Autentifikavimo saugos architektūra bandymo modulyje (nebenaudojama)

Pastaba.

Bandomasis modulis yra nebenaudojamas ir bus pašalintas būsimame leidime. Naudokite Power Platform Playwright pavyzdžius testavimo automatizavimo galimybėms "Power Platform" ir Dynamics 365 tarnybose.

Šiame techniniame dokumente aprašoma "Power Apps" bandymo modulio autentifikavimo mechanizmų saugos architektūra. Į vartotoją orientuotų nurodymų, kaip pasirinkti ir konfigūruoti autentifikavimo metodus, ieškokite Autentifikavimo vadove.

Autentifikavimo metodų apžvalga

Bandymo variklis palaiko du pagrindinius autentifikavimo metodus:

  • Saugojimo būsenos autentifikavimas - pagrįstas nuolatiniais naršyklės slapukais ir saugojimo būsena
  • Sertifikatu pagrįstas autentifikavimas , pagrįstas X.509 sertifikatais ir Dataverse integracija

Abu metodai skirti palaikyti šiuolaikinius saugumo reikalavimus, įskaitant kelių dalių autentifikavimą (MFA) ir sąlyginės prieigos politiką.

Saugojimo būsenos autentifikavimo architektūra

Saugojimo būsenos autentifikavimo metodas naudoja "Dramawright" naršyklės konteksto valdymą, kad saugiai saugotų ir pakartotinai naudotų autentifikavimo žetonus.

Autentiškumo patvirtinimo srauto bandomajame variklyje apžvalga

Windows duomenų apsaugos diegimas

Vietinės saugyklos būsenos diegimas naudoja Windows duomenų apsaugos API (DPAPI) saugiai saugyklai:

Autentifikavimo naudojant vietinę Windows duomenų apsaugos API (DPAPI) apžvalga

Saugos klausimai

Saugojimo valstybės saugumo architektūroje numatyta:

  • Autentifikavimo žetonų apsauga ramybės būsenoje naudojant DPAPI šifravimą
  • Microsoft Entra MFA ir sąlyginės prieigos strategijų palaikymas
  • Smėlio dėžės izoliacija per dramaturgo naršyklės kontekstus
  • "Microsoft Entra" seanso trukmės strategijų laikymasis

Sertifikatu pagrįsta autentifikavimo architektūra

Sertifikatu pagrįstas autentifikavimas integruojamas su Dataverse X.509 sertifikatais ir naudoja juos X.509 sertifikatams, kad būtų pagerinta saugoma sauga ir užšifruota neaktyvi informacija.

Autentifikavimo naudojant apžvalga Dataverse

Dataverse Saugojimo įgyvendinimas

Diegimas Dataverse naudoja pasirinktinę XML saugyklą saugiam apsaugos raktų saugojimui:

Reikšmių Dataverse saugojimo apžvalga

Šifravimo technologija

Tolesniuose skyriuose aprašomi šifravimo algoritmai ir raktų valdymo metodai, kuriuos naudoja "Test Engine", kad apsaugotų autentifikavimo duomenis ramybės būsenoje ir juos perduodant.

AES-256-CBC + HMACSHA256

Pagal numatytuosius nustatymus duomenų reikšmės yra užšifruotos AES-256-CBC ir HMACSHA256 deriniu:

Šifravimo Dataverse naudojant ASP.Net duomenų apsaugos API apžvalga

Šis metodas suteikia:

  1. Konfidencialumas naudojant AES-256 šifravimą
  2. Vientisumas per HMAC patvirtinimą
  3. Duomenų šaltinio autentifikavimas

Duomenų apsaugos API integravimas

"Test Engine" integruojamas su "ASP.NET Core" duomenų apsaugos API, skirta raktų valdymui ir šifravimui:

Duomenų apsaugos API naudojimo apžvalga Dataverse

Pasirinktinės XML saugyklos diegimas

Bandymo variklis įdiegia pasirinktinį IXmlRepository integravimui Dataverse :

Duomenų apsaugos API pasirinktinio XML teikėjo apžvalga

Sąlyginė prieiga ir MFA suderinamumas

"Test Engine" autentifikavimo architektūra sukurta taip, kad sklandžiai veiktų su "Microsoft Entra" sąlyginės prieigos strategijomis:

Sąlyginės prieigos politikos ir kelių veiksnių autentifikavimo apžvalga

Išplėstiniai saugos aspektai

Tolesniuose skyriuose pabrėžiamos kitos saugos funkcijos ir integracijos, kurios pagerina autentifikavimo duomenų apsaugą ir palaiko saugias operacijas įmonės aplinkose.

Dataverse Saugumo modelio integracija

Bandomasis variklis naudoja Dataverse patikimą apsaugos modelį:

  • Įrašo lygio sauga – valdo prieigą prie saugomų autentifikavimo duomenų
  • Bendrinimo modelis - leidžia saugiai bendrinti bandymo autentifikavimo kontekstus
  • Auditas – seka prieigą prie slaptų autentifikavimo duomenų
  • Stulpelio lygio sauga - suteikia išsamią jautrių laukų apsaugą

Azure CLI atpažinimo ženklų valdymas

Autentifikavimui Dataverse bandomasis variklis saugiai gauna prieigos žetonus:

Azure komandine eilute (CLI) pagrįsto autentifikavimo apžvalga

Geriausia saugos praktika

Įgyvendindami bandomojo variklio autentifikavimą, atsižvelkite į šiuos geriausios saugos praktikos pavyzdžius:

  • Mažiausia privilegijų prieiga – suteikite minimalius būtinus leidimus paskyroms tikrinti
  • Reguliarus sertifikatų kaitaliojimas – periodiškai atnaujinkite sertifikatus
  • Saugūs CI / CD kintamieji - apsaugokite vamzdyno kintamuosius, kuriuose yra slaptų duomenų
  • Prieiga prie audito – stebėkite prieigą prie autentifikavimo išteklių
  • Aplinkos izoliacija - Bandymams naudokite atskiras aplinkas

Būsimi saugos patobulinimai

Galimi būsimi autentifikavimo saugos architektūros patobulinimai:

  • Integracija su "Azure Key Vault" patobulintam slaptumo valdymui
  • Valdomų tapatybių palaikymas "Azure" aplinkose
  • Patobulintos registravimo ir saugos stebėjimo galimybės
  • Daugiau apsaugos teikėjų kelių platformų scenarijams

Duomenų apsauga ASP.NET Core
Windows duomenų apsaugos API
Microsoft Entra autentifikavimas
Dataverse Saugumo modelis
X.509 sertifikatu pagrįstas autentifikavimas

  • Last updated on