권한 및 동의를 통해 ID를 보호하는 앱 빌드

이 문서는 제로 트러스트 ID 및 액세스 관리 개발 모범 사례 문서에서 SDLC(소프트웨어 개발 수명 주기)의 ID에 대한 제로 트러스트 접근 방식을 사용하는 데 도움이 됩니다.

인증, 권한 부여 및 ID 관리를 포함하는 ID 구성 요소를 자세히 살펴볼 수 있도록 이 개발자 가이드의 사용 권한 및 액세스 문서에 대한 개요는 다음과 같습니다.

• 애플리케이션을 Microsoft Entra ID와 통합하고 Microsoft ID 플랫폼 통해 개발자는 IT 전문가가 엔터프라이즈에서 보호할 수 있는 앱을 빌드하고 통합할 수 있습니다.
• 애플리케이션 등록은 개발자에게 애플리케이션 등록 프로세스 및 요구 사항을 소개합니다. 앱이 최소 권한 액세스를 사용하는 제로 트러스트 원칙을 충족하고 위반을 가정하도록 하는 데 도움이 됩니다.
• 단일 및 다중 테넌트 앱 에 대해 지원되는 ID 및 계정 유형은 앱이 Microsoft Entra 테넌트의 사용자, Microsoft Entra 테넌트 또는 개인 Microsoft 계정을 가진 사용자만 허용하는지 여부를 선택하는 방법을 설명합니다.
• 제로 트러스트 사용자를 인증하면 개발자가 제로 트러스트 애플리케이션 개발에서 애플리케이션 사용자를 인증하기 위한 모범 사례를 학습할 수 있습니다. 최소 권한의 제로 트러스트 원칙을 사용하여 애플리케이션 보안을 강화하고 명시적으로 확인하는 방법을 설명합니다.
• 리소스에 액세스하기 위한 권한 부여를 획득하면 애플리케이션에 대한 리소스 액세스 권한을 획득할 때 제로 트러스트 가장 잘 확인하는 방법을 이해하는 데 도움이 됩니다.
• 위임된 권한 전략을 개발하면 애플리케이션에서 사용 권한을 관리하는 최상의 방법을 구현하고 제로 트러스트 원칙을 사용하여 개발하는 데 도움이 됩니다.
• 애플리케이션 사용 권한 전략을 개발하면 자격 증명 관리에 대한 애플리케이션 사용 권한 접근 방식을 결정하는 데 도움이 됩니다.
• 관리 동의 가 필요한 요청 권한은 애플리케이션 사용 권한에 관리 동의가 필요한 경우 사용 권한 및 동의 환경을 설명합니다.
• 과도한 권한 및 앱을 줄이면 애플리케이션이 필요한 것보다 더 많은 권한을 요청하지 않아야 하는 이유를 이해하는 데 도움이 됩니다(과잉 권한). 액세스를 관리하고 보안을 개선하기 위해 권한을 제한하는 방법을 알아봅니다.
• 서비스(비사용자 애플리케이션)에 대한 Azure 리소스 모범 사례를 설명하는 사용자가 없는 경우 애플리케이션 ID 자격 증명을 제공합니다.
• 제로 트러스트 대한 토큰을 관리하면 개발자가 Microsoft ID 플랫폼 받을 수 있는 ID 토큰, 액세스 토큰 및 보안 토큰을 사용하여 애플리케이션에 보안을 구축할 수 있습니다.
• 토큰 사용자 지정은 Microsoft Entra 토큰에서 받을 수 있는 정보와 토큰을 사용자 지정하는 방법을 설명합니다.
• 지속적인 액세스 평가를 사용하여 애플리케이션을 보호하면 개발자가 연속 액세스 평가를 사용하여 애플리케이션 보안을 향상시킬 수 있습니다. Microsoft Entra ID에서 액세스 토큰을 획득할 때 리소스에 액세스하기 위한 권한 부여를 받는 앱에서 제로 트러스트 지원을 확인하는 방법을 알아봅니다.
• 토큰 에서 그룹 클레임 및 앱 역할을 구성하면 앱 역할 정의를 사용하여 앱을 구성하고 보안 그룹을 할당하는 방법을 보여 줍니다.
• API Protection은 등록을 통해 API를 보호하고, 사용 권한 및 동의를 정의하고, 제로 트러스트 목표를 달성하기 위해 액세스를 적용하는 모범 사례를 설명합니다.
• Microsoft ID 동의 프레임워크 로 보호되는 API의 예는 최상의 사용자 환경을 위한 최소 권한 애플리케이션 권한 전략을 설계하는 데 도움이 됩니다.
• 다른 API에서 API를 호출하면 다른 API를 호출해야 하는 API가 하나 있을 때 제로 트러스트 수 있습니다. 사용자를 대신하여 작업할 때 애플리케이션을 안전하게 개발하는 방법을 알아봅니다.
• 권한 부여 모범 사례는 애플리케이션에 대한 최상의 권한 부여, 권한 및 동의 모델을 구현하는 데 도움이 됩니다.

다음 단계

• 새 문서의 알림을 위해 제로 트러스트 원칙 RSS 피드를 사용하여 개발을 구독합니다.
• 제로 트러스트 원칙을 사용하여 개발하면 애플리케이션 보안을 개선할 수 있도록 제로 트러스트 원칙을 이해하는 데 도움이 됩니다.
• 제로 트러스트 규정 준수의 의미는 무엇인가요? 개발자의 관점에서 애플리케이션 보안에 대한 개요를 제공하여 제로 트러스트 원칙을 다룹니다.
• 애플리케이션 개발 수명 주기에서 제로 트러스트 ID 및 액세스 관리 개발 모범 사례를 사용하여 보안 애플리케이션을 만듭니다.
• 표준 기반 개발 방법론은 지원되는 표준 및 해당 이점에 대한 개요를 제공합니다.
• 애플리케이션 등록, 권한 부여 및 액세스 에 대한 개발자 및 관리자 책임은 IT 전문가와 더 잘 공동 작업하는 데 도움이 됩니다.
• Microsoft ID 플랫폼 기능 및 도구를 사용하여 제로 트러스트 준비 앱을 빌드하면 Microsoft ID 플랫폼 기능이 제로 트러스트 원칙에 매핑됩니다.
• ID 통합 가이드에서는 보안 솔루션을 Microsoft 제품과 통합하여 제로 트러스트 솔루션을 만드는 방법을 설명합니다.