Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Sebagai pengembang, Anda dapat memanfaatkan standar industri untuk pengembangan perangkat lunak yang ditingkatkan dengan Microsoft Authentication Library (MSAL). Dalam artikel ini, kami memberikan gambaran umum tentang standar yang didukung dan manfaatnya di platform identitas Microsoft. Pastikan aplikasi cloud Anda memenuhi persyaratan Zero Trust untuk keamanan yang optimal.
Bagaimana dengan protokol?
Saat Anda menerapkan protokol, pertimbangkan biaya yang mencakup waktu untuk menulis kode yang sepenuhnya diperbarui dengan semua praktik terbaik dan mengikuti praktik terbaik OAuth 2.0 untuk implementasi yang aman. Gunakan pustaka yang dikelola dengan baik (dengan preferensi untuk MSAL) saat Anda mengembangkan secara langsung menggunakan Microsoft Entra ID atau Identitas Microsoft.
Kami mengoptimalkan MSAL untuk membangun dan bekerja dengan MICROSOFT Entra ID. Jika lingkungan Anda tidak memiliki MSAL atau menyertakan kemampuan yang tidak terkunci di pustakanya sendiri, kembangkan aplikasi Anda dengan platform identitas Microsoft. Bangun kemampuan OAuth 2.0 dan OpenID Connect. Pertimbangkan biaya beralih kembali dengan benar ke protokol.
Bagaimana platform identitas Microsoft mendukung standar
Untuk mencapai Zero Trust paling efisien dan efektif, kembangkan aplikasi dengan standar industri yang didukung platform identitas Microsoft:
OAuth 2.0 dan OpenID Connect
Sebagai protokol industri untuk otorisasi, OAuth 2.0 memungkinkan pengguna untuk memberikan akses terbatas ke sumber daya yang dilindungi. OAuth 2.0 bekerja dengan Hypertext Transfer Protocol (HTTP) untuk memisahkan peran klien dari pemilik sumber daya. Klien menggunakan token untuk mengakses sumber daya yang dilindungi di server sumber daya.
Konstruksi OpenID Connect memungkinkan ekstensi Microsoft Entra untuk meningkatkan keamanan. Ekstensi Microsoft Entra ini adalah yang paling umum:
- Conditional Access authentication context memungkinkan aplikasi menerapkan kebijakan yang lebih terperinci untuk melindungi data dan tindakan sensitif, bukan hanya pada tingkat aplikasi.
- Evaluasi Akses Berkelanjutan (CAE) memungkinkan aplikasi Microsoft Entra berlangganan peristiwa penting untuk evaluasi dan penerapan. CAE mencakup evaluasi peristiwa berisiko seperti akun pengguna yang dinonaktifkan atau dihapus, perubahan kata sandi, pencabutan token, dan pengguna yang terdeteksi.
Saat aplikasi Anda menggunakan fitur keamanan yang ditingkatkan seperti CAE dan konteks autentikasi Akses Bersyarat, maka aplikasi tersebut harus menyertakan kode untuk mengelola tantangan pengelolaan klaim. Dengan protokol terbuka, Anda menggunakan tantangan klaim dan permintaan klaim untuk memanggil kemampuan klien lainnya. Misalnya, menunjukkan kepada aplikasi bahwa mereka perlu mengulangi interaksi dengan ID Microsoft Entra karena anomali. Skenario lain adalah ketika pengguna tidak lagi memenuhi kondisi di mana mereka telah diautentikasi sebelumnya. Anda dapat membuat kode untuk ekstensi ini tanpa mengganggu alur kode autentikasi utama.
Bahasa Markup Pernyataan Keamanan (SAML)
Platform identitas Microsoft menggunakan SAML 2.0 untuk memungkinkan aplikasi Zero Trust Anda memberikan pengalaman pengguna akses menyeluruh (SSO). Profil SAML SSO dan Single Sign-Out di MICROSOFT Entra ID menjelaskan bagaimana layanan penyedia identitas menggunakan pernyataan, protokol, dan pengikatan SAML. Protokol SAML mengharuskan penyedia identitas (platform identitas Microsoft) dan penyedia layanan (aplikasi Anda) untuk bertukar informasi tentang diri mereka sendiri. Saat mendaftarkan aplikasi Zero Trust dengan ID Microsoft Entra, Anda mendaftarkan informasi terkait federasi yang menyertakan URI Pengalihan dan URI Metadata aplikasi dengan ID Microsoft Entra.
Manfaat MSAL daripada protokol
Microsoft mengoptimalkan MSAL untuk platform identitas Microsoft dan memberikan pengalaman terbaik untuk SSO, penembolokan token, dan ketahanan pemadaman. Karena MSAL tersedia secara umum, kami terus memperluas cakupan bahasa dan kerangka kerja.
Dengan menggunakan MSAL, Anda memperoleh token untuk jenis aplikasi yang mencakup aplikasi web, API web, aplikasi halaman tunggal, aplikasi seluler dan asli, daemon, dan aplikasi sisi server. MSAL memungkinkan integrasi yang cepat dan sederhana dengan akses aman ke pengguna dan data melalui Microsoft Graph dan API. Dengan perpustakaan autentikasi terbaik di kelasnya, Anda dapat menjangkau audiens apa pun dan mengikuti Siklus Hidup Pengembangan Keamanan Microsoft.
Langkah berikutnya
- Pustaka autentikasi platform identitas Microsoft menjelaskan dukungan jenis aplikasi.
- Mengembangkan menggunakan prinsip Zero Trust membantu Anda memahami prinsip panduan Zero Trust sehingga Anda dapat meningkatkan keamanan aplikasi Anda.
- Gunakan identitas Zero Trust dan praktik terbaik pengembangan manajemen akses dalam siklus hidup pengembangan aplikasi Anda untuk membuat aplikasi yang aman.
- Membangun aplikasi dengan pendekatan Zero Trust untuk identitas memberikan gambaran umum izin dan praktik terbaik akses.
- Tanggung jawab pengembang dan administrator untuk pendaftaran, otorisasi, dan akses aplikasi membantu Anda berkolaborasi dengan lebih baik dengan Profesional TI Anda.
- API Protection menjelaskan praktik terbaik untuk melindungi API Anda melalui pendaftaran, menentukan izin dan persetujuan, dan menegakkan akses untuk mencapai tujuan Zero Trust.
- Menyesuaikan token menjelaskan informasi yang dapat Anda terima di token Microsoft Entra. Ini menjelaskan bagaimana penyesuaian token meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan Zero Trust aplikasi dengan hak istimewa paling sedikit.
- Mengonfigurasi klaim grup dan peran aplikasi dalam token menjelaskan cara mengonfigurasi aplikasi dengan definisi peran aplikasi dan menetapkan grup keamanan ke peran aplikasi. Pendekatan ini meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan Zero Trust aplikasi dengan hak istimewa paling sedikit.