Jogkivonatok testreszabása

  • Cikk

Fejlesztőként a Microsoft Entra-azonosítóval való elsődleges interakció egy jogkivonat kérése a felhasználó azonosításához. Emellett jogkivonatot is kér, hogy engedélyt kapjon egy webes API meghívására. A webes API-jogkivonat határozza meg, hogy az API mit tehet, ha egy adott kérést nyújt. Ebben a cikkben megismerheti a jogkivonatokban kapott információkat, valamint a jogkivonatok testreszabásának módját. Ezek a Teljes felügyelet fejlesztői ajánlott eljárások növelik a rugalmasságot és az irányítást, miközben a legkisebb jogosultsággal növelik az alkalmazásbiztonságot.

Az alkalmazásjogkivonatok testreszabásának okai attól függenek, hogy milyen eljárással szeretné részletesebben szabályozni az alkalmazások és API-k engedélyezését. Előfordulhat például, hogy az alkalmazásban különböző felhasználói szerepkörök, hozzáférési szintek és funkciók találhatók, amelyek jogkivonatokból származó információkra támaszkodnak.

A Microsoft Graph API megbízható címtárinformációkat és adatokat biztosít a Microsoft 365-ben. A Microsoft Graph adataira támaszkodva részletes és gazdag engedélyezési rendszert fejleszthet. Hozzáférhet például a felhasználó csoporttagságából, a részletes profiladatokból, a SharePointból és az Outlookból származó információkhoz, amelyek felhasználhatók az engedélyezési döntésekben. Az engedélyezési adatokat a Microsoft Entra-azonosítóból is felveheti a jogkivonatba.

Alkalmazásszintű engedélyezés

Az informatikai szakemberek alkalmazásszintű engedélyezést adhatnak hozzá a jogkivonat testreszabása nélkül, és a fejlesztő nem adhat hozzá semmilyen kódot.

Az informatikai szakemberek megakadályozhatják, hogy jogkivonatokat adjanak ki a bérlő bármely alkalmazásának a felhasználóhozzárendeléshez szükséges jelző használatával, hogy csak a felhasználók egy halmaza tudjon bejelentkezni az alkalmazásba. E jelző nélkül a bérlő összes felhasználója hozzáférhet az alkalmazáshoz. Ezzel a jelzővel csak a hozzárendelt felhasználók és csoportok férhetnek hozzá az alkalmazáshoz. Amikor egy hozzárendelt felhasználó hozzáfér az alkalmazáshoz, az alkalmazás jogkivonatot kap. Ha a felhasználónak nincs hozzárendelése, az alkalmazás nem kap jogkivonatot. Ne felejtse el mindig elegánsan kezelni azokat a jogkivonat-kérelmeket, amelyek nem kapnak jogkivonatokat.

Jogkivonat testreszabási módszerei

A jogkivonatok kétféleképpen szabhatók testre: választható jogcímek és jogcímek leképezése.

Választható jogcímek

Az opcionális jogcímek megadják, hogy a Microsoft Entra ID milyen jogcímeket küldjön az alkalmazásnak jogkivonatokban. A nem kötelező jogcímekkel:

  • Jelöljön ki további jogcímeket, amelyek szerepeljenek az alkalmazásjogkivonatokban.
  • Módosítsa a jogcímek viselkedését, amelyeket a Microsoft Identitásplatform a jogkivonatokban ad vissza.
  • Hozzáadhat egyéni jogcímeket az alkalmazáshoz, és elérheti őket.

Az opcionális jogcímek lefagynak az alkalmazásregisztrációs objektumról egy meghatározott sémával. Ezek az alkalmazásra vonatkoznak, függetlenül attól, hogy hol fut. Ha több-bérlős alkalmazást ír, az opcionális jogcímek jól működnek, mivel a Microsoft Entra-azonosító minden bérlőjében konzisztensek. Az IP-címek például nem bérlőspecifikusak, míg egy alkalmazás IP-címmel rendelkezik.

Alapértelmezés szerint a bérlő vendégfelhasználói is bejelentkezhetnek az alkalmazásba. Ha meg szeretné tiltani a vendégfelhasználók használatát, jelentkezzen be az opcionális jogcímre (acct). Ha 1, akkor a felhasználó vendégbesorolással rendelkezik. Ha meg szeretné tiltani a vendégeket, akkor tiltsa le a jogkivonatokat az acct==1 értékekkel.

