Metodtips för auktorisering

När du lär dig att utveckla med hjälp av Nolltillit principer fortsätter den här artikeln från Att skaffa auktorisering för att få åtkomst till resurser, Utveckla strategi för delegerade behörigheter och Utveckla en strategi för programbehörigheter. Det hjälper dig som utvecklare att implementera de bästa auktoriserings-, behörighets- och medgivandemodellerna för dina program.

Du kan implementera auktoriseringslogik i program eller lösningar som kräver åtkomstkontroll. När auktoriseringsmetoder förlitar sig på information om en autentiserad entitet kan ett program utvärdera information som utbyts under autentiseringen (till exempel information som tillhandahålls i en säkerhetstoken). När en säkerhetstoken inte innehåller information kan ett program göra anrop till externa resurser.

Du behöver inte bädda in auktoriseringslogik helt i ditt program. Du kan använda dedikerade auktoriseringstjänster för att centralisera implementering och hantering av auktorisering.

Metodtips för behörigheter

De mest antagna programmen i Microsoft Entra ID följer bästa praxis för medgivande och auktorisering. Läs Metodtips för att arbeta med microsoft Graph - och Microsoft Graph-behörighetsreferenser för att lära dig hur du kan tänka efter med dina behörighetsbegäranden.

• Använd minst behörighet. Begär endast nödvändiga behörigheter. Använd inkrementellt medgivande för att begära detaljerade behörigheter precis i tid. Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd.

• Använd rätt behörighetstyp baserat på scenarier. Undvik att använda både program- och delegerade behörigheter i samma app. Om du skapar ett interaktivt program där en inloggad användare finns bör ditt program använda delegerade behörigheter. Men om programmet körs utan en inloggad användare, till exempel en bakgrundstjänst eller daemon, bör programmet använda programbehörigheter.

• Ange villkor för tjänsten och sekretesspolicyn. Användarmedgivandeupplevelsen visar dina användarvillkor och sekretesspolicy för användarna för att hjälpa dem att veta att de kan lita på din app. De är särskilt viktiga för användarinriktade appar med flera klientorganisationer.

När du ska begära behörighet

Vissa behörigheter kräver att en administratör beviljar medgivande i en klientorganisation. De kan använda slutpunkten för administratörsmedgivande för att bevilja behörigheter till en hel klientorganisation. Det finns tre modeller som du kan följa för att begära behörigheter eller omfång.

• Implementera dynamiskt användarmedgivande vid inloggning eller första begäran om åtkomsttoken. Dynamiskt användarmedgivande kräver inget i din appregistrering. Du kan definiera de omfång som du behöver under vissa villkor (till exempel när du loggar in en användare för första gången). När du har begärt behörigheten och fått medgivande behöver du inte begära behörighet. Men om du inte har fått dynamiskt användarmedgivande vid inloggning eller första åtkomsten går det igenom behörighetsupplevelsen.

• Begär inkrementellt användarmedgivande efter behov. Med inkrementellt medgivande kombinerat med dynamiskt användarmedgivande behöver du inte begära alla behörigheter samtidigt. Du kan begära några behörigheter och sedan, när användaren övergår till olika funktioner i ditt program, begär du mer medgivande. Den här metoden kan öka användarens komfortnivå eftersom de stegvis beviljar behörigheter till ditt program. Om ditt program till exempel begär OneDrive-åtkomst kan det väcka misstankar om du också begär kalenderåtkomst. Be i stället användaren att lägga till kalenderpåminnelser mot sin OneDrive.

• Använd omfånget /.default . Omfånget /.default efterliknar effektivt den gamla standardupplevelsen som tittade på vad du lade till i programregistreringen, listade ut vilka medgivanden du behövde och bad sedan om alla medgivanden som ännu inte har beviljats. Det kräver inte att du inkluderar de behörigheter som du behöver i koden eftersom de finns i din appregistrering.

Bli verifierad utgivare

Microsoft-kunder beskriver ibland svårigheter med att bestämma när ett program ska få åtkomst till Microsofts identitetsplattform genom att logga in en användare eller anropa ett API. När de antar Nolltillit principer vill de:

• Ökad synlighet och kontroll.
• Mer proaktiva och enklare reaktiva beslut.
• System som skyddar data och minskar beslutsbördan.
• Snabbare appimplementering för betrodda utvecklare.
• Begränsat medgivande till appar med behörigheter med låg risk som är utgivare verifierade.

Även om åtkomst till data i API:er som Microsoft Graph gör att du kan skapa omfattande program, utvärderar din organisation eller din kund de behörigheter som appen begär tillsammans med appens tillförlitlighet.

Genom att bli Microsoft-verifierad utgivare kan du ge dina kunder en enklare upplevelse när det gäller att acceptera dina programbegäranden. När ett program kommer från en verifierad utgivare vet användare, IT-proffs och kunder att det kommer från någon som Microsoft har en affärsrelation med. En blå bockmarkering visas bredvid utgivarens namn (komponent nr 5 i exemplet behörigheter begärd medgivande nedan. Se komponenttabellen i Microsoft Entra-programmets medgivandeupplevelse). Användaren kan välja den verifierade utgivaren i medgivandeprompten för att visa mer information.

"Skärmbild av dialogrutan Behörigheter som begärs för medgivande visar komponentens byggstenar enligt beskrivningen i den länkade artikeln om microsoft Entra-programmedgivande. Framhävd är komponentnummer 5, som är namnet på den verifierade utgivaren, och en blå bockmarkering som användaren kan välja för att få mer information om utgivaren."

När du är en verifierad utgivare får användare och IT-proffs förtroende för ditt program eftersom du är en verifierad entitet. Utgivarverifiering ger bättre varumärkesanpassning för ditt program och ökad transparens, minskad risk och smidigare företagsimplementering för dina kunder.

Nästa steg

• Genom att utveckla en strategi för delegerade behörigheter kan du implementera den bästa metoden för att hantera behörigheter i ditt program och utveckla med hjälp av Nolltillit principer.
• Genom att utveckla en strategi för programbehörigheter kan du bestämma hur programmets behörigheter ska hanteras.
• Använd bästa praxis för utveckling av Nolltillit identitets- och åtkomsthantering i programutvecklingslivscykeln för att skapa säkra program.
• Metodtips för säkerhet för programegenskaper beskriver omdirigerings-URI, åtkomsttoken, certifikat och hemligheter, program-ID-URI och programägarskap.
• Anpassning av token beskriver den information som du kan ta emot i Microsoft Entra-token och hur du anpassar token för att förbättra flexibiliteten och kontrollen samtidigt som du ökar säkerheten för program utan förtroende med minsta möjliga behörighet.
• När du konfigurerar gruppanspråk och approller i token visas hur du konfigurerar dina appar med approlldefinitioner och tilldelar säkerhetsgrupper till approller för att förbättra flexibiliteten och kontrollen samtidigt som du ökar säkerheten för program utan förtroende med minsta möjliga behörighet.
• API Protection beskriver metodtips för att skydda ditt API genom registrering, definiera behörigheter och medgivande samt framtvinga åtkomst för att uppnå dina Nolltillit mål.
• När du skaffar auktorisering för åtkomst till resurser kan du förstå hur du bäst kan säkerställa Nolltillit när du hämtar behörigheter för resursåtkomst för ditt program.