Sürekli Erişim Değerlendirmesi ile uygulamaların güvenliğini sağlama
Bu makale, geliştirici olarak Sürekli Erişim Değerlendirmesi ile uygulama güvenliğini geliştirmenize yardımcı olur. Microsoft Entra Id'den erişim belirteçleri aldıklarında kaynaklara erişim yetkisi alan uygulamalarınızda Sıfır Güven destek sağlamayı öğreneceksiniz.
Microsoft Entra Id bu erişim belirteçlerini çıkardığında, bu yetkilendirmenin koşullarını tam olarak değerlendirir. Microsoft Entra Id, ilk belirteç istekleri için belirteçleri her verildiğinde ve belirteçleri yenilediğinde onay sağlama gibi standart yetkilendirme eylemleri gerçekleştirir.
Microsoft Entra ID, erişim belirteçleri için öncelikle JSON Web Belirteçlerini (JWT) kullanır. Kaynak API'si, kaynak API'sine yapılan her çağrıda Microsoft Entra Id'ye geri çağırmaya gerek kalmadan JWT kodunu çözebilir, doğrulayabilir ve yorumlayabilir. JWT standardı, işlenmek üzere JWT belirtecini kabul etmemesi gereken süre sonu zamanını tanımlayan bir exp talebi tanımlar. Varsayılan olarak, Microsoft Entra belirteçlerinin süresi sorundan 60 ile 90 dakika sonra dolar. Uygulamalarınız, Microsoft Entra Id'nin yetkilendirme koşullarını değerlendirmediği bu süre boyunca erişim belirteçlerini önbelleğe almalı ve kullanmalıdır.
Belirteci verme dışındaki koşulları değerlendirme
Microsoft müşterileri, Microsoft Entra Id belirteçleri çıkardığında kullanıcı koşulu değişiklikleri ile ilke değişikliği zorlaması arasındaki gecikmelerden endişe duyar. Bu azaltılmış belirteç ömrü yaklaşımı, riskleri ortadan kaldırmadan kullanıcı deneyimlerini ve güvenilirliğini düşürebilir.
Bir çözüm, korumalı kaynağa yapılan her çağrıda koşulları değerlendirmektir. Bu zorlamayı uygulamanın en yaygın yolu belirteç iç gözlemidir. Belirteç içeri aktarma, belirteç için JWT biçimi kullanmaz. Bunun yerine belirteç iç gözlemi, kaynak API'sinin yorumlayabildiği opak bir dize kullanır. Kaynak API'si, belirteci her çağrıda kimlik sağlayıcısına gönderir. Ardından kimlik sağlayıcısı tüm koşulları denetler ve kaynak API'sinin işlemi tamamlamak için kullanabileceği verileri döndürür. Her API çağrısına başka bir gidiş dönüş web isteği eklediğinden bu işlem pahalı olabilir.
Sürekli Erişim Değerlendirmesi (CAE) ile bu gideri gidermek için, kaynak API'si Microsoft Entra ID'nin kaynak API'si için karşılaştığı belirteçler hakkında Microsoft Entra ID tarafından gönderilebilen olayları dinleyebilir. Örneğin, uygulamanız Microsoft Graph API'sini çağırdığında, Microsoft Graph belirteçle ilgili Microsoft Entra Id'den olay alınıp alınmadığını denetleyebilir. Özgün kimlik doğrulamasının koşulları farklıysa ve kullanıcının yeniden kimlik doğrulaması yapması gerekiyorsa, Microsoft Graph çağrı uygulamasına bir hata döndürür.
Microsoft Entra Id, bu olaylardan herhangi biri gerçekleştiğinde CAE özellikli Microsoft kaynaklarına bir olay gönderir:
- Devre dışı bırakılmış veya silinmiş kullanıcı hesabı
- Kullanıcı parolası değiştirildi veya sıfırlandı
- Etkin kullanıcı çok faktörlü kimlik doğrulaması
- Yönetici istrator, bir kullanıcı için tüm yenileme belirteçlerini açıkça iptal eder
- Microsoft Entra Kimlik Koruması yükseltilmiş kullanıcı riskini algılar
Ayrıca, CAE özellikli Microsoft kaynakları konum tabanlı koşullu erişim ilkelerini zorunlu kılabilir.
CAE ile uygulama güvenliğini ve dayanıklılığını geliştirme
Microsoft Entra Sürekli Erişim Değerlendirme videosunda oluşturulan Daha güvenli ve dayanıklı uygulamalar, CAE desteğiyle bir istemci uygulaması oluşturmayı gösterir.
Aşağıdaki adımlarla modern kimlik doğrulamasını kullanırken uygulamaların nasıl çalıştığını öğrenmek için yukarıdaki sunuyu izleyin:
- Modern kimlik doğrulaması kullanılırken uygulamalar nasıl çalışır?
