对零信任的用户进行身份验证

本文有助于开发人员了解在零信任应用程序开发中，对应用程序用户进行身份验证的最佳做法。 始终使用“最低特权”零信任原则增强应用程序安全性并进行显式验证。

用户身份验证中的 ID 令牌

当你需要用户对应用进行身份验证，而不是收集用户名和密码时，应用程序可以请求标识 (ID) 令牌。 通过 Microsoft 标识平台对用户进行身份验证，可避免应用程序保留用户凭据时出现的安全风险。 请求 ID 令牌时，如果不良参与者违反或泄露应用程序，则应用中没有用户名和相应的密码、机密和证书。

Microsoft 标识平台 ID 令牌是 OpenID Connect (OIDC) 标准的一部分，该标准将 ID 令牌指定为“JSON Web 令牌”(JWT)。 JWT 长字符串包含三个组件：

1. 标头声明。 ID 令牌中存在的标头声明包括 typ（类型声明）、alg（用于给令牌签名的算法）和 kid（用于验证令牌签名的公钥指纹）。
2. 有效负载声明。 有效负载或正文（JSON Web 令牌的中间部分）包含一系列名称属性对。 该标准要求有一个 iss（发放者名称）的声明，该声明将转到发放声明的应用程序（aud 或受众声明）。
3. Signature. Microsoft Entra ID 生成令牌签名，应用可使用该签名来验证令牌是否未经修改，是否值得信任。

以下 ID 令牌示例显示有关用户的信息，并确认使用该应用程序的身份验证。

{
  "typ": "JWT",
  "alg": "RS256",
  "kid": "1LTMzakihiRla_8z2BEJVXeWMqo"
}.
{
  "ver": "2.0",
  "iss": "https://login.microsoftonline.com/3338040d-6c67-4c5b-b112-36a304b66dad/v2.0",
  "aud": "6cb04018-a3f5-46a7-b995-940c78f5aef3",
  "exp": 1536361411,
  "iat": 1536274711,
  "nbf": 1536274711,
  "sub": "AAAAAAAAAAAAAAAAAAAAAIkzqFVrSaSaFHy782bbtaQ",
  "name": "Abe Lincoln",
  "preferred_username": "AbeLi@microsoft.com",
  "oid": "00000000-0000-0000-66f3-3332eca7ea81",
  "tid": "3338040d-6c67-4c5b-b112-36a304b66dad",
}.
.[Signature]

访问管理中的 ID 令牌

若要接收应用程序（客户端）ID，请将在 Microsoft 标识平台注册应用。 收到带有受众声明 (aud) 的令牌，且该令牌与应用程序的客户端 ID 相匹配时，该令牌中标识的用户就已通过了应用程序的身份验证。 IT 管理员可允许租户中的所有用户使用你的应用。 他们可能允许用户所属的组使用你的应用。

如果收到受众声明不同于你的应用的客户端 ID 的令牌，请立即拒绝该令牌。 用户尚未通过登录你的应用进行身份验证。 他们登录到了其他应用。 始终确保用户拥有权限使用你的应用。

这些声明详细信息在用户身份验证中很重要：

• JSON Web 令牌在过期之前一直有效。 exp（过期）声明会告诉你令牌的过期时间。 如果当前时间在 exp 声明中的时间之前，则令牌有效。
• 在 nbf 声明中指定的时间（非之前的时间）之前，不要认为用户已通过身份验证。 令牌的 nbf 和 exp 时间定义令牌的有效生存期。 当到期时间即将到来，请确保获得新的 ID 令牌。
• sub（使用者声明）是应用程序用户的唯一标识符。 同一用户对其他应用拥有不同的 sub 声明。 如果要存储数据以关联回用户，并阻止攻击者进行该关联，请使用使用者声明。 由于不公开用户的 Microsoft Entra 标识，因此它是将数据关联到用户的最私密方式。 sub 声明是不可变的。
• 如果要跨多个应用程序共享信息，请使用租户 ID (tid) 和对象 ID (oid) 声明的组合，这些声明对用户是唯一的。 合并的租户 ID 和对象 ID 是不可变的。
• 无论个人的标识如何，sub、oid 和 tid 声明都是不可变的。 有关用户的任何内容都可以更改，并且你仍然可以根据使用者或合并的 tid 和 oid 声明输入你的数据，以标识用户。

