóköröket a Microsoft Graphban.
Az API meghívásához és a szükséges engedélyek vizsgálatához vizsgálja meg a Graph Explorer hatóköreit. A legalacsonyabbtól a legmagasabb jogosultságig sorrendben jelennek meg. A lehető legalacsonyabb jogosultság kiválasztása biztosítja, hogy az alkalmazás kevésbé legyen sebezhető a támadásokkal szemben.
Kövesse a Biztonság növelése című útmutatót a legkisebb jogosultság elvével az alkalmazások támadási felületének csökkentéséhez, és a biztonsági rések robbanási sugarának sérülése esetén.
Jogkivonatok biztonságos kezelése
Amikor az alkalmazás jogkivonatokat kér a Microsoft Entra-azonosítótól, biztonságosan kezelheti őket:
- Ellenőrizze, hogy az alkalmazás hatóköre megfelelően van-e beállítva.
- Megfelelően gyorsítótárazza őket.
- Használja őket a kívánt módon.
- A jogkivonatokkal kapcsolatos problémákat hibaosztályok keresésével és a megfelelő válaszok kódolásával kezelheti.
- A hozzáférési jogkivonatok közvetlen olvasása helyett tekintse meg a hatókörüket és a részleteket a jogkivonat-válaszokban.
Folyamatos hozzáférés-kiértékelés (CAE) támogatása
A folyamatos hozzáférés-kiértékelés (CAE) lehetővé teszi, hogy a Microsoft Graph gyorsan megtagadja a hozzáférést a biztonsági eseményekre válaszul. Ilyenek például a bérlői rendszergazdai tevékenységek:
- Felhasználói fiók törlése vagy letiltása.
- Többtényezős hitelesítés (MFA) engedélyezése egy felhasználó számára.
- A felhasználó által kibocsátott jogkivonatok explicit visszavonása.
- Nagy kockázatú állapotba lépő felhasználó észlelése.
Ha támogatja a CAE-t, a Microsoft Entra ID-nak a Microsoft Graph meghívásával kapcsolatos problémáinak jogkivonatai a szokásos 60–90 perc helyett 24 órán át érvényesek. A CAE rugalmasságot ad az alkalmazáshoz azáltal, hogy lehetővé teszi az MSAL számára a jogkivonat proaktív frissítését jóval a jogkivonat lejárata előtt.
Alkalmazásszerepkörök definiálása a felhasználókhoz és csoportokhoz rendelendő informatikai részleg számára
Az alkalmazásszerepkörök segítenek a szerepköralapú hozzáférés-vezérlés megvalósításában az alkalmazásokban. Az alkalmazásszerepkörök gyakori példái közé tartozik a Rendszergazda istrator, az Olvasó és a Közreműködő. A szerepköralapú hozzáférés-vezérlés lehetővé teszi, hogy az alkalmazás a meghatározott szerepkörök alapján korlátozza a felhasználókra vagy csoportokra vonatkozó bizalmas műveleteket.
Igazolt közzétevővé válás
Igazolt közzétevőként ön a Microsoft Partner Network-fiókjával igazolja személyazonosságát, és elvégezte a létrehozott ellenőrzési folyamatot. A több-bérlős alkalmazások fejlesztői számára ellenőrzött közzétevőként megbízhatónak kell lennie az ügyfélbérlők informatikai rendszergazdáival.
Következő lépések
- A jogkivonatok testreszabása a Microsoft Entra-jogkivonatokban kapott információkat ismerteti. Megtudhatja, hogyan szabhatja testre a jogkivonatokat a rugalmasság és az ellenőrzés javítása érdekében, miközben az alkalmazásbiztonság Teljes felügyelet minimális jogosultsággal növelve.
- A csoportjogcímek és alkalmazásszerepkörök konfigurálása jogkivonatokban azt ismerteti, hogyan konfigurálhatja az alkalmazásokat alkalmazásszerepkör-definíciókkal, és hogyan rendelhet hozzá biztonsági csoportokat az alkalmazásszerepkörökhöz. Ez a megközelítés javítja a rugalmasságot és a szabályozást, miközben növeli az alkalmazás Teljes felügyelet minimális jogosultsággal rendelkező biztonságot.
- Az Teljes felügyelet identitáskezelési megközelítéssel rendelkező alkalmazások létrehozása áttekintést nyújt az engedélyekről és az ajánlott eljárások eléréséről.
- Az identitásintegrálási útmutató bemutatja, hogyan integrálhatók biztonsági megoldások a Microsoft-termékekkel Teljes felügyelet megoldások létrehozásához.
- Az alkalmazásregisztrációval, engedélyezéssel és hozzáféréssel kapcsolatos fejlesztői és rendszergazdai feladatok segítenek az informatikai szakemberekkel való hatékonyabb együttműködésben.
- Az egy- és több-bérlős alkalmazások támogatott identitás- és fióktípusai azt ismertetik, hogyan választhatja ki, hogy az alkalmazás csak a Microsoft Entra-azonosítójú bérlői, bármely Microsoft Entra-bérlői vagy személyes Microsoft-fiókkal rendelkező felhasználókat engedélyezi-e.
- Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.
- Az API Protection ismerteti az API regisztrációval, engedélyek és hozzájárulások meghatározásával, valamint a hozzáférés kényszerítésével kapcsolatos ajánlott eljárásokat a Teljes felügyelet célok elérése érdekében.