Implementera kontinuerlig åtkomstutvärdering

  • 3 minuter

Förfallodatum och uppdatering av token är en standardmekanism i branschen. När ett klientprogram som Outlook ansluter till en tjänst som Exchange Online, auktoriseras API-begäranden med hjälp av OAuth 2.0-åtkomsttoken. Som standard är åtkomsttoken giltiga i en timme, när de upphör att gälla omdirigeras klienten till Microsoft Entra-ID för att uppdatera dem. Den uppdateringsperioden ger en möjlighet att omvärdera principer för användaråtkomst. Vi kan till exempel välja att inte uppdatera token på grund av en princip för villkorsstyrd åtkomst eller för att användaren har inaktiverats i katalogen.

Det finns dock en fördröjning mellan när villkoren ändras för en användare och när principändringar tillämpas. Ett snabbt svar på principöverträdelser eller säkerhetsproblem kräver verkligen en "konversation" mellan tokenutfärdaren och den förlitande parten (den upplysta appen). Den här dubbelriktade konversationen ger oss två viktiga funktioner. Den förlitande parten kan se när egenskaper ändras, till exempel nätverksplats, och berätta för tokenutfärdaren. Det ger också tokenutfärdaren ett sätt att uppmana den förlitande parten att sluta respektera token för en viss användare på grund av kontokomprogment, inaktivering eller andra problem. Mekanismen för den här konversationen är kontinuerlig åtkomstutvärdering (CAE).

Förmåner

Det finns flera viktiga fördelar med kontinuerlig åtkomstutvärdering.

  • Användarens uppsägning eller lösenordsändring/återställning: Återkallning av användarsession tillämpas nästan i realtid.
  • Ändring av nätverksplats: Platsprinciper för villkorsstyrd åtkomst tillämpas nästan i realtid.
  • Tokenexport till en dator utanför ett betrott nätverk kan förhindras med platsprinciper för villkorsstyrd åtkomst.

Processflöde för utvärdering och återkallande

Diagram of the process flow when an access token is revoked and a client has to reverify access.

  1. En CAE-kompatibel klient (Continuous Access Evaluation) presenterar autentiseringsuppgifter eller en uppdateringstoken till Microsoft Entra-ID och ber om en åtkomsttoken för någon resurs.
  2. En åtkomsttoken returneras tillsammans med andra artefakter till klienten.
  3. En administratör återkallar uttryckligen alla uppdateringstoken för användaren. En återkallningshändelse skickas till resursprovidern från Microsoft Entra-ID.
  4. En åtkomsttoken visas för resursprovidern. Resursprovidern utvärderar tokens giltighet och kontrollerar om det finns någon återkallningshändelse för användaren. Resursprovidern använder den här informationen för att besluta att bevilja åtkomst till resursen eller inte.
  5. När det gäller diagrammet nekar resursprovidern åtkomst och skickar en 401+ anspråksutmaning tillbaka till klienten.
  6. Den CAE-kompatibla klienten förstår 401+ anspråksutmaningen. Den kringgår cacheminnena och går tillbaka till steg 1 och skickar sin uppdateringstoken tillsammans med anspråksutmaningen tillbaka till Microsoft Entra-ID. Microsoft Entra-ID utvärderar sedan alla villkor igen och uppmanar användaren att autentisera igen i det här fallet.