Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Sebagai pengembang, interaksi utama Anda dengan MICROSOFT Entra ID adalah meminta token untuk mengidentifikasi pengguna. Anda juga meminta token untuk mendapatkan otorisasi untuk memanggil API web. Token API web menentukan apa yang dapat dilakukan API saat melayani permintaan tertentu. Dalam artikel ini, Anda mempelajari tentang informasi yang dapat Anda terima dalam token dan bagaimana Anda dapat menyesuaikan token. Praktik terbaik pengembang Zero Trust ini meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan aplikasi dengan hak istimewa paling sedikit.
Alasan Anda untuk menyesuaikan token aplikasi bergantung pada proses yang Anda gunakan untuk mendorong otorisasi yang lebih terperinci dalam aplikasi dan API Anda. Misalnya, Anda mungkin memiliki peran pengguna, tingkat akses, dan fungsionalitas yang berbeda di aplikasi Anda yang mengandalkan informasi dari token.
Microsoft Graph API menyediakan sekumpulan informasi direktori dan data yang kuat di seluruh Microsoft 365. Anda dapat mengembangkan sistem otorisasi yang halus dan kaya dengan membangun data di Microsoft Graph. Misalnya, Anda dapat mengakses informasi dari keanggotaan grup pengguna, data profil terperinci, SharePoint, dan Outlook untuk digunakan dalam keputusan otorisasi Anda. Anda dapat menyertakan data otorisasi dalam token dari ID Microsoft Entra.
Otorisasi tingkat aplikasi
Dimungkinkan bagi Profesional TI untuk menambahkan otorisasi tingkat aplikasi tanpa kustomisasi token atau penambahan kode.
Profesional TI dapat mencegah token dikeluarkan ke aplikasi apa pun di penyewa layanan dengan pengaturan 'penetapan pengguna diperlukan'. Pendekatan ini memastikan bahwa hanya sekumpulan pengguna yang dapat masuk ke aplikasi. Tanpa tanda ini, semua pengguna dalam penyewa layanan dapat mengakses aplikasi. Dengan bendera ini, hanya pengguna dan grup yang ditetapkan yang dapat mengakses aplikasi. Saat pengguna yang ditetapkan mengakses aplikasi, aplikasi menerima token. Jika pengguna tidak memiliki penugasan, aplikasi tidak menerima token. Ingatlah untuk selalu menangani permintaan token yang tidak menerima token dengan baik.
Metode kustomisasi token
Ada dua cara untuk menyesuaikan token: klaim opsional dan pemetaan klaim.
Klaim opsional
Klaim opsional menentukan klaim mana yang Anda inginkan agar ID Microsoft Entra dikirim ke aplikasi Anda dalam token. Anda dapat menggunakan klaim opsional untuk:
- Pilih klaim lainnya untuk disertakan dalam token aplikasi Anda.
- Ubah perilaku klaim yang dihasilkan oleh platform identitas Microsoft dalam token.
- Menambahkan dan mengakses klaim kustom untuk aplikasi Anda.
Klaim opsional terkait dengan objek pendaftaran aplikasi dalam skema yang ditentukan. Mereka berlaku untuk aplikasi di mana pun aplikasi berjalan. Saat Anda menulis aplikasi multipenyewa, klaim opsional bekerja dengan baik karena konsisten di setiap penyewa di Microsoft Entra ID. Misalnya, alamat IP tidak spesifik untuk penyewa sedangkan aplikasi memiliki alamat IP.
Secara default, pengguna tamu di penyewa juga dapat masuk ke aplikasi Anda. Jika Anda ingin memblokir pengguna tamu, ikut serta dalam klaim opsional (akte). Jika itu 1, maka pengguna memiliki klasifikasi tamu. Jika Anda ingin memblokir tamu, blokir token dengan acct==1.
Kebijakan pemetaan klaim
Di ID Microsoft Entra, objek kebijakan mewakili serangkaian aturan pada aplikasi individual atau pada semua aplikasi dalam organisasi. Kebijakan pemetaan klaim memodifikasi klaim yang dikeluarkan oleh ID Microsoft Entra dalam token untuk aplikasi tertentu.
Anda menggunakan pemetaan klaim untuk informasi khusus penyewa yang tidak memiliki skema (misalnya, EmployeeID, DivisionName). Pemetaan klaim berlaku di tingkat service principal yang dikontrol admin penyewa. Pemetaan klaim sesuai dengan aplikasi perusahaan atau prinsipal layanan untuk aplikasi tersebut. Setiap penyewa dapat memiliki pemetaan klaimnya sendiri.
