Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk fejlesztőként segít az alkalmazások biztonságának javításában a folyamatos hozzáférés-értékeléssel. Megtudhatja, hogyan támogathatja a Zero Trust modellt az alkalmazásaiban, amelyek engedélyt kapnak az erőforrások elérésére, amikor hozzáférési jogkivonatokat szereznek be a Microsoft Entra ID-ból.
Amikor a Microsoft Entra ID kiadja ezeket a hozzáférési jogkivonatokat, teljes mértékben kiértékeli az engedélyezés feltételeit. A Microsoft Entra ID szabványos engedélyezési műveleteket hajt végre, például a hozzájárulás biztosítását, minden alkalommal, amikor jogkivonatokat ad ki a kezdeti jogkivonat-kérelmekhez, és amikor frissíti a jogkivonatokat.
A Microsoft Entra ID elsősorban JSON webes jogkivonatokat (JWT) használ a hozzáférési jogkivonatokhoz. Az erőforrás API-k dekódolhatják, érvényesíthetik és értelmezhetik a JWT-t anélkül, hogy vissza kellene hívniuk a Microsoft Entra-azonosítót az erőforrás API minden hívására. A JWT szabvány meghatároz egy exp állítást, amely azonosítja azt a lejárati időt, amely után vagy amelykor nem szabad elfogadni a JWT-jogkivonatot feldolgozásra. Alapértelmezés szerint a Microsoft Entra-jogkivonatok kiadás után 60–90 perccel lejárnak az érvényességük. Győződjön meg arról, hogy az alkalmazások gyorsítótáraznak és használnak hozzáférési jogkivonatokat arra az időszakra, amíg a Microsoft Entra ID nem értékeli ki az engedélyezési feltételeket.
A jogkivonat kiállításán kívüli feltételek kiértékelése
Amikor a Microsoft Entra ID jogkivonatokat ad ki, késések léphetnek fel a felhasználói állapotok változása és a szabályzat-változtatás érvényesítése között. A csökkentett jogkivonat-élettartam-stratégia ronthatja a felhasználói élményt és a megbízhatóságot anélkül, hogy megszüntetné a kockázatokat.
Az egyik megoldás a védett erőforrásokra irányuló minden hívás feltételeinek kiértékelése. Az érvényesítés megvalósításának leggyakoribb módja a token introspection. A token introspection nem JWT formátumot használ a tokenhez. Ehelyett a token introspection egy átlátszatlan sztringet használ, amelyet az erőforrás API nem tud értelmezni. Az erőforrás API minden híváskor elküldi a tokent az identitásszolgáltatónak. Az identitásszolgáltató ezután ellenőrzi a feltételeket, és visszaadja azokat az adatokat, amelyeket az erőforrás API felhasználhat a művelet végrehajtásához. Ez a folyamat költséges lehet, mivel minden API-híváshoz hozzáad egy másik oda-vissza webes kérést.
A költségek Folyamatos Hozzáférés Kiértékeléssel (CAE) történő orvoslásához az erőforrás API figyelheti azokat az eseményeket, amelyeket a Microsoft Entra ID küld a Microsoft Entra ID által az erőforrás API számára kibocsátott jogkivonatokkal kapcsolatban. Amikor például az alkalmazás meghívja a Microsoft Graph API-t, a Microsoft Graph ellenőrizheti, hogy kapott-e eseményeket a Microsoft Entra ID-től a jogkivonattal kapcsolatban. Ha az eredeti hitelesítés feltételei eltérőek, és a felhasználónak újra kell hitelesítenie, a Microsoft Graph hibát ad vissza a hívó alkalmazásnak.
A Microsoft Entra ID eseményt küld a CAE-kompatibilis Microsoft-erőforrásoknak, amikor az események bármelyike bekövetkezik:
- Letiltott vagy törölt felhasználói fiók
- Felhasználói jelszó módosítása vagy alaphelyzetbe állítása
- Engedélyezve van a többtényezős hitelesítés
- A rendszergazda kifejezetten visszavonja a felhasználó összes frissítési tokenjeit.
- A Microsoft Entra ID Protection emelt szintű felhasználói kockázatot észlel
Emellett a CAE-kompatibilis Microsoft-erőforrások helyalapú feltételes hozzáférési szabályzatokat is kikényszeríthetnek.
Az alkalmazás biztonságának és rugalmasságának javítása a CAE-vel
A Microsoft Entra folyamatos hozzáférés-kiértékelési videóra épülő következő Biztonságosabb és rugalmasabb alkalmazások című videó bemutatja, hogy egy ügyfélalkalmazást kell létrehozni CAE-támogatással.
