Odnajdywanie dostępu warunkowego

  • 3 min

Funkcja dostępu warunkowego w usłudze Azure Active Directory oferuje jeden z kilku sposobów, których można użyć do zabezpieczenia aplikacji i ochrony usługi. Dostęp warunkowy umożliwia deweloperom i klientom korporacyjnym ochronę usług na wiele sposobów, w tym:

  • Uwierzytelnianie wieloskładnikowe
  • Zezwalanie tylko Intune zarejestrowanym urządzeniom na dostęp do określonych usług
  • Ograniczanie lokalizacji użytkowników i zakresów adresów IP

Jak dostęp warunkowy wpływa na aplikację?

W większości przypadków dostęp warunkowy nie zmienia zachowania aplikacji ani nie wymaga żadnych zmian od dewelopera. Tylko w niektórych przypadkach, gdy aplikacja pośrednio lub dyskretnie żąda tokenu dla usługi, aplikacja wymaga zmian kodu w celu obsługi wyzwań związanych z dostępem warunkowym. Może to być tak proste, jak wykonywanie interakcyjnego żądania logowania.

W szczególności następujące scenariusze wymagają kodu, aby sprostać wyzwaniom związanym z dostępem warunkowym:

  • Aplikacje wykonujące przepływ w imieniu
  • Aplikacje, które uzyskują dostęp do wielu usług/zasobów
  • Aplikacje jednostronicowe korzystające z MSAL.js
  • Aplikacje internetowe wywołujące zasób

Zasady dostępu warunkowego można zastosować do aplikacji, a także internetowy interfejs API, do których uzyskuje dostęp aplikacja. W zależności od scenariusza klient przedsiębiorstwa może zastosować i usunąć zasady dostępu warunkowego w dowolnym momencie. Aby aplikacja nadal działała po zastosowaniu nowych zasad, zaimplementuj obsługę wyzwań.

Przykłady dostępu warunkowego

Niektóre scenariusze wymagają zmian kodu w celu obsługi dostępu warunkowego, podczas gdy inne działają tak, jak to jest. Poniżej przedstawiono kilka scenariuszy korzystających z dostępu warunkowego do uwierzytelniania wieloskładnikowego, które daje pewien wgląd w różnicę.

  • Tworzysz aplikację dla systemu iOS z jedną dzierżawą i stosujesz zasady dostępu warunkowego. Aplikacja loguje się użytkownika i nie żąda dostępu do interfejsu API. Gdy użytkownik się zaloguje, zasady są wywoływane automatycznie, a użytkownik musi przeprowadzić uwierzytelnianie wieloskładnikowe.

  • Tworzysz aplikację, która używa usługi warstwy środkowej do uzyskiwania dostępu do podrzędnego interfejsu API. Klient korporacyjny w firmie korzystającej z tej aplikacji stosuje zasady do podrzędnego interfejsu API. Gdy użytkownik końcowy się zaloguje, aplikacja żąda dostępu do warstwy środkowej i wysyła token. Warstwa środkowa wykonuje przepływ w imieniu, aby zażądać dostępu do podrzędnego interfejsu API. W tym momencie oświadczenia "wyzwanie" są prezentowane w warstwie środkowej. Warstwa środkowa wysyła wyzwanie z powrotem do aplikacji, która musi być zgodna z zasadami dostępu warunkowego.