Jogcímek leképezése

A Microsoft Entra ID-ban a szabályzatobjektumok szabálykészleteket jelölnek az egyes alkalmazásokra vagy a szervezet összes alkalmazására. A jogcímleképezési szabályzat módosítja azokat a jogcímeket, amelyeket a Microsoft Entra ID adott alkalmazások jogkivonataiban tapasztal.

Jogcímleképezést fog használni olyan bérlőspecifikus információkhoz, amelyek nem tartalmaznak sémát (például EmployeeID, DivisionName). A jogcímek leképezése a bérlői rendszergazda által vezérelt szolgáltatásnév szintjén érvényes. A jogcímek leképezése megfelel az adott alkalmazás vállalati alkalmazásának vagy szolgáltatásnevének. Minden bérlőnek saját jogcímleképezése lehet.

Ha egy üzletági alkalmazást fejleszt, konkrétan megvizsgálhatja, hogy mit tesz a bérlője (milyen konkrét jogcímekkel rendelkezik a bérlője, amelyeket használhat a jogkivonatában). Ha egy szervezet például rendelkezik egy felhasználó divíziónévtulajdonságtal (a Microsoft Entra ID-ban nem szabványos mezővel) a helyi Active Directory, a Microsoft Entra Csatlakozás használatával szinkronizálhatja azt a Microsoft Entra-azonosítóval.

Ezeket az információkat a szabványos bővítményattribútumok egyikével is tartalmazhatja. A jogkivonatot megadhatja egy osztásnév jogcímével, amelyet a megfelelő bővítményből írhat (még akkor is, ha az nem minden bérlőre érvényes). Egy szervezet például a 13-attribútumba helyezi az osztálynevét.

Jogcímleképezéssel egy másik bérlő számára is használhatóvá teheti, amely a 7. attribútumba helyezi az osztásnevét.

A jogkivonat testreszabásának megtervezése

A testre szabható jogkivonat az alkalmazás típusától függ: ügyfélalkalmazástól vagy API-tól. Nincs különbség abban, hogy mit tehet a jogkivonat testreszabásához. Amit a jogkivonatba helyezhet, az mindegyiknél ugyanaz. A testre szabni kívánt jogkivonat attól függ, hogy az alkalmazás melyik jogkivonatot fogja használni.

Azonosító jogkivonatok testreszabása

Ha ügyfélalkalmazást fejleszt, testre szabhatja az azonosító jogkivonatot , mert a felhasználó azonosításához ezt a jogkivonatot kéri. Egy jogkivonat akkor tartozik az alkalmazáshoz, ha a jogkivonat célközönsége (aud) egyezik az alkalmazás ügyfélazonosítójával. Az API-kat hívó, de nem implementálható ügyfélalkalmazások esetében győződjön meg arról, hogy csak az alkalmazás azonosító jogkivonatát szabja testre.

Az Azure Portal és a Microsoft Graph API lehetővé teszi az alkalmazás hozzáférési jogkivonatának testreszabását is, de ezeknek a testreszabásoknak nincs hatása. Nem szabhat testre hozzáférési jogkivonatot olyan API-khoz, amelyek nem saját tulajdonúak. Ne feledje, hogy az alkalmazás nem kísérelheti meg dekódolni vagy megvizsgálni az ügyfélalkalmazás által api meghívására kapott hozzáférési jogkivonatot.

Hozzáférési jogkivonatok testreszabása

HA API-t fejleszt, testre szabhatja a hozzáférési jogkivonatot , mert az API az ügyfél API-ra irányuló hívásának részeként hozzáférési jogkivonatokat fog kapni.

Az ügyfélalkalmazások mindig testre szabják a felhasználó identitásához kapott azonosító jogkivonatot. Az API-k testre szabják azOKAT a hozzáférési jogkivonatokat, amelyeket az API az API hívásának részeként fogad.

Csoportok és alkalmazásszerepkörök

Az egyik leggyakoribb engedélyezési módszer a hozzáférés alapja egy felhasználó csoporttagsága vagy hozzárendelt szerepkörei. A csoportjogcímek és alkalmazásszerepkörök jogkivonatokban való konfigurálása bemutatja, hogyan konfigurálhatja alkalmazásait alkalmazásszerepkör-definíciókkal, és hogyan rendelhet hozzá biztonsági csoportokat az alkalmazásszerepkörökhöz a rugalmasság és az ellenőrzés javítása érdekében, miközben a minimális jogosultsággal rendelkező alkalmazásmegbízhatóság nélküli biztonság növelése érdekében.

Következő lépések