Изучение условного доступа

  • 3 мин

Функция условного доступа в Azure Active Directory предлагает один из нескольких способов, которые можно использовать для защиты приложений и служб. Условный доступ позволяет разработчикам и корпоративным клиентам защищать службы множеством способов, включая следующие.

  • Многофакторная идентификация
  • разрешение доступа к определенным службам только устройствам, зарегистрированным в Intune;
  • ограничение расположения пользователей и диапазонов IP-адресов.

Как условный доступ влияет на приложения

В большинстве случаев условный доступ не изменяет поведение приложения и не требует каких-либо изменений от разработчика. Только в некоторых случаях, когда приложение косвенно или автоматически запрашивает маркер для службы, приложению требуется изменение кода для обработки запросов условного доступа.  Это может быть так же просто, как выполнение запроса на интерактивный вход.

В частности, придется менять код в следующих сценариях, чтобы решить задачу реализации условного доступа:

  • приложения, выполняющие поток On-Behalf-Of;
  • приложения, получающие доступ к нескольким службам или ресурсам;
  • одностраничные приложения, использующие MSAL.js;
  • Веб-приложения, вызывающие ресурс

Политики условного доступа можно применять к приложению, а также к веб-API, к которому обращается приложение. В зависимости от сценария корпоративный клиент может в любое время применять и удалять политики условного доступа. Чтобы приложение продолжало нормально работать после применения новой политики, реализуйте обработку запросов.

Примеры реализации условного доступа

В некоторых сценариях требуется изменять код для применения условного доступа, тогда как в других — нет. Ниже приведено несколько сценариев, использующих условный доступ для многофакторной проверки подлинности, которые дают некоторое представление о различиях.

  • Вы создаете однотенантное приложение iOS и применяете политику условного доступа. В приложении выполняется вход пользователя и оно не запрашивает доступ к API. При входе пользователя в систему политика вызывается автоматически, и пользователь должен выполнить многофакторную проверку подлинности.

  • Вы создаете приложение, которое использует службу среднего уровня для доступа к нижестоящему API. Корпоративный клиент в организации, использующей это приложение, применяет политику к нисходящему API. Когда пользователь входит в систему, приложение запрашивает доступ к среднему уровню и отправляет маркер. Средний уровень выполняет поток On-Behalf-Of для запроса доступа к нисходящему API. На этом этапе запрос утверждений передается на средний уровень. Средний уровень отправляет запрос обратно в приложение, которое должно соответствовать политике условного доступа.