Yetkilendirme için en iyi yöntemler

Sıfır Güven ilkeleri kullanarak geliştirmeyi öğrendikten sonra, bu makale Kaynaklara erişim için yetkilendirme alma, Temsilci izinleri stratejisi geliştirme ve Uygulama izinleri stratejisi geliştirme makalesinden devam eder. Bir geliştirici olarak uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.

Erişim denetimi gerektiren uygulamalar veya çözümler içinde yetkilendirme mantığı uygulayabilirsiniz. Yetkilendirme yaklaşımları kimliği doğrulanmış bir varlık hakkındaki bilgilere dayandığında, uygulama kimlik doğrulaması sırasında değiştirilen bilgileri (örneğin, bir güvenlik belirteci içinde sağlanan bilgiler) değerlendirebilir. Bir güvenlik belirteci bilgi içermediğinde, uygulama dış kaynaklara çağrı yapabilir.

Yetkilendirme mantığını tamamen uygulamanıza eklemek zorunda değilsiniz. Yetkilendirme uygulamasını ve yönetimini merkezileştirmek için ayrılmış yetkilendirme hizmetlerini kullanabilirsiniz.

İzinler için en iyi yöntemler

Microsoft Entra ID'de en yaygın olarak benimsenen uygulamalar, onay ve yetkilendirme en iyi yöntemlerini izler. İzin isteklerinizle ilgili düşünceli olmayı öğrenmek için Microsoft Graph ve Microsoft Graph izinleriyle çalışmaya yönelik en iyi yöntemler başvurularını gözden geçirin.

• En az ayrıcalık uygulama. Yalnızca gerekli izinleri isteyin. Tam zamanında ayrıntılı izinler istemek için artımlı onay kullanın. Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.

• Senaryolara göre doğru izin türünü kullanın. Aynı uygulamada hem uygulama hem de temsilci izinlerini kullanmaktan kaçının. Oturum açmış bir kullanıcının bulunduğu etkileşimli bir uygulama oluşturuyorsanız, uygulamanız temsilci izinlerini kullanmalıdır. Ancak, uygulamanız arka plan hizmeti veya daemon gibi oturum açmış bir kullanıcı olmadan çalışıyorsa, uygulamanızın uygulama izinlerini kullanması gerekir.

• Hizmet koşullarını ve gizlilik bildirimlerini sağlayın. Kullanıcı onayı deneyimi, kullanıcılara uygulamanıza güvenebileceklerini anlamalarına yardımcı olmak için hizmet koşullarınızı ve gizlilik bildiriminizi ortaya çıkartır. Bunlar özellikle kullanıcıya yönelik çok kiracılı uygulamalar için kritik öneme sahiptir.

İzin isteme zamanları

Bazı izinler için yöneticinin kiracı içinde onay vermesi gerekir. Kiracının tamamına izin vermek için yönetici onay uç noktasını kullanabilirler. İzin veya kapsam istemek için izleyebileceğiniz üç model vardır.

• Oturum açma veya ilk erişim belirteci isteğinde dinamik kullanıcı onayı uygulayın. Dinamik kullanıcı onayı, uygulama kaydınızda hiçbir şey gerektirmez. Belirli koşullar altında ihtiyacınız olan kapsamları tanımlayabilirsiniz (örneğin, bir kullanıcıda ilk kez oturum açtığınızda). Bu izni talep ettikten ve onay aldıktan sonra izin istemeniz gerekmez. Ancak, oturum açma veya ilk erişimde dinamik kullanıcı onayı almazsanız, izin deneyiminden geçer.

• Gerektiğinde artımlı kullanıcı onayı isteyin. Artımlı onay, dinamik kullanıcı onayıyla birlikte kullanıldığında, tüm izinleri tek seferde istemeniz gerekmez. Birkaç izin isteyebilirsiniz ve kullanıcı uygulamanızda farklı işlevlere geçtiğinde daha fazla onay isteyebilirsiniz. Bu yaklaşım, uygulamanıza artımlı olarak izin verdiğinden kullanıcının konfor düzeyini artırabilir. Örneğin, uygulamanız OneDrive erişimi isterse, Takvim erişimi de istemeniz şüphe uyandırabilir. Bunun yerine, daha sonra kullanıcıdan OneDrive'larına Takvim anımsatıcıları eklemesini isteyin.

