Sürekli erişim değerlendirmesi uygulama

  • 3 dakika

Belirteç süre sonu ve yenileme, sektördeki standart bir mekanizmadır. Outlook gibi bir istemci uygulaması Exchange Online gibi bir hizmete bağlandığında, API istekleri OAuth 2.0 erişim belirteçleri kullanılarak yetkilendirilmiştir. Varsayılan olarak, erişim belirteçleri süresi dolduğunda bir saat geçerlidir ve istemci, bunları yenilemek için Microsoft Entra Id'ye yönlendirilir. Bu yenileme dönemi, kullanıcı erişimi için ilkeleri yeniden değerlendirme fırsatı sağlar. Örneğin: Koşullu Erişim ilkesi nedeniyle veya kullanıcı dizinde devre dışı bırakıldığı için belirteci yenilememeyi seçebiliriz.

Ancak, bir kullanıcı için koşullar değiştiğinde ve ilke değişikliklerinin zorunlu kılındığında arasında bir gecikme vardır. İlke ihlallerine veya güvenlik sorunlarına zamanında yanıt vermek için belirteç veren ile bağlı olan taraf (açıklanmış uygulama) arasında bir "konuşma" gerekir. Bu iki yönlü konuşma bize iki önemli özellik sunar. Bağlı olan taraf, ağ konumu gibi özelliklerin ne zaman değiştiğini görebilir ve belirteç verene söyleyebilir. Ayrıca belirteç verene, hesap güvenliğinin aşılması, devre dışı bırakılması veya diğer endişeler nedeniyle bağlı olan tarafa belirli bir kullanıcı için belirteçlere saygı duymayı durdurmasını söylemenin bir yolunu sunar. Bu konuşmanın mekanizması sürekli erişim değerlendirmesidir (CAE).

Sosyal haklar

Sürekli erişim değerlendirmesinin birçok önemli avantajı vardır.

  • Kullanıcı sonlandırma veya parola değiştirme/sıfırlama: Kullanıcı oturumu iptali neredeyse gerçek zamanlı olarak uygulanır.
  • Ağ konumu değişikliği: Koşullu Erişim konum ilkeleri neredeyse gerçek zamanlı olarak uygulanır.
  • Koşullu Erişim konum ilkeleriyle, güvenilen ağ dışındaki bir makineye belirteç dışarı aktarma işlemi engellenebilir.

Değerlendirme ve iptal işlemi akışı

Diagram of the process flow when an access token is revoked and a client has to reverify access.

  1. Sürekli erişim değerlendirmesi (CAE) özellikli bir istemci, bazı kaynaklar için erişim belirteci isteyen Microsoft Entra Id'ye kimlik bilgileri veya yenileme belirteci sunar.
  2. İstemciye diğer yapıtlarla birlikte bir erişim belirteci döndürülür.
  3. Yönetici istrator, kullanıcı için tüm yenileme belirteçlerini açıkça iptal eder. Microsoft Entra Id'den kaynak sağlayıcısına bir iptal olayı gönderilir.
  4. Kaynak sağlayıcısına bir erişim belirteci sunulur. Kaynak sağlayıcısı belirtecin geçerliliğini değerlendirir ve kullanıcı için herhangi bir iptal olayı olup olmadığını denetler. Kaynak sağlayıcısı, kaynağa erişim izni vermek veya vermemeye karar vermek için bu bilgileri kullanır.
  5. Diyagram söz konusu olduğunda kaynak sağlayıcısı erişimi reddeder ve istemciye 401+talep sınaması gönderir.
  6. CAE özellikli istemci, 401+talep sınamasını anlar. Önbellekleri atlar ve 1. adıma geri döner ve talep sınaması ile birlikte yenileme belirtecini Microsoft Entra Id'ye geri gönderir. Microsoft Entra Id daha sonra tüm koşulları yeniden değerlendirir ve kullanıcıdan bu durumda yeniden kimlik doğrulamasını ister.