Alkalmazások biztonságossá tétele folyamatos hozzáférés-értékeléssel
Ez a cikk fejlesztőként segít az alkalmazások biztonságának javításában a folyamatos hozzáférés-értékeléssel. Megtudhatja, hogyan biztosíthat Teljes felügyelet támogatást azokban az alkalmazásokban, amelyek engedélyt kapnak az erőforrások elérésére, amikor hozzáférési jogkivonatokat szereznek be a Microsoft Entra ID-ból.
Amikor a Microsoft Entra ID kiadja ezeket a hozzáférési jogkivonatokat, teljes mértékben kiértékeli az engedélyezés feltételeit. A Microsoft Entra ID szabványos engedélyezési műveleteket hajt végre, például biztosítja az alkalmazás jóváhagyását, minden alkalommal, amikor jogkivonatokat ad ki a kezdeti jogkivonat-kérelmekhez, és amikor frissíti a jogkivonatokat.
A Microsoft Entra ID elsősorban JSON webes jogkivonatokat (JWT) használ a hozzáférési jogkivonatokhoz. Az erőforrás API-k dekódolhatják, érvényesíthetik és értelmezhetik a JWT-t anélkül, hogy vissza kellene hívniuk a Microsoft Entra-azonosítót az erőforrás API minden hívására. A JWT-szabvány egy exp jogcímet határoz meg, amely azonosítja azt a lejárati időt, amelyet nem szabad elfogadnia a JWT-jogkivonat feldolgozásához. Alapértelmezés szerint a Microsoft Entra-jogkivonatok a probléma után 60–90 perccel lejárnak. Az alkalmazásoknak gyorsítótárazva kell lenniük, és hozzáférési jogkivonatokat kell használniuk arra az időszakra, amíg a Microsoft Entra ID nem értékeli ki az engedélyezési feltételeket.
A jogkivonat kiállításán kívüli feltételek kiértékelése
A Microsoft ügyfelei aggodalmát fejezték ki a felhasználói feltételek változásai és a szabályzatmódosítások kényszerítése közötti késés miatt, amikor a Microsoft Entra ID jogkivonatokat ad ki. Ez a csökkentett jogkivonat-élettartam-megközelítés kockázatcsökkentés nélkül csökkentheti a felhasználói élményt és a megbízhatóságot.
Az egyik megoldás a védett erőforrásokra irányuló minden hívás feltételeinek kiértékelése. A kényszerítés végrehajtásának leggyakoribb módja a jogkivonat-betekintés. A token introspection nem használ JWT formátumot a jogkivonathoz. Ehelyett a token introspection egy átlátszatlan sztringet használ, amelyet az erőforrás API nem tud értelmezni. Az erőforrás API minden híváskor elküldi a jogkivonatot az identitásszolgáltatónak. Az identitásszolgáltató ezután ellenőrzi a feltételeket, és visszaadja azokat az adatokat, amelyeket az erőforrás API felhasználhat a művelet végrehajtásához. Ez a folyamat költséges lehet, mivel minden API-híváshoz hozzáad egy másik oda-vissza webes kérést.
A költségek folyamatos hozzáférés-kiértékeléssel (CAE) történő orvoslásához az erőforrás API figyelheti azokat az eseményeket, amelyeket a Microsoft Entra ID leküld az erőforrás API-val kapcsolatos Microsoft Entra ID-problémák jogkivonatairól. Amikor például az alkalmazás meghívja a Microsoft Graph API-t, a Microsoft Graph ellenőrizheti, hogy kapott-e eseményeket a Microsoft Entra-azonosítótól a jogkivonattal kapcsolatban. Ha az eredeti hitelesítés feltételei megváltoztak, és a felhasználónak újra kell hitelesítenie, a Microsoft Graph hibát ad vissza a hívó alkalmazásnak.
A Microsoft Entra ID eseményt küld a CAE-kompatibilis Microsoft-erőforrásoknak, amikor az események bármelyike bekövetkezik:
- Törölt vagy letiltott felhasználói fiók
- Felhasználói jelszó módosítása vagy alaphelyzetbe állítása
- Engedélyezve van a felhasználók többtényezős hitelesítése
- Rendszergazda istrator kifejezetten visszavonja a felhasználó összes frissítési jogkivonatát
- Microsoft Entra ID-védelem emelt szintű felhasználói kockázatot észlel
Emellett a CAE-kompatibilis Microsoft-erőforrások helyalapú feltételes hozzáférési szabályzatokat is kikényszeríthetnek.
Az alkalmazás biztonságának és rugalmasságának javítása a CAE-vel
A Microsoft Entra folyamatos hozzáférés-kiértékelési videóra épülő biztonságosabb és rugalmasabb alkalmazások bemutatják, hogy egy ügyfélalkalmazást építenek cae-támogatással.
