Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fejlesztőként jól kihasználhatja a Microsoft Authentication Library (MSAL) által kiegészített szoftverfejlesztésre vonatkozó iparági szabványokat. Ebben a cikkben áttekintést nyújtunk a microsoftos identitásplatformon támogatott szabványokról és azok előnyeiről. Győződjön meg arról, hogy a felhőalkalmazások megfelelnek a nulla megbízhatósági követelményeknek az optimális biztonság érdekében.
Mi a helyzet a protokollokkal?
A protokollok implementálásakor vegye figyelembe azokat a költségeket, amelyek magukban foglalják a kód írásának idejét, amely teljes mértékben naprakész az ajánlott eljárásokkal, és az OAuth 2.0 ajánlott eljárásait követi a biztonságos megvalósítás érdekében. Ha közvetlenül a Microsoft Entra ID-ra vagy a Microsoft Identity-ra épít, használjon egy jól karbantartott (az MSAL-t előnyben részesítő) kódtárat.
Optimalizáljuk az MSALs-eket a Microsoft Entra-azonosítók létrehozásához és használatához. Ha a környezet nem rendelkezik MSAL-ral, vagy a saját kódtárában nem rendelkezik feloldott képességekkel, a Microsoft identitásplatformjával fejlesztheti az alkalmazást. Építs az OAuth 2.0 képességeire és az OpenID Connectre. Fontolja meg a protokollra való helyes visszatérés költségeit.
Hogyan támogatja a Microsoft identitásplatform a szabványokat?
A Zero Trust leghatékonyabb és leghatékonyabb elérése érdekében a Microsoft identitásplatform által támogatott iparági szabványoknak megfelelő alkalmazásokat fejleszthet:
Az OAuth 2.0 és az OpenID Connect
Az engedélyezés iparági protokolljaként az OAuth 2.0 lehetővé teszi a felhasználók számára, hogy korlátozott hozzáférést biztosítsanak a védett erőforrásokhoz. Az OAuth 2.0 a Hypertext Transfer Protocol (HTTP) használatával választja el az ügyfélszerepkört az erőforrás tulajdonosától. A kliensek tokenekkel férnek hozzá a védett erőforrásokhoz egy erőforráskiszolgálón.
Az OpenID Connect-szerkezetek alkalmazásával a Microsoft Entra-bővítmények növelhetik a biztonságot. Ezek a Microsoft Entra-bővítmények a leggyakoribbak:
- A feltételes hozzáférés hitelesítési környezete lehetővé teszi az alkalmazások számára, hogy részletes szabályzatokat alkalmazzanak a bizalmas adatok és műveletek védelmére, és nem csak az alkalmazás szintjén.
- A folyamatos hozzáférés-kiértékelés (CAE) lehetővé teszi, hogy a Microsoft Entra-alkalmazások feliratkozzanak a kritikus eseményekre a kiértékeléshez és a végrehajtáshoz. A CAE kockázatos események kiértékelését tartalmazza, például letiltott vagy törölt felhasználói fiókokat, jelszómódosításokat, jogkivonat-visszavonásokat és észlelt felhasználókat.
Ha az alkalmazások olyan továbbfejlesztett biztonsági funkciókat használnak, mint a CAE és a feltételes hozzáférés hitelesítési környezete, a jogcímekkel kapcsolatos problémák kezeléséhez kódokat kell tartalmazniuk. Nyílt protokollokkal jogcímekkel kapcsolatos kihívásokat és jogcímkérelmeket használhat más ügyfélképességek meghívásához. Például azt jelzi az alkalmazásoknak, hogy egy rendellenesség miatt meg kell ismételniük a Microsoft Entra-azonosítóval való interakciót. Egy másik forgatókönyv az, amikor a felhasználó már nem felel meg a korábban hitelesített feltételeknek. Ezekhez a bővítményekhez az elsődleges hitelesítési kódfolyamatok megzavarása nélkül is kódokat használhat.
