Bagikan melalui


Mengamankan aplikasi dengan Evaluasi Akses Berkelanjutan

Artikel ini membantu Anda, sebagai pengembang, untuk meningkatkan keamanan aplikasi dengan Evaluasi Akses Berkelanjutan. Anda mempelajari cara memastikan dukungan Zero Trust di aplikasi Anda yang menerima otorisasi untuk mengakses sumber daya saat mereka memperoleh token akses dari ID Microsoft Entra.

Ketika ID Microsoft Entra mengeluarkan token akses ini, id tersebut sepenuhnya mengevaluasi kondisi untuk otorisasi tersebut. MICROSOFT Entra ID melakukan tindakan otorisasi standar, seperti memastikan persetujuan, setiap kali mengeluarkan token untuk permintaan token awal dan saat merefresh token.

MICROSOFT Entra ID terutama menggunakan JSON Web Tokens (JWT) untuk token akses. API sumber daya dapat mendekode, memvalidasi, dan menginterpretasikan JWT tanpa perlu memanggil kembali ke ID Microsoft Entra pada setiap panggilan ke API sumber daya. Standar JWT mendefinisikan klaim exp yang mengidentifikasi waktu kedaluwarsa on-or-after bahwa Anda tidak boleh menerima token JWT untuk diproses. Secara default, token Microsoft Entra kedaluwarsa 60 hingga 90 menit setelah masalah. Aplikasi Anda harus menyimpan dan menggunakan token akses untuk periode ini di mana ID Microsoft Entra tidak mengevaluasi kondisi otorisasi.

Mengevaluasi kondisi di luar penerbitan token

Pelanggan Microsoft khawatir tentang jeda antara perubahan kondisi pengguna dan penegakan perubahan kebijakan saat ID Microsoft Entra mengeluarkan token. Pendekatan masa pakai token yang berkurang ini dapat menurunkan pengalaman dan keandalan pengguna tanpa menghilangkan risiko.

Salah satu solusinya adalah mengevaluasi kondisi pada setiap panggilan ke sumber daya yang dilindungi. Cara paling umum untuk menerapkan penegakan ini adalah introspeksi token. Introspeksi token tidak menggunakan format JWT untuk token. Sebaliknya, introspeksi token menggunakan string buram yang tidak dapat ditafsirkan oleh API sumber daya. API sumber daya mengirimkan token ke idP pada setiap panggilan. IdP kemudian memeriksa kondisi apa pun dan mengembalikan data yang dapat digunakan API sumber daya untuk menyelesaikan operasi. Proses ini bisa mahal karena menambahkan permintaan web pulang pergi lain ke setiap panggilan API.

Untuk memperbaiki pengeluaran ini dengan Evaluasi Akses Berkelanjutan (CAE), API sumber daya dapat mendengarkan peristiwa yang didorong ID Microsoft Entra tentang token yang masalah ID Microsoft Entra untuk API sumber daya. Misalnya, saat aplikasi Anda memanggil Microsoft Graph API, Microsoft Graph dapat memeriksa apakah aplikasi menerima peristiwa dari ID Microsoft Entra tentang token. Jika kondisi autentikasi asli berbeda dan pengguna perlu mengautentikasi ulang, Microsoft Graph mengembalikan kesalahan ke aplikasi panggilan.

MICROSOFT Entra ID mengirimkan peristiwa ke sumber daya Microsoft dengan dukungan CAE ketika salah satu peristiwa ini terjadi:

  • Akun pengguna yang dinonaktifkan atau dihapus
  • Mengubah atau mengatur ulang kata sandi pengguna
  • Mengaktifkan autentikasi multifaktor pengguna
  • Administrator secara eksplisit mencabut semua token refresh untuk pengguna
  • Perlindungan ID Microsoft Entra mendeteksi risiko pengguna yang ditingkatkan

Selain itu, sumber daya Microsoft yang didukung CAE dapat memberlakukan kebijakan akses bersyarkat berbasis lokasi.