- Uygulama, Microsoft identity'den belirteçleri ister
- Uygulama erişim belirteci alır
- Uygulama çağrıları API/JWT ile yetkilendirme
- Içgözlem
- Paylaşılan sinyaller ve olaylar
- Kritik olay değerlendirmesi
- Koşullu Erişim ilkesi değerlendirmesi
- API Sürekli Erişim Değerlendirmesi Olarak Adlandırılıyor
- Talep sınaması
Sürekli Erişim Değerlendirmesi, bir uygulamanın erişim belirtecinin kullanım ömrü dışında iptal edilen bir kaynağa erişme yetkisine sahip olmasını sağlar. Örneğin, bir uygulamanın 75 dakika daha geçerli olan bir belirteci vardır. İhlal edilen kimlik bilgileri nedeniyle kullanıcının yüksek riskli durumu var. CAE, uygulamanın kaynağa erişimini engelleyerek kullanıcının devam etmeden önce yeniden kimlik doğrulamasını gerektirir. Bu nedenle CAE, uygulama güvenliğini iyileştirmeye yönelik birincil hedefine ulaşır.
Bir kaynağa erişim, belirtecin kullanım ömrü dışında iptal edileebileceği için, Microsoft Entra Kimliği daha uzun bir ömür için belirteçler verebilir. CAE'yi destekleyen uygulamalar için Microsoft Entra Id, 28 saate kadar geçerli belirteçler verebilir. Bu uzun belirteç ömrü uygulamanın dayanıklılığını artırmasa da, uygulamanın belirteçleri çok daha az sık istemesi gerektiğinden uygulama maliyetlerini azaltır.
CAE, bir uygulamanın Microsoft Entra Id'den erişim belirteci alırken karşılaşabileceği sorunlara karşı dayanıklılığını artırır. Mümkün olduğunda Microsoft Entra ID, erişim belirteci içeren bir belirteç yanıtının parçası olarak yenileme süresi verir. Microsoft Kimlik Doğrulama Kitaplıkları (MSAL), belirteci proaktif olarak yenilemek için bu yenileme süresini kullanır. Yenileme süresi, belirtecin sona erme süresinin bir bölümüdür (genellikle yarısı). MSAL, belirtecin sona erme süresinden önce erişim belirtecini yenileyebildikçe, uygulama belirteç yenileme sorunlarına dayanıklıdır.
Örneğin, bir uygulama CAE'yi desteklediğinde, Microsoft Entra ID uygulamaya 24 saat boyunca geçerli olan Microsoft Graph'ı çağırma yetkisi veren bir belirteç verir. Microsoft Entra Id daha sonra MSAL'ye belirteci 12 saat sonra proaktif olarak yenilemesini söyler. Özgün erişim belirteci 12 saat daha geçerli olduğundan MSAL erişim belirtecini yenileme girişimi başarısız olursa, uygulama Microsoft Entra Id'den belirteçler alırken sorunlara karşı daha dayanıklı olur.
Uygulamanızda Sürekli Erişim Değerlendirmesi Uygulama
Uygulamalarınızda Sürekli Erişim Değerlendirmesi özellikli API'leri kullanma bölümünde açıklandığı gibi, hem uygulamanız hem de eriştiği kaynak API'sinin CAE etkin olması gerekir. Ancak kodunuzu CAE özellikli bir kaynak kullanacak şekilde hazırlamak, CAE etkin olmayan API'leri kullanmanızı engellemez. MSAL kullanmayan uygulamalar CAE'yi kullanmak için talep sınamaları, talep istekleri ve istemci özellikleri için destek ekleyebilir.
Sonraki adımlar
- Microsoft Entra Id'de iş yükü kimlikleri için sürekli erişim değerlendirmesi, bir kuruluşun CAE güvenlik avantajlarını açıklar.
- Sürekli Erişim Değerlendirmesi ile Kimlik Doğrulama Oturumu Yönetimine Sıfır Güven İlkeleri Uygulama, kullanıcı deneyimini ve üretkenliğini etkilemeden kimlik doğrulama oturumlarının güvenliğini sağlamayı ve oturum yönetimini modernleştirmeyi açıklar.
- Geliştirdiğiniz kimlik doğrulaması ve yetkilendirme uygulamalarının dayanıklılığını artırma, Microsoft kimlik platformu ve Microsoft Entra Id kullanarak uygulamalarda dayanıklılığı artırmaya yönelik rehberlik sağlayan bir dizi makale sunar. Belirteçleri kullanmak ve kaynakları çağırmak için en iyi yöntemleri içerir.
- Kimlik için Sıfır Güven bir yaklaşımla uygulama oluşturmak, izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.
- Uygulamaları Microsoft Entra ID ile tümleştirme ve Microsoft kimlik platformu, geliştiricilerin BT uzmanlarının kuruluşta güvenliğini sağlayabildiği uygulamalar oluşturmasına ve tümleştirmesine yardımcı olur.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin