Implementare la valutazione continua dell'accesso
La scadenza e l'aggiornamento dei token sono un meccanismo standard del settore. Quando un'applicazione client come Outlook si connette a un servizio come Exchange Online, le richieste API vengono autorizzate usando i token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso sono validi per un'ora, quando scadono il client viene reindirizzato a Microsoft Entra ID per aggiornarli. Tale periodo di aggiornamento offre la possibilità di rivalutare i criteri per l'accesso degli utenti. Ad esempio, è possibile scegliere di non aggiornare il token a causa di un criterio di accesso condizionale o perché l'utente è stato disabilitato nella directory.
Tuttavia, esiste un ritardo tra il momento in cui le condizioni cambiano per un utente e quello in cui le modifiche ai criteri vengon applicate. Una risposta tempestiva alle violazioni dei criteri o ai problemi di sicurezza richiede realmente una "conversazione" tra l'emittente del token e la relying party (app abilitate). Questa conversazione bidirezionale offre due importanti funzionalità. La relying party può vedere quando le proprietà cambiano, ad esempio il percorso di rete, e comunicarlo all'autorità di certificazione del token. Inoltre offre all’autorità di certificazione del token un modo per indicare alla relying party di interrompere il rispetto dei token per un determinato utente a causa di una compromissione o disabilitazione dell'account o di altri problemi. Il meccanismo per questa conversazione è la valutazione dell'accesso continuo (continuous access evaluation, CAE).
Vantaggi
La valutazione dell'accesso continuo offre diversi vantaggi principali.
- Cessazione dell’utente o modifica/reimpostazione della password: la revoca della sessione utente verrà applicata quasi in tempo reale.
- Modifica del percorso di rete: i criteri dei percorsi di accesso condizionale verranno applicati quasi in tempo reale.
- L'esportazione di token in un computer esterno a una rete attendibile può essere impedita con i criteri dei percorsi di accesso condizionale.
Flusso del processo di valutazione e revoca
- Un client abilitato per la valutazione dell'accesso continuo (CAE) presenta le credenziali o un token di aggiornamento a Microsoft Entra ID richiedendo un token di accesso per alcune risorse.
- Un token di accesso viene restituito insieme ad altri artefatti al client.
- Un amministratore revoca in modo esplicito tutti i token di aggiornamento per l'utente. Un evento di revoca verrà inviato al provider di risorse da Microsoft Entra ID.
- Viene presentato un token di accesso al provider di risorse. Il provider di risorse valuta la validità del token e verifica se è presente un evento di revoca per l'utente. Il provider di risorse usa queste informazioni per decidere di concedere o meno l'accesso alla risorsa.
- Nel caso del diagramma, il provider di risorse nega l'accesso e invia un test di attestazione 401+ al client.
- Il client abilitato per CAE riconosce il test di attestazione 401+. Ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme al test di attestazione a Microsoft Entra ID. Microsoft Entra ID rivaluta quindi tutte le condizioni e chiede all'utente di ripetere l'autenticazione in questo caso.