Implementare la valutazione continua dell'accesso

  • 3 minuti

La scadenza e l'aggiornamento dei token sono un meccanismo standard del settore. Quando un'applicazione client come Outlook si connette a un servizio come Exchange Online, le richieste API vengono autorizzate usando i token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso sono validi per un'ora, quando scadono il client viene reindirizzato a Microsoft Entra ID per aggiornarli. Tale periodo di aggiornamento offre la possibilità di rivalutare i criteri per l'accesso degli utenti. Ad esempio, è possibile scegliere di non aggiornare il token a causa di un criterio di accesso condizionale o perché l'utente è stato disabilitato nella directory.

Tuttavia, esiste un ritardo tra il momento in cui le condizioni cambiano per un utente e quello in cui le modifiche ai criteri vengon applicate. Una risposta tempestiva alle violazioni dei criteri o ai problemi di sicurezza richiede realmente una "conversazione" tra l'emittente del token e la relying party (app abilitate). Questa conversazione bidirezionale offre due importanti funzionalità. La relying party può vedere quando le proprietà cambiano, ad esempio il percorso di rete, e comunicarlo all'autorità di certificazione del token. Inoltre offre all’autorità di certificazione del token un modo per indicare alla relying party di interrompere il rispetto dei token per un determinato utente a causa di una compromissione o disabilitazione dell'account o di altri problemi. Il meccanismo per questa conversazione è la valutazione dell'accesso continuo (continuous access evaluation, CAE).

Vantaggi

La valutazione dell'accesso continuo offre diversi vantaggi principali.

  • Cessazione dell’utente o modifica/reimpostazione della password: la revoca della sessione utente verrà applicata quasi in tempo reale.
  • Modifica del percorso di rete: i criteri dei percorsi di accesso condizionale verranno applicati quasi in tempo reale.
  • L'esportazione di token in un computer esterno a una rete attendibile può essere impedita con i criteri dei percorsi di accesso condizionale.

Flusso del processo di valutazione e revoca

Diagram of the process flow when an access token is revoked and a client has to reverify access.

  1. Un client abilitato per la valutazione dell'accesso continuo (CAE) presenta le credenziali o un token di aggiornamento a Microsoft Entra ID richiedendo un token di accesso per alcune risorse.
  2. Un token di accesso viene restituito insieme ad altri artefatti al client.
  3. Un amministratore revoca in modo esplicito tutti i token di aggiornamento per l'utente. Un evento di revoca verrà inviato al provider di risorse da Microsoft Entra ID.
  4. Viene presentato un token di accesso al provider di risorse. Il provider di risorse valuta la validità del token e verifica se è presente un evento di revoca per l'utente. Il provider di risorse usa queste informazioni per decidere di concedere o meno l'accesso alla risorsa.
  5. Nel caso del diagramma, il provider di risorse nega l'accesso e invia un test di attestazione 401+ al client.
  6. Il client abilitato per CAE riconosce il test di attestazione 401+. Ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme al test di attestazione a Microsoft Entra ID. Microsoft Entra ID rivaluta quindi tutte le condizioni e chiede all'utente di ripetere l'autenticazione in questo caso.