Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bir geliştirici olarak, başka bir API'yi çağırması gereken bir API'niz olduğunda Sıfır Güven'i nasıl güvence altına alısınız? Bu makalede, bir kullanıcı adına çalışırken uygulamanızı güvenli bir şekilde geliştirmeyi öğreneceksiniz.
Kullanıcı bir uygulamanın kullanıcı arabirimini kullandığında, API'nin uygulamanın kimin adına çalıştığını bilmesi için temsilci izni kullanabilir. Uygulamanın API'yi çağırırken sağladığı erişim belirtecinde konu (sub) talebi veya nesne kimliği (oid) ve kiracı kimliği (tid) taleplerini inceler. API, güvenilmeyen uygulamaya güvenmez. Bu yalnızca ağdaki bir yerden gelen bir çağrıdır. Bunun yerine, belirteci doğrular ve bu sayede API'nin yalnızca Microsoft Entra ID tarafından doğrulanmış uygulama kullanıcısı adına çalıştığından emin olur.
Bir API ( bunu Özgün API olarak adlandırıyoruz) başka bir API çağırdığında, çağırdığımız API'nin ( Aşağı Akış API'si olarak adlandırıyoruz) doğrulama işlemini takip etmek çok önemlidir. Aşağı Akış API'sinde güvenilmeyen bir ağ kaynağı kullanılamaz. Doğrulanmış bir erişim belirtecinden kullanıcı kimliğini alması gerekir.
Aşağı Akış API'sinin doğru doğrulama işlemini izlememesi durumunda, Aşağı Akış API'sinin kullanıcının kimliğini başka bir şekilde sağlamak için Özgün API'ye güvenmesi gerekir. Aşağı Akış API'si, işlemi gerçekleştirmek için yanlış bir uygulama izni kullanabilir. Ardından Özgün API, kullanıcıların Aşağı Akış API'sine karşı hangi sonuçlara ulaşabileceğine ilişkin tek yetkili olur. Özgün API, kullanıcının isteyerek (veya istemeden) kullanıcının başka türlü gerçekleştiremeyen bir görevi gerçekleştirmesine izin verebilir. Örneğin, bir kullanıcı başka bir kullanıcının ayrıntılarını değiştirebilir veya kullanıcının erişim izni olmayan belgeleri okuyup güncelleştirebilir. Yanlış doğrulama ciddi güvenlik sorunlarına neden olabilir.
Daha iyi güvenlik için Özgün API, Özgün API çağrı yaptığında Alt Akış API'sine sağlamak üzere delege edilen izin erişim belirteci alır. Şimdi bunun nasıl çalıştığını inceleyelim.
- İstemci Uygulaması, Özgün API'yi çağırmak için erişim belirteci alır. İstemci Uygulaması, orijinal API'ye yetki verilmiş izin erişim belirteci alır. Temsilci izin erişim belirteci, yetkilendirme gerektiren Özgün API'yi çağırmak için kullanıcı adına çalışmasına olanak tanır.
- İstemci Uygulaması, Orijinal API'ye erişim belirteci verir. İstemci Uygulaması, Özgün API'ye erişim belirtecini verir. Özgün API, İstemci Uygulaması kullanıcısının kimliğini belirlemek için erişim belirtecini tam olarak doğrular ve inceler.
- Özgün API, belirteç doğrulama ve uygulama gerçekleştirir. İstemci Uygulaması Orijinal API'ye erişim belirtecini verdikten sonra, Orijinal API belirteç doğrulaması ve zorlaması yapar. Her şey yolundaysa, API devam eder ve İstemci Uygulaması isteğine hizmet eder.
- Özgün API, Aşağı Akış API'sini çağırmak için erişim belirtecini kullanamaz. Özgün API bir Aşağı Akış API'sini çağırmak istiyor. Ancak Özgün API, Aşağı Akış API'sini çağırmak için erişim belirtecini kullanamaz.
- Özgün API, Microsoft Entra Id'ye geri döner. Özgün API'nin Microsoft Entra Id'ye geri dönmesi gerekir. Kullanıcı adına Aşağı Akış API'sini çağırmak için bir erişim belirteci gerekir. Özgün API, Özgün API'nin İstemci Uygulamasından aldığı belirteci ve Özgün API'nin istemci kimlik bilgilerini sağlar.
