Bagikan melalui


Sesuaikan token

Artikel ini membantu Anda membangun keamanan ke dalam aplikasi dengan token ID, token akses, dan token keamanan dari platform identitas Microsoft. Ini menjelaskan informasi yang dapat Anda terima di token Microsoft Entra dan bagaimana Anda dapat menyesuaikannya. Ini adalah yang kelima dalam serangkaian artikel tentang bagaimana pengembang perangkat lunak independen (ISV) dapat membangun dan mengoptimalkan aplikasi mereka untuk ID Microsoft Entra. Dalam seri ini, Anda dapat mempelajari lebih lanjut tentang topik-topik ini:

  • ID Microsoft Entra untuk Pengembang Perangkat Lunak Independen menjelaskan cara menggunakan layanan manajemen identitas dan akses berbasis cloud ini untuk memungkinkan karyawan mengakses sumber daya dengan aplikasi Anda.
  • Membuat aplikasi dalam ekosistem ID Microsoft Entra menjelaskan cara menggunakan pusat admin Microsoft Entra atau Antarmuka Pemrograman Aplikasi (API) Microsoft Graph untuk mendaftarkan aplikasi di penyewa MICROSOFT Entra ID.
  • Mengautentikasi aplikasi dan pengguna menjelaskan cara aplikasi menggunakan ID Microsoft Entra untuk mengautentikasi pengguna dan aplikasi.
  • Mengotorisasi aplikasi, sumber daya, dan beban kerja membahas otorisasi ketika manusia individu berinteraksi dengan dan mengarahkan aplikasi Dalam skenario ini, API bertindak untuk pengguna, dan ketika aplikasi atau layanan bekerja secara independen.

Operasi utama untuk aplikasi yang terhubung ke ID Microsoft Entra adalah meminta dan memproses token. Sebagai pengembang, Anda dapat menyesuaikan token yang dikirim ID Microsoft Entra ke aplikasi izin atau API yang didelegasikan. Anda tidak dapat menyesuaikan token beban kerja.

Jika aplikasi Anda menerapkan OpenID Connect (OIDC) dan meminta token ID, Anda dapat menyesuaikan token ID untuk aplikasi Anda. Jika menerapkan API, Anda dapat menyesuaikan token akses yang diterima aplikasi yang memanggil API Anda. Aplikasi tidak dimungkinkan untuk menyesuaikan token akses yang diterimanya yang mengotorisasi aplikasi untuk mengakses API.

Metode kustomisasi token utama untuk ISV adalah menambahkan klaim opsional ke token dalam pendaftaran aplikasi. Referensi klaim opsional mencantumkan klaim opsional yang tersedia.

Untuk aplikasi multipenyewa, klaim opsional tersedia untuk setiap penyewa. Anda dapat mengonfigurasi token akses API untuk menyertakan klaim opsional onprem_sid untuk menyertakan klaim identitas keamanan lokal pengguna. Meskipun Anda dapat mengonfigurasi klaim opsional, aplikasi Anda harus selalu menangani saat token tidak menyertakan klaim opsional yang Anda konfigurasikan. Misalnya, pengguna bisa menjadi pengguna khusus ID Microsoft Entra yang tidak memiliki pengidentifikasi keamanan lokal. Dalam hal ini, ID Microsoft Entra tidak menyertakan klaim opsional dalam token. ID Microsoft Entra tidak mengembalikan klaim dengan nilai kosong ("").

Klaim grup adalah klaim opsional yang memerlukan penanganan khusus. Aplikasi atau API dapat menyertakan grup keamanan pengguna dan grup berlapis dalam token atau menyertakan grup keamanan dan grup berlapis dengan daftar distribusi dengan klaim grup. Aplikasi dapat menyertakan peran direktori pengguna dalam token dengan wids klaim (peran di seluruh penyewa). Termasuk semua grup pengguna dan/atau daftar distribusi dapat mengakibatkan tidak ada grup atau daftar distribusi dalam token.

Ukuran token membatasi total entri dalam grup yang diklaim 200 untuk aplikasi OAuth 2.0, 150 untuk aplikasi SAML, dan enam untuk aplikasi yang menggunakan pemberian implisit sebagai bagian dari alur hibrid. Ketika ada terlalu banyak grup, token memiliki klaim kelebihan grup. Jika token Anda berisi klaim kelebihan grup, kembali ke panggilan Microsoft Graph untuk mendapatkan grup pengguna. Karena Anda tidak memiliki cara untuk mengetahui kapan pengguna adalah anggota dari terlalu banyak grup, selalu sertakan kemampuan untuk memanggil Microsoft Graph untuk keanggotaan grup pengguna di aplikasi Anda. Sebaiknya gunakan Microsoft Graph alih-alih menggunakan klaim grup karena persyaratan kode Microsoft Graph.

Untuk menghindari kelebihan grup, konfigurasikan klaim grup untuk hanya menyertakan grup tempat aplikasi memiliki penugasan. Dengan pendekatan ini, klaim grup hanya menyertakan grup yang ditetapkan ke aplikasi atau API saat pengguna adalah anggota grup (tanpa dukungan untuk grup berlapis). Pengguna harus menjadi anggota langsung grup tempat aplikasi memiliki penugasan.

Cara lain untuk menghindari kelebihan grup adalah dengan menggunakan peran alih-alih grup. Anda dapat mengonfigurasi peran untuk aplikasi atau API yang Anda terima di token Anda. Admin TI dapat menetapkan grup ke peran yang Anda tentukan dalam penyewa ID Microsoft Entra dengan P1 atau lisensi yang lebih tinggi. Setelah penugasan, token Anda menyertakan klaim peran dengan aplikasi peran yang ditetapkan pengguna, atau peran berdasarkan keanggotaan grup pengguna.

Evaluasi trade-off untuk menggunakan grup atau peran. Untuk ISV, sebaiknya gunakan peran alih-alih grup.

Langkah berikutnya

  • ID Microsoft Entra untuk Pengembang Perangkat Lunak Independen menjelaskan cara menggunakan layanan manajemen identitas dan akses berbasis cloud ini untuk memungkinkan karyawan mengakses sumber daya dengan aplikasi Anda.
  • Membuat aplikasi di ekosistem ID Microsoft Entra menjelaskan cara menggunakan pusat admin Microsoft Entra atau Microsoft Graph API untuk mendaftarkan aplikasi di penyewa ID Microsoft Entra.
  • Mengautentikasi aplikasi dan pengguna menjelaskan cara aplikasi menggunakan ID Microsoft Entra untuk mengautentikasi pengguna dan aplikasi.
  • Mengotorisasi aplikasi, sumber daya, dan beban kerja membahas otorisasi ketika seseorang berinteraksi dengan manusia dan mengarahkan aplikasi, ketika API bertindak atas nama pengguna, dan ketika aplikasi atau layanan bekerja secara independen.