A fenti bemutatóból megtudhatja, hogyan működnek az alkalmazások a modern hitelesítés használatakor az alábbi lépésekkel:
- Alkalmazások működése modern hitelesítés használatakor
- Az alkalmazás jogkivonatokat kér a Microsoft-identitástól
- Az alkalmazás hozzáférési jogkivonatot kap
- Alkalmazáshívások API/Engedélyezés JWT-vel
- Befelé
- Megosztott jelek és események
- Kritikus esemény kiértékelése
- Feltételes hozzáférési szabályzat kiértékelése
- Az API folyamatos hozzáférésének kiértékelése
- Jogcímekkel kapcsolatos kihívás
A folyamatos hozzáférés-kiértékelés lehetővé teszi, hogy az alkalmazás a hozzáférési jogkivonat élettartamán kívül visszavont erőforráshoz férhessen hozzá. Egy alkalmazás például rendelkezik egy 75 percig érvényes jogkivonattal. A felhasználó magas kockázatú állapotban van a feltört hitelesítő adatok miatt. A CAE letiltja az alkalmazás hozzáférését az erőforráshoz, így a folytatás előtt a felhasználónak újra meg kell ismételnie a hitelesítést. Így a CAE eléri elsődleges célját az alkalmazásbiztonság javítása érdekében.
Mivel egy erőforráshoz való hozzáférés visszavonható egy jogkivonat élettartamán kívül, a Microsoft Entra-azonosító hosszabb ideig is kiadhat jogkivonatokat. A CAE-t támogató alkalmazások esetében a Microsoft Entra ID legfeljebb 28 órán át érvényes jogkivonatokat bocsáthat ki. Bár ez a hosszabb jogkivonat-élettartam nem növeli az alkalmazás rugalmasságát, csökkenti az alkalmazás költségeit, mivel az alkalmazásnak sokkal ritkábban kell jogkivonatokat kérnie.
A CAE javítja az alkalmazás rugalmasságát azokkal a problémákkal szemben, amelyeket az alkalmazás a Microsoft Entra ID-ból való hozzáférési jogkivonat beszerzése során tapasztalhat. Amikor csak lehetséges, a Microsoft Entra ID egy hozzáférési jogkivonatot tartalmazó jogkivonat-válasz részeként ad ki frissítési időt. A Microsoft Authentication Libraries (MSAL) ezt a frissítési időt használja a jogkivonat proaktív frissítéséhez. A frissítési idő a jogkivonat lejárati idejének egy része (általában fele). Mindaddig, amíg az MSAL képes frissíteni a hozzáférési jogkivonatot a jogkivonat lejárati ideje előtt, az alkalmazás ellenáll a jogkivonatok frissítésével kapcsolatos problémáknak.
Ha például egy alkalmazás támogatja a CAE-t, a Microsoft Entra ID kiad egy jogkivonatot, amely engedélyezi az alkalmazásnak a 24 órán át érvényes Microsoft Graph meghívását. A Microsoft Entra ID ezután 12 óra elteltével tájékoztatja az MSAL-t a jogkivonat proaktív frissítésére. Ha az MSAL megpróbálja frissíteni a hozzáférési jogkivonatot, mert az eredeti hozzáférési jogkivonat még 12 órán át érvényes, az alkalmazás ellenállóbb a microsoft Entra-azonosítóból származó jogkivonatok beszerzésekor jelentkező problémákkal szemben.
Folyamatos hozzáférés kiértékelése az alkalmazásban
A folyamatos hozzáférés-kiértékelést engedélyező API-k alkalmazásaiban való használatának módjában leírtak szerint az alkalmazásnak és az erőforrás API-nak is caE-kompatibilisnek kell lennie. Ha azonban a kódot caE-kompatibilis erőforrás használatára készíti elő, az nem akadályozza meg, hogy olyan API-kat használjon, amelyek nincsenek engedélyezve. Az MSAL-t nem használó alkalmazások támogathatják a jogcímekkel kapcsolatos kihívásokat, jogcímkérelmeket és ügyfélképességeket a CAE használatához.
Következő lépések
- A Microsoft Entra ID-ban a számítási feladatok identitásainak folyamatos hozzáférés-kiértékelése a szervezet caE biztonsági előnyeit ismerteti.
- A Teljes felügyelet alapelvek alkalmazása a hitelesítési munkamenet-kezelésre a folyamatos hozzáférés-kiértékeléssel azt ismerteti, hogyan védheti meg a hitelesítési munkameneteket anélkül, hogy ez hatással lehet a felhasználói élményre és a hatékonyságra, és modernizálná a munkamenet-kezelést.
- A kifejlesztett hitelesítési és engedélyezési alkalmazások rugalmasságának növelése című cikksorozat útmutatást nyújt a Microsoft Identitásplatform és a Microsoft Entra-azonosítót használó alkalmazások rugalmasságának növeléséhez. A jogkivonatok és az erőforrások hívásához ajánlott eljárásokat tartalmaznak.
- Az Teljes felügyelet identitáskezelési megközelítéssel rendelkező alkalmazások létrehozása áttekintést nyújt az engedélyekről és az ajánlott eljárások eléréséről.
- Az alkalmazások Microsoft Entra-azonosítóval és a Microsoft Identitásplatform való integrálásával a fejlesztők olyan alkalmazásokat hozhatnak létre és integrálhatnak, amelyeket az informatikai szakemberek biztonságosan integrálhatnak a vállalaton belül a Microsoft Entra-azonosítóval és a Microsoft Identitásplatform.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: