Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, geliştirici olarak Sürekli Erişim Değerlendirmesi ile uygulama güvenliğini geliştirmenize yardımcı olur. Microsoft Entra Id'den erişim belirteçleri aldıklarında kaynaklara erişim yetkisi alan uygulamalarınızda Sıfır Güven desteği sağlamayı öğreneceksiniz.
Microsoft Entra Id bu erişim belirteçlerini çıkardığında, bu yetkilendirmenin koşullarını tam olarak değerlendirir. Microsoft Entra Id, ilk belirteç istekleri için belirteçleri her verildiğinde ve belirteçleri yenilediğinde onay sağlama gibi standart yetkilendirme eylemleri gerçekleştirir.
Microsoft Entra ID, erişim belirteçleri için öncelikle JSON Web Belirteçlerini (JWT) kullanır. Kaynak API'si, kaynak API'sine yapılan her çağrıda Microsoft Entra Id'ye geri çağırmaya gerek kalmadan JWT kodunu çözebilir, doğrulayabilir ve yorumlayabilir. JWT standardı, JWT belirtecini işlemede kabul etmemeniz gereken son kullanma tarihini veya sonrasını belirleyen bir exp talebi tanımlar. Varsayılan olarak, Microsoft Entra belirteçlerinin süresi verildikten 60 ile 90 dakika sonra geçerliliğini yitirir. Microsoft Entra Id'nin yetkilendirme koşullarını değerlendirmediği süre boyunca uygulamalarınızın erişim belirteçlerini önbelleğe alıp kullandığından emin olun.
Jeton verme dışındaki koşulları değerlendirin
Microsoft Entra ID belirteçler oluşturduğunda kullanıcı durumu değişiklikleri ve ilke değişikliği uygulanması arasında gecikmeler oluşabilir. Azaltılmış belirteç ömrü yaklaşımı, riskleri ortadan kaldırmadan kullanıcı deneyimlerini ve güvenilirliğini düşürebilir.
Bir çözüm, korumalı kaynağa yapılan her çağrıda koşulları değerlendirmektir. Bu zorlamayı uygulamanın en yaygın yolu belirteç iç gözlemidir. Belirteç sorgulama, belirteç için JWT biçimi kullanmaz. Bunun yerine, belirteç denetimi, kaynak API'sinin yorumlayamadığı opak bir dize kullanır. Kaynak API'si, belirteci her çağrıda kimlik sağlayıcısına gönderir. Ardından kimlik sağlayıcısı tüm koşulları denetler ve kaynak API'sinin işlemi tamamlamak için kullanabileceği verileri döndürür. Her API çağrısına başka bir gidiş dönüş web isteği eklediğinden bu işlem pahalı olabilir.
Sürekli Erişim Değerlendirmesi (CAE) ile bu gideri gidermek için, kaynak API'si, Microsoft Entra ID'nin kaynak API'si için verdiği belirteçler hakkında Microsoft Entra ID tarafından gönderilen olayları dinleyebilir. Örneğin, uygulamanız Microsoft Graph API'sini çağırdığında, Microsoft Graph belirteçle ilgili Microsoft Entra Id'den olay alınıp alınmadığını denetleyebilir. Özgün kimlik doğrulamasının koşulları farklıysa ve kullanıcının yeniden kimlik doğrulaması yapması gerekiyorsa, Microsoft Graph çağrı uygulamasına bir hata döndürür.
Microsoft Entra Id, bu olaylardan herhangi biri gerçekleştiğinde CAE özellikli Microsoft kaynaklarına bir olay gönderir:
- Devre dışı bırakılmış veya silinmiş kullanıcı hesabı
- Kullanıcı parolası değiştirildi veya sıfırlandı
- Etkin kullanıcı çok faktörlü kimlik doğrulaması
- Yönetici, bir kullanıcı için tüm yenileme belirteçlerini açıkça iptal eder
- Microsoft Entra ID Protection yükseltilmiş kullanıcı riskini algılar
Ayrıca, CAE özellikli Microsoft kaynakları konum tabanlı koşullu erişim ilkelerini zorunlu kılabilir.
CAE ile uygulama güvenliğini ve dayanıklılığını geliştirme
Aşağıdaki Microsoft Entra Sürekli Erişim Değerlendirme videosunda oluşturulan daha güvenli ve dayanıklı uygulamalar , CAE desteğiyle bir istemci uygulaması oluşturmayı gösterir.
Video sunusu, uygulamaların modern kimlik doğrulamasıyla nasıl çalıştığını ve şu adımları açıklar:
- Uygulama, Microsoft identity'den belirteçleri ister
- Uygulama erişim belirteci alır
- Uygulama API'yi çağırır / JWT ile Yetkilendirme
- Içgözlem
- Paylaşılan sinyaller ve olaylar
- Kritik olay değerlendirmesi
- Koşullu Erişim ilkesi değerlendirmesi
- API Sürekli Erişim Değerlendirmesi Olarak Adlandırılıyor
- Hak İddiası Zorluğu
Sürekli Erişim Değerlendirmesi, bir uygulamanın erişim belirtecinin kullanım ömrü dışında iptal edilen bir kaynağa erişme yetkisine sahip olmasını sağlar. Örneğin, bir uygulamanın 75 dakika daha geçerli olan bir belirteci vardır. İhlal edilen kimlik bilgileri nedeniyle kullanıcının yüksek riskli durumu var. CAE, uygulamanın kaynağa erişimini engelleyerek kullanıcının devam etmeden önce yeniden kimlik doğrulamasını gerektirir. Bu nedenle CAE, uygulama güvenliğini iyileştirmeye yönelik birincil hedefine ulaşır.
Bir kaynağa erişim, belirtecin kullanım ömrü dışında iptal edilebileceği için, Microsoft Entra Kimliği daha uzun bir geçerlilik süresi için belirteçler sağlayabilir. CAE'yi destekleyen uygulamalar için Microsoft Entra Id, 28 saate kadar geçerli belirteçler verebilir. Bu uzun belirteç ömrü uygulamanın dayanıklılığını artırmasa da, uygulamanın belirteçleri çok daha az sık istemesi gerektiğinden uygulama maliyetlerini azaltır.
CAE, bir uygulamanın Microsoft Entra Id'den erişim belirteci alırken karşılaşabileceği sorunlara karşı dayanıklılığını artırır. Mümkün olduğunda Microsoft Entra ID, erişim belirteci içeren bir belirteç yanıtının parçası olarak yenileme süresi verir. Microsoft Kimlik Doğrulama Kitaplıkları (MSAL), belirteci proaktif olarak yenilemek için bu yenileme süresini kullanır. Yenileme süresi, belirtecin sona erme süresinin bir bölümüdür (genellikle yarısı). MSAL, belirtecin sona erme süresinden önce erişim belirtecini yenileyebildiği sürece, uygulama belirteç yenileme sorunlarına dayanıklıdır.
Örneğin, bir uygulama CAE'yi desteklediğinde, Microsoft Entra ID uygulamaya 24 saat boyunca geçerli olan Microsoft Graph'ı çağırma yetkisi veren bir belirteç verir. Microsoft Entra Id daha sonra MSAL'ye belirteci 12 saat sonra proaktif olarak yenilemesini söyler. Özgün erişim belirteci 12 saat daha geçerli olduğundan MSAL erişim belirtecini yenileme girişimi başarısız olursa, uygulama Microsoft Entra Id'den belirteçler alırken sorunlara karşı daha dayanıklı olur.
Uygulamanızda Sürekli Erişim Değerlendirmesini Uygulayın
Uygulamalarınızda Sürekli Erişim Değerlendirmesi özellikli API'leri kullanma bölümünde açıklandığı gibi, hem uygulamanız hem de eriştiği kaynak API'sinin CAE etkin olması gerekir. Ancak kodunuzu CAE özellikli bir kaynak kullanacak şekilde hazırlamak, CAE etkin olmayan API'leri kullanmanızı engellemez. MSAL kullanmayan uygulamalar CAE'yi kullanmak için talep sınamaları, talep istekleri ve istemci özellikleri için destek ekleyebilir.
Sonraki Adımlar
- Microsoft Entra Id'de iş yükü kimlikleri için sürekli erişim değerlendirmesi , bir kuruluşun CAE güvenlik avantajlarını açıklar.
- Sürekli Erişim Değerlendirmesi ile Kimlik Doğrulama Oturumu Yönetimine Sıfır Güven İlkeleri Uygulama , kullanıcı deneyimini ve üretkenliğini etkilemeden kimlik doğrulama oturumlarının güvenliğini sağlamayı ve oturum yönetimini modernleştirmeyi açıklar.
- Geliştirdiğiniz kimlik doğrulama ve yetkilendirme uygulamalarının dayanıklılığını artırma , Microsoft kimlik platformunu ve Microsoft Entra Id'yi kullanarak uygulamalarda dayanıklılığı artırma konusunda rehberlik sağlayan bir dizi makale sunar. Belirteçleri kullanmak ve kaynakları çağırmak için en iyi yöntemleri içerir.
- Kimlik için Sıfır Güven bir yaklaşımla uygulama oluşturmak, izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.
- Uygulamaları Microsoft Entra Id ile tümleştirme ve Microsoft kimlik platformu, geliştiricilerin BT uzmanlarının kuruluşta güvenlileştirebileceği uygulamalar oluşturmasına ve tümleştirmesine yardımcı olur.