开发人员和管理员对应用程序注册、授权和访问权限的责任

  • 项目

作为在 Microsoft 标识平台中创建应用程序的开发人员,你与在 Microsoft Entra ID 中拥有管理员权限的 IT 专业人员合作,使应用程序能够充分利用 Microsoft 标识平台。 了解 IT 专业人员对你的需求以及你对他们的需求有助于简化零信任开发工作流。

开发人员和 IT 专业人员必须协同工作

IT 组织越来越多地阻止存在漏洞的应用。 随着 IT 部门采用零信任方法,不提供遵循零信任原则的应用程序的开发人员可能会面临其应用不被采用的风险。 遵循零信任原则有助于确保应用程序有资格在零信任环境中被采用。

应用开发人员通常在与组织的 IT 专业人员合作之前实现、评估和验证零信任的各个方面,以达到完全符合和遵守要求。 开发人员负责生成和集成应用,以使 IT 专业人员可以使用其工具进一步保护应用程序。 与 IT 专业人员合作可帮助你:

  • 尽量减少或防止安全泄露的可能性。
  • 快速响应入侵并减少损失。

下表总结了开发人员和 IT 专业人员角色为在 Microsoft 标识平台中生成和部署安全应用程序所需的决策和任务。 请继续阅读关键详细信息和文章的链接,以帮助规划安全的应用程序开发。

开发人员

IT 专业管理员

  • 配置谁可以在租户中注册应用
  • 分配应用程序用户、组和角色
  • 向应用程序授予权限
  • 定义策略(包括条件访问策略)

零信任注意事项

当实体(个人、应用程序、设备)需要访问应用程序中的资源时,可以使用 IT Pros,并考虑零信任和安全策略强制选项。 你一起决定要实现和强制实施哪些访问策略。 Microsoft 的策略强制引擎需要与威胁情报、信号处理和现有策略联系。 每次实体需要访问资源时,都会通过策略强制引擎。

IT 专业人员可以在进行身份验证时将条件访问策略应用于安全断言标记语言 (SAML) 应用。 对于 OAuth 2.0 应用程序,当应用程序尝试访问资源时,它们可以应用策略。 IT 专业人员决定哪些条件访问策略应用于应用程序 (SAML) 或应用程序访问的资源 (OAuth 2.0)。

后续步骤

  • 自定义令牌介绍了可以在 Microsoft Entra 令牌中接收的信息,以及如何自定义令牌以提高灵活性和控制力,同时提高最小特权下的应用程序零信任安全性。
  • 在令牌中配置组声明和应用角色演示了如何使用应用角色定义配置应用,并将安全组分配给应用角色,以提高灵活性和控制,同时使用最低特权提高应用程序零信任安全性。
  • 零信任合规性空间意味着什么?从开发人员的角度大致了解应用程序的安全性,以阐述零信任的指导原则。
  • 在应用程序开发生命周期中使用零信任身份和访问管理开发最佳做法来创建安全应用程序。
  • 使用基于标准的开发方法概述了受支持的标准(OAuth 2.0、OpenID 连接、SAML、WS 联合身份验证和 SCIM),以及将它们与 MSAL 和 Microsoft 标识平台 配合使用的优势。
  • 授权最佳做法可帮助你为应用程序实现最佳授权、权限和同意模型。