Op standaarden gebaseerde ontwikkelingsmethodologieën
Als ontwikkelaar kunt u goed gebruikmaken van industriestandaarden voor softwareontwikkeling, uitgebreid met de Microsoft Authentication Library (MSAL). In dit artikel geven we een overzicht van ondersteunde standaarden en hun voordelen in het Microsoft Identity Platform. Zorg ervoor dat uw cloudtoepassingen voldoen aan Zero Trust-vereisten voor optimale beveiliging.
Hoe zit het met protocollen?
Houd bij het implementeren van protocollen rekening met de kosten die tijd omvatten om code te schrijven die volledig up-to-date is met alle aanbevolen procedures en de aanbevolen procedures voor OAuth 2.0 voor veilige implementatie volgt. In plaats daarvan raden we u aan een goed onderhouden bibliotheek (met een voorkeur voor MSAL) te gebruiken wanneer u rechtstreeks bouwt naar Microsoft Entra ID of Microsoft Identity.
We optimaliseren MSALs voor het bouwen en werken met Microsoft Entra-id. Als uw omgeving geen MSAL heeft of mogelijkheden heeft ontgrendeld in een eigen bibliotheek, kunt u uw toepassing ontwikkelen met het Microsoft Identity Platform. Bouw voort op OAuth 2.0-mogelijkheden en OpenID-Verbinding maken. Houd rekening met de kosten voor het correct terugvallen van een protocol.
Hoe het Microsoft Identity Platform standaarden ondersteunt
Om Zero Trust het meest efficiënt en effectief te bereiken, ontwikkelt u toepassingen met industriestandaarden die door het Microsoft Identity Platform worden ondersteund:
OAuth 2.0- en OpenID Connect
Als het industrieprotocol voor autorisatie biedt OAuth 2.0 gebruikers beperkte toegang tot beveiligde resources. OAuth 2.0 werkt met Hypertext Transfer Protocol (HTTP) om de clientrol te scheiden van de resource-eigenaar. Clients gebruiken tokens voor toegang tot beveiligde resources op een resourceserver.
Met OpenID Verbinding maken constructies kunnen Microsoft Entra-extensies de beveiliging verbeteren. Deze Microsoft Entra-extensies zijn de meest voorkomende:
- Met verificatiecontext voor voorwaardelijke toegang kunnen apps gedetailleerde beleidsregels toepassen om gevoelige gegevens en acties te beveiligen in plaats van alleen op app-niveau.
- Met Continuous Access Evaluation (CAE) kunnen Microsoft Entra-toepassingen zich abonneren op kritieke gebeurtenissen voor evaluatie en afdwinging. CAE bevat evaluatie van riskante gebeurtenissen, zoals uitgeschakelde of verwijderde gebruikersaccounts, wachtwoordwijzigingen, tokenintrekkingen en gedetecteerde gebruikers.
Wanneer uw toepassingen verbeterde beveiligingsfuncties zoals CAE en voorwaardelijke toegangsverificatie gebruiken, moeten ze code bevatten om problemen met claims te beheren. Met open protocollen gebruikt u claimsuitdagingen en claimsaanvragen om andere clientmogelijkheden aan te roepen. Bijvoorbeeld, die aan apps aangeeft dat ze interactie met Microsoft Entra-id moeten herhalen vanwege een anomalie. Een ander scenario is wanneer de gebruiker niet meer voldoet aan de voorwaarden waaronder deze eerder is geverifieerd. U kunt coderen voor deze extensies zonder storende primaire verificatiecodestromen.
Security Assertions Markup Language (SAML)
Het Microsoft Identity Platform maakt gebruik van SAML 2.0 om uw Zero Trust-toepassingen in staat te stellen een gebruikerservaring met eenmalige aanmelding (SSO) te bieden. SamL-profielen voor eenmalige aanmelding en eenmalige aanmelding in Microsoft Entra ID leggen uit hoe de id-provider gebruikmaakt van SAML-asserties, protocollen en bindingen. Voor het SAML-protocol moeten de id-provider (Microsoft Identity Platform) en de serviceprovider (uw toepassing) informatie over zichzelf uitwisselen. Wanneer u uw Zero Trust-toepassing registreert bij Microsoft Entra ID, registreert u federatiegerelateerde informatie met de omleidings-URI en metagegevens-URI van de toepassing met Microsoft Entra-id.
Voordelen van MSAL via protocollen
Microsoft optimaliseert MSALs voor het Microsoft Identity Platform en biedt de beste ervaring voor SSO, tokencaching en uitvaltolerantie. Omdat MSALs algemeen beschikbaar zijn, blijven we de dekking van talen en frameworks uitbreiden.
Met MSAL verkrijgt u tokens voor toepassingstypen die webtoepassingen, web-API's, apps met één pagina, mobiele en systeemeigen toepassingen, daemons en toepassingen aan de serverzijde omvatten. MSAL maakt snelle en eenvoudige integratie mogelijk met beveiligde toegang tot gebruikers en gegevens via Microsoft Graph en API's. Met best-in-class verificatie-bibliotheken kunt u elke doelgroep bereiken en de levenscyclus van Microsoft Security Development volgen.
Volgende stappen
- Microsoft Identity Platform-verificatiebibliotheken beschrijven ondersteuning voor toepassingstypen .
- Ontwikkelen met behulp van Zero Trust-principes helpt u de leidende principes van Zero Trust te begrijpen, zodat u de beveiliging van uw toepassing kunt verbeteren.
- Gebruik best practices voor identiteits- en toegangsbeheer van Zero Trust in de ontwikkelingslevenscyclus van uw toepassing om veilige toepassingen te maken.
- Het bouwen van apps met een Zero Trust-benadering voor identiteit biedt een overzicht van machtigingen en aanbevolen procedures voor toegang.
- Ontwikkelaars- en beheerdersverantwoordelijkheden voor toepassingsregistratie, autorisatie en toegang helpen u om beter samen te werken met uw IT-professionals.
- API Protection beschrijft aanbevolen procedures voor het beveiligen van uw API via registratie, het definiëren van machtigingen en toestemming en het afdwingen van toegang om Zero Trust-doelen te bereiken.
- Tokens aanpassen beschrijft de informatie die u kunt ontvangen in Microsoft Entra-tokens. Hierin wordt uitgelegd hoe tokenaanpassing de flexibiliteit en controle verbetert terwijl de beveiliging van Zero Trust met minimale bevoegdheden toeneemt.
- In tokens worden groepsclaims en app-rollen in tokens beschreven hoe u apps configureert met app-roldefinities en beveiligingsgroepen toewijst aan app-rollen. Deze aanpak verbetert de flexibiliteit en controle terwijl de beveiliging van Zero Trust met minimale bevoegdheden toeneemt.