Menerapkan evaluasi akses berkelanjutan

  • 3 menit

Kedaluwarsa dan refresh token adalah mekanisme standar dalam industri ini. Saat aplikasi klien seperti Outlook terhubung ke layanan seperti Exchange Online, permintaan API diotorisasi menggunakan token akses OAuth 2.0. Secara default, token akses berlaku selama satu jam, ketika kedaluwarsa klien dialihkan ke ID Microsoft Entra untuk merefreshnya. Periode refresh tersebut memberikan kesempatan untuk mengevaluasi kembali kebijakan untuk akses pengguna. Misalnya: kami dapat memilih untuk tidak merefresh token karena kebijakan Akses Bersyarat, atau karena pengguna telah dinonaktifkan di direktori.

Namun, ada jeda antara saat kondisi berubah untuk pengguna, dan perubahan kebijakan diterapkan. Respons tepat waktu terhadap pelanggaran kebijakan atau masalah keamanan benar-benar memerlukan "percakapan" antara penerbit token, dan pihak yang mengandalkan (aplikasi tercerahkan). Percakapan dua arah ini memberi kami dua kemampuan penting. Pihak yang mengandalkan dapat melihat kapan properti berubah, seperti lokasi jaringan, dan memberi tahu penerbit token. Ini juga memberi penerbit token cara untuk memberi tahu pihak yang mengandalkan untuk berhenti menggunakan token bagi pengguna tertentu dikarenakan penyusupan akun, penonaktifan, atau masalah lainnya. Mekanisme untuk percakapan ini adalah evaluasi akses berkelanjutan (CAE).

Keuntungan

Ada beberapa keuntungan utama untuk evaluasi akses berkelanjutan.

  • Penghentian pengguna atau perubahan/reset kata sandi: Pencabutan sesi pengguna akan diberlakukan dalam waktu hampir real time.
  • Perubahan lokasi jaringan: Kebijakan lokasi Akses Bersyarat akan diberlakukan dalam waktu hampir real time.
  • Ekspor token ke mesin di luar jaringan tepercaya dapat dicegah dengan kebijakan lokasi Akses Bersyarat.

Alur proses evaluasi dan pencabutan

Diagram of the process flow when an access token is revoked and a client has to reverify access.

  1. Klien berkemampuan evaluasi akses berkelanjutan (CAE) menyajikan kredensial atau token refresh ke ID Microsoft Entra yang meminta token akses untuk beberapa sumber daya.
  2. Token akses dikembalikan bersama dengan artefak lain ke klien.
  3. Administrator secara eksplisit mencabut semua token refresh untuk pengguna. Peristiwa pencabutan akan dikirim ke penyedia sumber daya dari ID Microsoft Entra.
  4. Token akses diberikan ke penyedia sumber daya. Penyedia sumber mengevaluasi validitas token dan memeriksa apakah ada peristiwa pencabutan untuk pengguna. Penyedia sumber daya menggunakan informasi ini guna memutuskan untuk memberikan akses ke sumber daya atau tidak.
  5. Dalam kasus diagram, penyedia sumber daya menolak akses, dan mengirimkan tantangan klaim 401+ kembali ke klien.
  6. Klien berkemampuan CAE memahami tantangan klaim 401+. Ini melewati cache dan kembali ke langkah 1, mengirim token refresh bersama dengan tantangan klaim kembali ke ID Microsoft Entra. ID Microsoft Entra kemudian akan mengevaluasi ulang semua kondisi dan meminta pengguna untuk mengautentikasi ulang dalam hal ini.