Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Sebagai pengembang, Anda dapat memanfaatkan standar industri dengan baik untuk pengembangan perangkat lunak yang bertambah oleh Microsoft Authentication Library (MSAL). Dalam artikel ini, kami memberikan gambaran umum tentang standar yang didukung dan manfaatnya dalam platform identitas Microsoft. Pastikan aplikasi cloud Anda memenuhi persyaratan Zero Trust untuk keamanan yang optimal.
Bagaimana dengan protokol?
Saat menerapkan protokol, pertimbangkan biaya yang mencakup waktu untuk menulis kode yang sepenuhnya diperbarui dengan semua praktik terbaik dan mengikuti praktik terbaik OAuth 2.0 untuk implementasi yang aman. Sebagai gantinya, kami sarankan Anda menggunakan pustaka yang dikelola dengan baik (dengan preferensi untuk MSAL) saat Anda membangun langsung ke ID Microsoft Entra atau Identitas Microsoft.
Kami mengoptimalkan MSAL untuk membangun dan bekerja dengan MICROSOFT Entra ID. Jika lingkungan Anda tidak memiliki MSAL atau memiliki kemampuan yang tidak terkunci di pustakanya sendiri, kembangkan aplikasi Anda dengan platform identitas Microsoft. Bangun kemampuan OAuth 2.0 dan Koneksi OpenID. Pertimbangkan biaya jatuh kembali dengan benar ke protokol.
Bagaimana platform identitas Microsoft mendukung standar
Untuk mencapai Zero Trust paling efisien dan efektif, kembangkan aplikasi dengan standar industri yang didukung platform identitas Microsoft:
OAuth 2.0 dan OpenID Connect
Sebagai protokol industri untuk otorisasi, OAuth 2.0 memungkinkan pengguna untuk memberikan akses terbatas ke sumber daya yang dilindungi. OAuth 2.0 bekerja dengan Hypertext Transfer Protocol (HTTP) untuk memisahkan peran klien dari pemilik sumber daya. Klien menggunakan token untuk mengakses sumber daya yang dilindungi di server sumber daya.
Konstruksi Koneksi OpenID memungkinkan ekstensi Microsoft Entra meningkatkan keamanan. Ekstensi Microsoft Entra ini adalah yang paling umum:
- Konteks autentikasi Akses Bersyar memungkinkan aplikasi menerapkan kebijakan terperinci untuk melindungi data dan tindakan sensitif, bukan hanya di tingkat aplikasi.
- Evaluasi Akses Berkelanjutan (CAE) memungkinkan aplikasi Microsoft Entra berlangganan peristiwa penting untuk evaluasi dan penerapan. CAE mencakup evaluasi peristiwa berisiko seperti akun pengguna yang dinonaktifkan atau dihapus, perubahan kata sandi, pencabutan token, dan pengguna yang terdeteksi.
Saat aplikasi Anda menggunakan fitur keamanan yang ditingkatkan seperti CAE dan konteks autentikasi Akses Bersyar, aplikasi tersebut harus menyertakan kode untuk mengelola tantangan klaim. Dengan protokol terbuka, Anda menggunakan tantangan klaim dan permintaan klaim untuk memanggil kemampuan klien lainnya. Misalnya, menunjukkan kepada aplikasi bahwa mereka perlu mengulangi interaksi dengan ID Microsoft Entra karena anomali. Skenario lain adalah ketika pengguna tidak lagi memenuhi kondisi di mana mereka telah diautentikasi sebelumnya. Anda dapat membuat kode untuk ekstensi ini tanpa mengganggu alur kode autentikasi utama.
Bahasa Markup Pernyataan Keamanan (SAML)
platform identitas Microsoft menggunakan SAML 2.0 untuk memungkinkan aplikasi Zero Trust Anda memberikan pengalaman pengguna akses menyeluruh (SSO). Profil SAML SSO dan Akses Menyeluruh di ID Microsoft Entra menjelaskan bagaimana layanan penyedia identitas menggunakan pernyataan, protokol, dan pengikatan SAML. Protokol SAML mengharuskan penyedia identitas (platform identitas Microsoft) dan penyedia layanan (aplikasi Anda) untuk bertukar informasi tentang diri mereka sendiri. Saat mendaftarkan aplikasi Zero Trust dengan ID Microsoft Entra, Anda mendaftarkan informasi terkait federasi yang menyertakan URI Pengalihan dan URI Metadata aplikasi dengan ID Microsoft Entra.
Manfaat MSAL daripada protokol
Microsoft mengoptimalkan MSAL untuk platform identitas Microsoft dan memberikan pengalaman terbaik untuk SSO, penembolokan token, dan ketahanan pemadaman. Karena MSAL tersedia secara umum, kami terus memperluas cakupan bahasa dan kerangka kerja.
Dengan menggunakan MSAL, Anda memperoleh token untuk jenis aplikasi yang mencakup aplikasi web, API web, aplikasi halaman tunggal, aplikasi seluler dan asli, daemon, dan aplikasi sisi server. MSAL memungkinkan integrasi yang cepat dan sederhana dengan akses aman ke pengguna dan data melalui Microsoft Graph dan API. Dengan libs autentikasi terbaik di kelasnya, Anda dapat menjangkau audiens apa pun dan mengikuti Siklus Hidup Pengembangan Keamanan Microsoft.
Langkah berikutnya
- platform identitas Microsoft pustaka autentikasi menjelaskan dukungan jenis aplikasi.
- Mengembangkan menggunakan prinsip Zero Trust membantu Anda memahami prinsip panduan Zero Trust sehingga Anda dapat meningkatkan keamanan aplikasi Anda.
- Gunakan identitas Zero Trust dan praktik terbaik pengembangan manajemen akses dalam siklus hidup pengembangan aplikasi Anda untuk membuat aplikasi yang aman.
- Membangun aplikasi dengan pendekatan Zero Trust untuk identitas memberikan gambaran umum izin dan praktik terbaik akses.
- Tanggung jawab pengembang dan administrator untuk pendaftaran, otorisasi, dan akses aplikasi membantu Anda berkolaborasi dengan lebih baik dengan Profesional TI Anda.
- API Protection menjelaskan praktik terbaik untuk melindungi API Anda melalui pendaftaran, menentukan izin dan persetujuan, dan menegakkan akses untuk mencapai tujuan Zero Trust.
- Kustomisasi token menjelaskan informasi yang dapat Anda terima di token Microsoft Entra. Ini menjelaskan bagaimana penyesuaian token meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan Zero Trust aplikasi dengan hak istimewa paling sedikit.
- Mengonfigurasi klaim grup dan peran aplikasi dalam token menjelaskan cara mengonfigurasi aplikasi dengan definisi peran aplikasi dan menetapkan grup keamanan ke peran aplikasi. Pendekatan ini meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan Zero Trust aplikasi dengan hak istimewa paling sedikit.