Saat Anda mengembangkan aplikasi lini bisnis, lihat secara khusus apa yang dilakukan penyewa Anda (klaim spesifik apa yang tersedia untuk penyewa Anda yang dapat Anda gunakan dalam token Anda). Misalnya, jika organisasi memiliki properti nama divisi pengguna (bukan bidang standar di MICROSOFT Entra ID) di Active Directory lokal mereka, gunakan Microsoft Entra Connect untuk menyinkronkannya ke ID Microsoft Entra.
Untuk berisi informasi tersebut, gunakan salah satu atribut ekstensi standar. Tentukan token Anda dengan klaim nama divisi yang dapat Anda buat dari ekstensi yang sesuai (meskipun tidak berlaku untuk setiap tenant). Misalnya, organisasi menempatkan nama divisi mereka dalam atribut ekstensi 13.
Dengan pemetaan klaim, Anda dapat membuatnya berfungsi untuk penyewa lain yang menempatkan nama divisi mereka dalam atribut tujuh.
Merencanakan kustomisasi token
Token mana yang Anda sesuaikan tergantung pada jenis aplikasi Anda: aplikasi klien atau API. Tidak ada perbedaan dalam apa yang dapat Anda lakukan untuk menyesuaikan token Anda. Apa yang dapat Anda masukkan ke dalam token sama untuk masing-masing token tersebut. Token mana yang Anda pilih untuk disesuaikan tergantung pada token mana yang digunakan aplikasi Anda.
Sesuaikan token ID
Jika Anda mengembangkan aplikasi klien, Anda menyesuaikan token ID karena itu adalah token yang Anda minta untuk mengidentifikasi pengguna. Token merupakan bagian dari aplikasi Anda saat pernyataan audiens (aud) dalam token cocok dengan ID klien aplikasi Anda. Untuk aplikasi klien yang memanggil API tetapi tidak menerapkannya, pastikan Anda hanya menyesuaikan token ID aplikasi Anda.
Portal Microsoft Azure dan Microsoft Graph API juga memungkinkan Anda menyesuaikan token akses untuk aplikasi Anda, tetapi penyesuaian tersebut tidak berpengaruh. Anda tidak dapat menyesuaikan token akses untuk API yang tidak Anda miliki. Ingat, aplikasi Anda tidak boleh mencoba mendekode atau memeriksa token akses yang diterima aplikasi klien Anda sebagai otorisasi untuk memanggil API.
Menyesuaikan token akses
Saat mengembangkan API, Anda menyesuaikan token akses karena API Anda menerima token akses sebagai bagian dari panggilan klien ke API Anda.
Aplikasi klien selalu menyesuaikan token ID yang mereka terima untuk identitas pengguna. API menyesuaikan token akses yang diterima API sebagai bagian dari panggilan ke API.
Peran grup dan aplikasi
Salah satu teknik otorisasi yang paling umum adalah dengan mendasarkan akses pada keanggotaan grup pengguna atau peran yang ditetapkan. Mengonfigurasi klaim grup dan peran aplikasi dalam token menunjukkan kepada Anda cara mengonfigurasi aplikasi dengan definisi peran aplikasi dan menetapkan grup keamanan ke peran aplikasi. Metode ini membantu meningkatkan fleksibilitas dan kontrol sekaligus meningkatkan keamanan Zero Trust aplikasi dengan hak istimewa paling sedikit.
Langkah berikutnya
- Pemetaan klaim pengguna kolaborasi B2B menjelaskan dukungan MICROSOFT Entra ID untuk menyesuaikan klaim yang dikeluarkan dalam token Security Assertion Markup Language (SAML) untuk pengguna kolaborasi B2B.
- Menyesuaikan klaim token SAML aplikasi saat pengguna mengautentikasi ke aplikasi melalui platform identitas Microsoft menggunakan protokol SAML 2.0.
- API Protection menjelaskan praktik terbaik untuk melindungi API Anda melalui pendaftaran, menentukan izin dan persetujuan, dan menegakkan akses untuk mencapai tujuan Zero Trust Anda.
- Praktik terbaik otorisasi membantu Anda menerapkan model otorisasi, izin, dan persetujuan terbaik untuk aplikasi Anda.
- Gunakan identitas Zero Trust dan praktik terbaik pengembangan manajemen akses dalam siklus hidup pengembangan aplikasi Anda untuk membuat aplikasi yang aman.