Responsabilidades do desenvolvedor e administrador para registro, autorização e acesso de aplicativos
Como desenvolvedor que cria aplicativos na plataforma de identidade da Microsoft, você trabalha com profissionais de TI que têm privilégios de administrador no Microsoft Entra ID para permitir que seus aplicativos aproveitem ao máximo a plataforma de identidade da Microsoft. Saber o que seus profissionais de TI precisam de você e o que você precisa deles ajuda você a simplificar seu fluxo de trabalho de desenvolvimento zero trust.
Desenvolvedores e profissionais de TI devem trabalhar juntos
As organizações de TI estão cada vez mais bloqueando aplicativos com vulnerabilidades. À medida que os departamentos de TI adotam uma abordagem Zero Trust, os desenvolvedores que não fornecem aplicativos que seguem os princípios Zero Trust correm o risco de não ter seus aplicativos adotados. Seguir os princípios do Zero Trust pode ajudar a garantir que seu aplicativo seja qualificado para adoção em um ambiente Zero Trust.
Os desenvolvedores de aplicativos geralmente implementam, avaliam e validam aspetos do Zero Trust antes de trabalhar com os profissionais de TI de uma organização para alcançar total conformidade e adesão. Os desenvolvedores são responsáveis por criar e integrar aplicativos para que os profissionais de TI possam usar suas ferramentas para proteger ainda mais os aplicativos. A parceria com profissionais de TI pode ajudá-lo a:
- Minimize a probabilidade ou evite o comprometimento da segurança.
- Responda rapidamente ao compromisso e reduza os danos.
A tabela a seguir resume as decisões e tarefas necessárias para que as funções de desenvolvedor e profissional de TI criem e implantem aplicativos seguros na plataforma de identidade da Microsoft. Continue lendo para obter os principais detalhes e links para artigos para ajudá-lo a planejar o desenvolvimento seguro de seus aplicativos.
Programador
- Registre o aplicativo na plataforma de identidade da Microsoft.
- Defina os tipos de conta suportados.
- Determine se o aplicativo funciona em nome próprio ou do usuário.
- Defina os recursos necessários e como/quando solicitar permissão.
Administrador de profissionais de TI
- Configure quem pode registrar aplicativos no locatário.
- Atribua usuários, grupos e funções do aplicativo.
- Conceda permissões a aplicativos.
- Defina políticas, incluindo a política de acesso condicional.
Considerações sobre Zero Trust
Quando as entidades (indivíduos, aplicativos, dispositivos) precisam acessar recursos em seu aplicativo, você trabalha com profissionais de TI e considera opções de Zero Trust e imposição de políticas de segurança. Juntos, vocês decidem quais políticas de acesso implementar e aplicar. O mecanismo de aplicação de políticas da Microsoft precisa estar em contato com inteligência de ameaças, processamento de sinais e políticas existentes. Toda vez que uma entidade precisa acessar um recurso, ela passa pelo mecanismo de imposição de políticas.
Os profissionais de TI podem aplicar políticas de acesso condicional a aplicativos SAML (Security Assertions Markup Language) na autenticação. Para aplicativos OAuth 2.0, eles podem aplicar políticas quando um aplicativo tenta acessar um recurso. Os profissionais de TI determinam quais políticas de acesso condicional se aplicam ao seu aplicativo (SAML) ou aos recursos que seu aplicativo acessa (OAuth 2.0).
Próximos passos
- Personalizar tokens descreve as informações que você pode receber nos tokens do Microsoft Entra. Ele explica como personalizar tokens para melhorar a flexibilidade e o controle e, ao mesmo tempo, aumentar a segurança de confiança zero do aplicativo com o menor privilégio.
- Configurar declarações de grupo e funções de aplicativo em tokens mostra como configurar seus aplicativos com definições de função de aplicativo e atribuir grupos de segurança a funções de aplicativo. Esses métodos ajudam a melhorar a flexibilidade e o controle e, ao mesmo tempo, aumentam a segurança de confiança zero do aplicativo com o menor privilégio.
- O que queremos dizer com conformidade com Zero Trust? fornece uma visão geral da segurança de aplicativos da perspetiva de um desenvolvedor para abordar os princípios orientadores do Zero Trust.
- Use as práticas recomendadas de desenvolvimento de gerenciamento de acesso e identidade Zero Trust em seu ciclo de vida de desenvolvimento de aplicativos para criar aplicativos seguros.
- As metodologias de desenvolvimento baseadas em padrões fornecem uma visão geral dos padrões suportados e seus benefícios.
- As práticas recomendadas de autorização ajudam você a implementar os melhores modelos de autorização, permissão e consentimento para seus aplicativos.