• /.default Kapsamı kullanın. Kapsam, /.default uygulama kaydına ne eklediğinize bakan, hangi onaylara ihtiyacınız olduğunu anlayan ve ardından henüz verilmemiş tüm onayları isteyen eski varsayılan deneyimi etkili bir şekilde taklit eder. Uygulama kaydınızda olduğundan kodunuzda ihtiyacınız olan izinleri eklemeniz gerekmez.

Doğrulanmış Yayımcı Olma

Microsoft müşterileri bazen bir kullanıcının oturumunu açarak veya API'yi çağırarak uygulamanın Microsoft kimlik platformu erişmesine ne zaman izin vereceklerine karar vermede zorluk olduğunu açıklar. Sıfır Güven ilkeleri benimserken şunları isterler:

• Daha fazla görünürlük ve denetim.
• Daha proaktif ve daha kolay reaktif kararlar.
• Verileri güvende tutan ve karar yükünü azaltan sistemler.
• Güvenilir geliştiriciler için hızlandırılmış uygulama benimsemesi.
• Yayımcı tarafından doğrulanmış düşük riskli izinlere sahip uygulamalara kısıtlı onay.

Microsoft Graph gibi API'lerdeki verilere erişim zengin uygulamalar oluşturmanıza olanak sağlarken, kuruluşunuz veya müşteriniz uygulamanızın istediği izinleri ve uygulamanızın güvenilirliğini değerlendirir.

Microsoft Doğrulanmış Yayımcı olmak, müşterilerinize uygulama isteklerinizi kabul etme konusunda daha kolay bir deneyim sunmanıza yardımcı olur. Bir uygulama doğrulanmış bir yayımcıdan, kullanıcılardan, BT Uzmanlarından ve müşteriler microsoft ile iş ilişkisi olan birinden geldiğini bilir. Yayımcı adının yanında mavi bir onay işareti görünür (aşağıdaki İzinler istenen onay istemi örneğinde 5. bileşen; Microsoft Entra uygulama onayı deneyimindeki bileşen tablosuna bakın). Kullanıcı, daha fazla bilgi görüntülemek için onay isteminden doğrulanmış yayımcıyı seçebilir.

"İzin deneyimi istenen izinler iletişim kutusunun ekran görüntüsü, bağlı Microsoft Entra uygulama onayı deneyimi makalesinde açıklandığı gibi bileşen yapı taşlarını gösterir. Vurgulanan, doğrulanmış yayımcının adı olan 5 numaralı bileşendir ve kullanıcının yayımcı hakkında daha fazla bilgi almak için seçebileceği mavi bir onay işaretidir."

Doğrulanmış bir yayımcı olduğunuzda, doğrulanmış bir varlık olduğunuz için kullanıcılar ve BT uzmanları uygulamanıza güven kazanır. Yayımcı doğrulaması, uygulamanız için iyileştirilmiş markalama ve müşterileriniz için daha fazla saydamlık, azaltılmış risk ve daha sorunsuz kurumsal benimseme sağlar.

Sonraki adımlar

• Temsilcili izinler stratejisi geliştirme, uygulamanızdaki izinleri yönetmek ve Sıfır Güven ilkeleri kullanarak geliştirmek için en iyi yaklaşımı uygulamanıza yardımcı olur.
• Uygulama izinleri stratejisi geliştirme , kimlik bilgileri yönetimine yönelik uygulama izinleri yaklaşımınıza karar vermenize yardımcı olur.
• Güvenli uygulamalar oluşturmak için uygulama geliştirme yaşam döngünüzde Sıfır Güven kimlik ve erişim yönetimi geliştirme en iyi yöntemlerini kullanın.
• Uygulama özellikleri için en iyi güvenlik yöntemleri yeniden yönlendirme URI'sini, erişim belirteçlerini, sertifikaları ve gizli dizileri, uygulama kimliği URI'sini ve uygulama sahipliğini açıklar.
• Belirteçleri özelleştirme, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri açıklar. En az ayrıcalıkla uygulama sıfır güven güvenliğini artırırken esnekliği ve denetimi geliştirmek için belirteçlerin nasıl özelleştirileceği açıklanır.
• Belirteçlerde grup taleplerini ve uygulama rollerini yapılandırma, uygulama rol tanımlarıyla uygulamalarınızı yapılandırmayı ve uygulama rollerine güvenlik grupları atamayı gösterir. Bu yöntemler, en az ayrıcalıkla uygulama sıfır güven güvenliğini artırırken esnekliği ve denetimi geliştirmeye yardımcı olur.
• API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
• Kaynaklara erişmek için yetkilendirme alma, uygulamanız için kaynak erişim izinleri alırken Sıfır Güven en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.