使用 OIDC 进行身份验证

为了演示用户身份验证，让我们看看使用 OIDC 来验证用户身份的应用程序。 相同的原则也适用于使用 SAML 或 WS 联合身份验证的应用。

当应用程序从 Microsoft 标识平台请求 ID 令牌时，应用对用户进行身份验证。 工作负载（没有用户存在，而是作为服务、后台进程、守护程序运行的应用程序）跳过此步骤。

应始终以无提示的方式请求此令牌。 若要在 Microsoft 身份验证库 (MSAL) 中以无提示的方式获取令牌，应用可以从 AcquireTokenSilent 方法开始。 如果你的应用可以在不干扰用户的情况下进行身份验证，将收到请求的 ID 令牌。

如果 Microsoft 标识平台在未与用户交互的情况下无法完成请求，则你的应用需要回退到 MSAL AcquireTokenInteractive 方法。 要以交互方式获取令牌，请通过向 https://login.microsoftonline.com 域下的地址打开 Web 界面来执行请求。

用户可以通过该 Web 界面与 Microsoft 标识平台进行私人对话。 你的应用无法查看对话内容，也无法控制对话。 Microsoft 标识平台可以请求用户 ID 和密码、多重身份验证 (MFA)、无密码身份验证，或其他 IT 管理员或用户已配置的身份验证交互。

用户执行所需的身份验证步骤后，你的应用程序将收到 ID 令牌。 当应用收到令牌时，可以确定 Microsoft 标识平台已对用户进行身份验证。 如果应用未收到 ID 令牌，则 Microsoft 标识平台尚未对用户进行身份验证。 不允许未经身份验证的用户继续进入应用的安全区域。

最佳做法是应用程序从 Microsoft Entra ID 收到 ID 令牌后，为用户创建会话。 在应用收到的 ID 令牌中，具有 Unix 时间戳的过期 (exp) 声明。 该时间戳指定了过期时间，在此时间或之后不得接受 JWT 进行处理。 使用此令牌过期时间来推动用户会话的生存期。 exp 声明的关键作用是让经过显式验证的用户在适当的时间内，以适当的特权使用应用程序。

单一登录支持

单一登录 (SSO) 身份验证允许用户使用一组凭证登录到多个独立的软件系统。 借助 SSO，应用程序开发人员让用户无需分别、重复地登录每个应用程序。 SSO 的核心是开发人员确保用户设备上的所有应用程序共享验证用户身份的 Web 界面。 身份验证成功后，Web 界面上的项目（例如会话状态和 Cookie）将驱动 SSO。

如下图所示，共享 Web 界面的最简单用例是在 Web 浏览器中运行的应用（如 Microsoft Edge、Google Chrome、Firefox、Safari）。 浏览器选项卡共享 SSO 状态。

关系图标题：Web 浏览器 - 最简单的情况。 关系图顶部中心位置显示的是包含 Microsoft Entra ID 图标的云形状。 云形状的下方有一个方框。 将云形状连接到方框的是两端有箭头的线条。 方框标签为“使我保持登录状态，跨调用保存 SSO 状态 Cookie”。 在左侧的方框中，是一个看起来像饼干的图标。 饼干下方的描述文字是“与用户进行私人对话”。 而描述文字下方是表示用户的图标。 这三个组件的左侧，方框内还有一个方框。 内部方框标签为“Tabs”。 标签下方有四个方框，代表选项卡内的浏览器窗口。