A videóbemutató bemutatja, hogyan működnek az alkalmazások a modern hitelesítéssel, és ezek a lépések:
- Az alkalmazás jogkivonatokat kér a Microsoft-fióktól
- Az alkalmazás hozzáférési jogkivonatot kap
- Alkalmazáshívások API/Hitelesítés JWT-vel
- Szemlélődés
- Megosztott jelek és események
- Kritikus esemény kiértékelése
- Feltételes hozzáférési szabályzat kiértékelése
- Az API folyamatos hozzáférésének kiértékelése
- Jogcímekkel kapcsolatos kihívás
A folyamatos hozzáférés-kiértékelés lehetővé teszi, hogy az alkalmazás a hozzáférési jogkivonat élettartamán kívül visszavont erőforráshoz férhessen hozzá. Egy alkalmazás például rendelkezik egy tokennel, amely még 75 percig érvényes. A felhasználó magas kockázatú állapotban van a feltört hitelesítő adatok miatt. A CAE letiltja az alkalmazás hozzáférését az erőforráshoz, így a folytatás előtt a felhasználónak újra meg kell ismételnie azokat. Így a CAE eléri elsődleges célját az alkalmazásbiztonság javítása érdekében.
Mivel egy erőforráshoz való hozzáférés visszavonható egy jogkivonat élettartamán kívül, a Microsoft Entra-azonosító hosszabb ideig is kiadhat jogkivonatokat. A CAE-t támogató alkalmazások esetében a Microsoft Entra ID legfeljebb 28 órán át érvényes jogkivonatokat bocsáthat ki. Bár ez a hosszabb jogkivonat-élettartam nem javítja az alkalmazás rugalmasságát, csökkenti az alkalmazás költségeit, mivel az alkalmazásnak sokkal ritkábban kell jogkivonatokat kérnie.
A CAE javítja az alkalmazás rugalmasságát azokkal a problémákkal szemben, amelyeket az alkalmazás a Microsoft Entra ID-ból való hozzáférési jogkivonat beszerzése során tapasztalhat. Amikor csak lehetséges, a Microsoft Entra ID frissítési időpontot ad ki egy tokent tartalmazó válasz részeként, amely tartalmazza a hozzáférési tokent. A Microsoft Authentication Libraries (MSAL) ezt a frissítési időt használja a jogkivonat proaktív frissítéséhez. A frissítési idő a jogkivonat lejárati idejének egy része (általában fele). Mindaddig, amíg az MSAL képes frissíteni a hozzáférési jogkivonatot a jogkivonat lejárati ideje előtt, az alkalmazás rugalmas a jogkivonatok frissítési problémáival szemben.
Ha például egy alkalmazás támogatja a CAE-t, a Microsoft Entra ID kiad egy jogkivonatot, amely engedélyezi az alkalmazásnak a 24 órán át érvényes Microsoft Graph meghívását. 12 óra elteltével a Microsoft Entra ID utasítja az MSAL-t, hogy proaktívan frissítse a jogkivonatot. Amennyiben az MSAL megkísérli a hozzáférési jogkivonat frissítését, de az eredeti jogkivonat még 12 órán át érvényes, az alkalmazás ellenállóbb a Microsoft Entra azonosítóból származó jogkivonatok beszerzésekor fellépő problémákkal szemben.
"Implementálja a folyamatos hozzáférés kiértékelését az alkalmazásában"
A folyamatos hozzáférés-kiértékelést engedélyező API-k alkalmazásaiban való használatának módjában leírtak szerint az alkalmazásnak és az erőforrás API-nak is caE-kompatibilisnek kell lennie. Ha azonban a kódot CAE-kompatibilis erőforrás használatára készíti elő, az nem akadályozza meg a nem CAE-kompatibilis API-k használatát. Az olyan alkalmazások, amelyek nem használják az MSAL-t, támogathatják az igényekkel kapcsolatos kihívásokat, igénykérelmeket és ügyfélképességeket a CAE használatához.
Következő lépések
- A Microsoft Entra ID-ben a munkaterhelések identitásainak folyamatos hozzáférés-kiértékelése ismerteti a CAE biztonsági előnyeit a szervezetek számára.
- Nulla megbízhatósági alapelvek alkalmazása a hitelesítési munkamenet-kezelésre a folyamatos hozzáférés-értékeléssel azt ismerteti, hogyan lehet biztonságossá tenni a hitelesítési munkameneteket anélkül, hogy ez hatással lenne a felhasználói élményre és a hatékonyságra, és modernizálná a munkamenet-kezelést.
- A fejlesztett hitelesítési és engedélyezési alkalmazások rugalmasságának növelése című cikksorozat a Microsoft identitásplatformot és a Microsoft Entra ID azonosítót használó alkalmazások rugalmasságának növeléséhez nyújt útmutatást. A tokenek és az erőforrások hívásához szükséges ajánlott eljárásokat tartalmazzák.
- A Zero Trust megközelítést alkalmazva az identitásra vonatkozó alkalmazások létrehozása áttekintést nyújt az engedélyek és a hozzáférés legjobb gyakorlatairól.
- Az alkalmazások integrálása a Microsoft Entra ID-val és a Microsoft identitásplatformjával segít a fejlesztőknek olyan alkalmazások létrehozásában és integrálásában, amelyeket az informatikai szakemberek biztonságossá tehetnek a vállalaton belül.