- Microsoft Entra Id denetimler gerçekleştirir. Microsoft Entra ID, onay veya koşullu erişim zorlaması gibi şeyleri denetler. Çağrı istemcinize geri dönmeniz ve belirteci alamamak için bir neden sağlamanız gerekebilir. Genellikle onay alınmamasıyla ilgili bilgilerle (koşullu erişim ilkeleriyle ilgili olmak gibi) çağrı uygulamasına geri dönmek için talep sınaması işlemi kullanırsınız. Her şey yolundaysa, Microsoft Entra Id kullanıcı adına Aşağı Akış API'sini çağırmak için Özgün API'ye bir erişim belirteci verir.
- Orijinal API'ninBehalf-Of akışında bir kullanıcı bağlamı vardır. On-Behalf-Of akışı (OBO) süreci, bir API'nin, Alt Akış API'sini çağırdığında kullanıcı bağlamını sürdürmesini sağlar.
- Özgün API, Alt Akış API'lerini çağırır. Aşağı Akış API'sini çağırın. Aşağı Akış API'sinin aldığı belirteç, Aşağı Akış API'sini gösteren uygun hedef kitle (aud) talebine sahiptir. Belirteç, verilen onay için kapsamları ve özgün uygulama kullanıcı kimliğini içerir. Aşağı Akış API'si, tanımlanan kullanıcının istenen görevi gerçekleştirme iznine sahip olduğundan emin olmak için etkili izinleri düzgün bir şekilde uygulayabilir. Kullanıcı bağlamının tüm Aşağı Akış API'lerine geçtiğinden emin olmak üzere başka bir API'yi çağırmak üzere bir API için belirteç almak için akış adına değerini kullanmak istiyorsunuz.
En iyi seçenek: Özgün API, Adına Akış gerçekleştirir
En iyi seçenek, Özgün API'nin On-Behalf-Of akışını (OBO) gerçekleştirmesidir. Aşağı Akış API'si doğru belirteci alırsa doğru yanıt verebilir. Bir API bir kullanıcı adına hareket ettiğinde ve başka bir API çağırması gerektiğinde, API'nin kullanıcı adına Aşağı Akış API'sini çağırmak üzere temsilcili izin erişim belirteci almak için OBO kullanması gerekir. API'ler bir kullanıcı adına hareket ederken Aşağı Akış API'lerini çağırmak için hiçbir zaman uygulama izinlerini kullanmamalıdır.
Sonraki adımlar
- Microsoft kimlik platformu kimlik doğrulama akışları ve uygulama senaryoları , kimlik doğrulama akışlarını ve bunların kullanıldığı uygulama senaryolarını açıklar.
- API Koruması , KAYıT, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla API'nizi korumaya yönelik en iyi yöntemleri açıklar.
- Microsoft kimlik onayı çerçevesi tarafından korunan API örneği, en iyi kullanıcı deneyimi için en az ayrıcalıklı uygulama izinleri stratejileri tasarlamanıza yardımcı olur.
- Belirteçleri özelleştirme , Microsoft Entra belirteçlerinde alabileceğiniz bilgileri açıklar. Uygulama Sıfır Güven güvenliğini en az ayrıcalıkla artırırken esnekliği ve denetimi geliştirmek için belirteçlerin nasıl özelleştirileceği açıklanır.
- Microsoft Identity Learn ile özel API'lerin güvenliğini sağlama modülü, Microsoft kimliğiyle bir web API'sinin güvenliğini sağlamayı ve bunu başka bir uygulamadan çağırmayı açıklar.
- Uygulama özellikleri için en iyi güvenlik yöntemleri yeniden yönlendirme URI'sini, erişim belirteçlerini, sertifikaları ve gizli dizileri, uygulama kimliği URI'sini ve uygulama sahipliğini açıklar.
- Microsoft kimlik platformu kimlik doğrulama kitaplıkları , çeşitli uygulama türleri için Microsoft Kimlik Doğrulama Kitaplığı desteğini açıklar.