除非用户在同一设备上打开了不同的浏览器，否则 Microsoft 标识平台管理任何特定浏览器中的 SSO 状态。 在 Windows 10 及更新的版本上，Microsoft 标识平台本机支持 Internet Explorer 和 Microsoft Edge 中的浏览器 SSO。 当用户登录到 Windows 时，Google Chrome（通过 Windows 10 帐户扩展）和 Mozilla Firefox v91+（通过浏览器设置）中的调整允许每个浏览器共享 SSO 状态。

如下图所示，本机应用程序用例更加复杂。

关系图标题：本机应用程序 - 嵌入式浏览器 - 无 SSO。 关系图顶部中心位置显示的是包含 Microsoft Entra ID 图标的云形状。 关系图底部是水平分布的四个方框。 每个方框的右下角是表示用户的图标。 每个方框内都有浏览器窗口的表示形式，包括饼干图标和地球图标。 将四个方框中的每一个连接到云形状的是一条两端带箭头的线。

身份验证代理方法

一种常见模式是，每个本机应用都有其自己的嵌入式 WebView，用来防止其参与 SSO。 为应对此场景，Microsoft Entra ID 对本机应用程序使用“身份验证代理”(auth broker) 方法，如下图所示。

关系图标题：身份验证代理方法。 关系图顶部中心位置显示的是包含 Microsoft Entra ID 图标的云形状。 云形状下方是矩形，带有标签“Auth Broker”。 矩形包含饼干图标和地球图标。 将云形状连接到矩形的是两端有箭头的线条。 关系图底部是水平分布的四个方框。 每个方框的右下角是表示用户的图标。 每个方框中的图标表示浏览器窗口。 将四个方框中的每一个连接到矩形的是一条两端带箭头的线。

借助身份验证代理，应用程序会将身份验证请求发送到代理，而不是直接发送到 Microsoft 标识平台。 这样，代理将成为设备上所有身份验证的共享界面。

除了提供共享界面之外，身份验证代理还提供其他优势。 在采用零信任时，企业可能希望应用程序只能从企业管理的设备上运行。 企业设备管理的示例包括完整的移动设备管理 (MDM)，以及用户自带设备参与移动应用管理 (MAM) 的场景。

根据设计，基础操作系统 (OS) 隔离浏览器。 开发人员需要与 OS 建立更紧密的连接才能拥有设备详细信息的完全访问权限。 在 Windows 中，身份验证代理是 Windows Web 帐户管理器 (WAM)。 在其他设备上，身份验证代理是 Microsoft Authenticator 应用（适用于运行 iOS 或 Android 的设备）或 公司门户应用（适用于运行 Android 的设备）。 应用程序通过 MSAL 访问身份验证代理。 在 Windows 中，应用无需 MSAL 即可访问 WAM。 但是，MSAL 是应用访问身份验证代理（尤其是非通用 Windows 平台应用的应用）的最简单方法。

身份验证代理与 Microsoft Entra ID 结合使用，以利用主刷新令牌 (PRT)，从而减少用户多次进行身份验证的需求。 PRT 可以确定用户是否位于受管理设备上。 Microsoft Entra ID 需要身份验证代理，因为它引入了所有权证明令牌，这是比当今流行的持有者令牌更安全的选项。

后续步骤

• Microsoft Entra 访问令牌疑难解答：验证访问令牌描述在具有 Microsoft Entra 访问令牌时，如何验证某些字段是否与记录相匹配。
• 提高你开发的身份验证和授权应用程序的复原能力系列文章介绍了使用 Microsoft 标识平台和 Microsoft Entra ID 的应用程序。 它们包括对客户端和服务应用程序以及守护程序应用程序提供的指导，前者代表已登录的用户工作，后者代表其自身工作。 内容包含了使用令牌和调用资源的最佳做法。
• 自定义令牌描述了可以在 Microsoft Entra 令牌中接收的信息，以及如何定制令牌。
• 在令牌中配置组声明和应用角色会显示如何使用应用角色定义配置应用并将安全组分配给应用角色。
• 通过权限和同意构建确保身份安全的应用程序概述了权限和访问的最佳做法。