Meningkatkan keamanan dan ketahanan aplikasi dengan CAE

Video Evaluasi Akses Berkelanjutan Microsoft Entra Yang lebih aman dan tangguh menunjukkan pembuatan aplikasi klien dengan dukungan CAE.

Tonton presentasi di atas untuk mempelajari cara kerja aplikasi saat menggunakan autentikasi modern dengan langkah-langkah berikut:

  • Cara kerja aplikasi saat menggunakan autentikasi modern
  • Aplikasi meminta identitas Microsoft untuk token
  • Aplikasi menerima token akses
  • Aplikasi memanggil API / Otorisasi dengan JWT
  • Introspeksi
  • Sinyal dan peristiwa bersama
  • Evaluasi peristiwa penting
  • Evaluasi kebijakan Akses Bersyarat
  • Disebut Evaluasi Akses Berkelanjutan API
  • Tantangan klaim

Evaluasi Akses Berkelanjutan memungkinkan otorisasi aplikasi untuk mengakses sumber daya yang dicabut di luar masa pakai token akses. Misalnya, aplikasi memiliki token yang berlaku selama 75 menit lagi. Pengguna memiliki status berisiko tinggi karena kredensial yang dilanggar. CAE memblokir akses aplikasi ke sumber daya, mengharuskan pengguna untuk mengautentikasi ulang sebelum melanjutkan. Dengan demikian, CAE mencapai tujuan utamanya untuk meningkatkan keamanan aplikasi.

Karena akses ke sumber daya dapat dicabut di luar masa pakai token, ID Microsoft Entra dapat mengeluarkan token untuk masa pakai yang lebih lama. Untuk aplikasi yang mendukung CAE, ID Microsoft Entra dapat mengeluarkan token yang berlaku hingga 28 jam. Meskipun masa pakai token yang lebih lama ini tidak meningkatkan ketahanan aplikasi, itu mengurangi biaya aplikasi karena aplikasi perlu meminta token jauh lebih jarang.

CAE meningkatkan ketahanan aplikasi terhadap masalah yang dapat ditemui aplikasi dalam memperoleh token akses dari ID Microsoft Entra. Jika memungkinkan, ID Microsoft Entra mengeluarkan waktu refresh sebagai bagian dari respons token yang berisi token akses. Microsoft Authentication Libraries (MSAL) menggunakan waktu refresh ini untuk secara proaktif me-refresh token. Waktu refresh adalah beberapa pecahan (biasanya setengah) dari waktu kedaluwarsa token. Selama MSAL dapat merefresh token akses sebelum waktu kedaluwarsa token, aplikasi tahan terhadap masalah refresh token.

Misalnya, saat aplikasi mendukung CAE, ID Microsoft Entra mengeluarkan token yang mengotorisasi aplikasi untuk memanggil Microsoft Graph yang berlaku selama 24 jam. Microsoft Entra ID kemudian memberi tahu MSAL untuk secara proaktif me-refresh token setelah 12 jam. Jika MSAL mencoba merefresh token akses gagal karena token akses asli masih berlaku selama 12 jam lagi, aplikasi lebih tahan terhadap masalah saat memperoleh token dari ID Microsoft Entra.

Menerapkan Evaluasi Akses Berkelanjutan di aplikasi Anda

Seperti yang dijelaskan dalam Cara menggunakan API berkemampuan Evaluasi Akses Berkelanjutan di aplikasi Anda, aplikasi dan API sumber daya yang diaksesnya harus diaktifkan CAE. Namun, menyiapkan kode Anda untuk menggunakan sumber daya yang diaktifkan CAE tidak mencegah Anda menggunakan API yang tidak diaktifkan CAE. Aplikasi yang tidak menggunakan MSAL dapat menambahkan dukungan untuk tantangan klaim, permintaan klaim, dan kemampuan klien untuk menggunakan CAE.

Langkah berikutnya