Security Assertions Markup Language (SAML)
A Microsoft identitásplatformja az SAML 2.0 használatával teszi lehetővé, hogy a Zero Trust-alkalmazások egyszeri bejelentkezési (SSO) felhasználói élményt nyújtsanak. A Microsoft Entra ID-ban az SSO- és a Single Sign-Out SAML-profilok ismertetik, hogyan használja az identitásszolgáltató a SAML-állításokat, protokollokat és kötéseket. Az SAML protokoll megköveteli, hogy az identitásszolgáltató (a Microsoft identitásplatformja) és a szolgáltató (az ön alkalmazása) információt cseréljen magukról. Amikor regisztrálja a Zero Trust alkalmazást a Microsoft Entra-azonosítóval, összevonással kapcsolatos információkat regisztrál, amelyek tartalmazzák az alkalmazás átirányítási URI-ját és metaadat-URI-ját a Microsoft Entra-azonosítóval.
Az MSAL előnyei a protokollok felett
A Microsoft optimalizálja az MSAL-t a Microsoft identitásplatformhoz, és a legjobb élményt nyújtja az egyszeri bejelentkezéshez, a tokenek gyorsítótárazásához és a kiesésekkel szembeni rugalmassághoz. Mivel az MSAL-ek általánosan elérhetők, továbbra is bővítjük a nyelvek és keretrendszerek lefedettségét.
Az MSAL használatával jogkivonatokat szerezhet be olyan alkalmazástípusokhoz, amelyek webalkalmazásokat, webes API-kat, egyoldalas alkalmazásokat, mobil- és natív alkalmazásokat, démonokat és kiszolgálóoldali alkalmazásokat tartalmaznak. Az MSAL gyors és egyszerű integrációt tesz lehetővé a felhasználókhoz és adatokhoz való biztonságos hozzáféréssel a Microsoft Graph és API-k segítségével. Az osztályon belüli legjobb hitelesítési libek segítségével bármely célközönséget elérheti, és követheti a Microsoft biztonsági fejlesztési életciklusát.
Következő lépések
- A Microsoft identitásplatform-hitelesítési kódtárai az alkalmazástípusok támogatását ismertetik.
- A Nulla megbízhatósági alapelvek használatával történő fejlesztés segít megérteni a Nulla megbízhatóság alapelveit, így javíthatja az alkalmazás biztonságát.
- Biztonságos alkalmazások létrehozásához használja a Zero Trust identitás- és hozzáférés-kezelési fejlesztési ajánlott eljárásait az alkalmazásfejlesztési életciklusban.
- A Zero Trust megközelítést alkalmazva az identitásra vonatkozó alkalmazások létrehozása áttekintést nyújt az engedélyek és a hozzáférés legjobb gyakorlatairól.
- Az alkalmazásregisztrációval, engedélyezéssel és hozzáféréssel kapcsolatos fejlesztői és rendszergazdai feladatok segítenek az informatikai szakemberekkel való hatékonyabb együttműködésben.
- Az API Protection bemutatja az API regisztrációval, engedélyek és hozzájárulások meghatározásával, valamint a hozzáférés kikényszerítésével kapcsolatos ajánlott eljárásokat a zéró megbízhatósági célok elérése érdekében.
- Tokenek testreszabása ismerteti az információkat, amelyeket a Microsoft Entra tokenekben kaphat. Ez a cikk azt ismerteti, hogy a token testreszabás hogyan javítja a rugalmasságot és a vezérlést, miközben a Zero Trust biztonságot növeli a minimális jogosultság elvét követve az alkalmazások esetében.
- A csoportjogcímek és alkalmazásszerepkörök konfigurálása jogkivonatokban azt ismerteti, hogyan konfigurálhat alkalmazásokat alkalmazásszerepkör-definíciókkal, és hogyan rendelhet biztonsági csoportokat az alkalmazásszerepkörökhöz. Ez a megközelítés javítja a rugalmasságot és a szabályozást, miközben növeli az alkalmazás nulla megbízhatósági biztonságát a minimális jogosultsággal.