Metodologie opracowywania oparte na standardach

Jako deweloper możesz dobrze wykorzystać standardy branżowe na potrzeby tworzenia oprogramowania rozszerzonego przez bibliotekę Microsoft Authentication Library (MSAL). W tym artykule przedstawiono omówienie obsługiwanych standardów i ich korzyści w Platforma tożsamości Microsoft. Upewnij się, że aplikacje w chmurze spełniają wymagania zero trust w celu uzyskania optymalnego bezpieczeństwa.

Co z protokołami?

Podczas implementowania protokołów należy wziąć pod uwagę koszty, które obejmują czas pisania kodu, który jest w pełni aktualny ze wszystkimi najlepszymi rozwiązaniami i postępuje zgodnie z najlepszymi rozwiązaniami protokołu OAuth 2.0 w celu zapewnienia bezpiecznej implementacji. Zamiast tego zalecamy użycie dobrze obsługiwanej biblioteki (z preferencjami biblioteki MSAL) podczas tworzenia bezpośrednio do identyfikatora Entra firmy Microsoft lub tożsamości Microsoft.

Optymalizujemy listy MSALs w celu kompilowania i pracy z identyfikatorem Entra firmy Microsoft. Jeśli środowisko nie ma biblioteki MSAL lub ma odblokowane możliwości we własnej bibliotece, opracuj aplikację przy użyciu Platforma tożsamości Microsoft. Twórz możliwości protokołu OAuth 2.0 i Połączenie OpenID. Rozważ koszty prawidłowego powrotu do protokołu.

Jak Platforma tożsamości Microsoft obsługuje standardy

Aby osiągnąć zero trust najbardziej efektywnie i efektywnie, twórz aplikacje ze standardami branżowymi, które obsługuje Platforma tożsamości Microsoft:

• OAuth 2.0 i OpenID Połączenie
• SAML

Protokoły OAuth 2.0 i OpenID Connect

Jako branżowy protokół autoryzacji protokół OAuth 2.0 umożliwia użytkownikom udzielanie ograniczonego dostępu do chronionych zasobów. Protokół OAuth 2.0 współdziała z protokołem HTTP (Hypertext Transfer Protocol), aby oddzielić rolę klienta od właściciela zasobu. Klienci używają tokenów do uzyskiwania dostępu do chronionych zasobów na serwerze zasobów.

Konstrukcje openID Połączenie umożliwiają rozszerzeniom firmy Microsoft Entra zwiększenie bezpieczeństwa. Te rozszerzenia firmy Microsoft Entra są najbardziej typowe:

• Kontekst uwierzytelniania dostępu warunkowego umożliwia aplikacjom stosowanie szczegółowych zasad w celu ochrony poufnych danych i akcji zamiast tylko na poziomie aplikacji.
• Ciągła ocena dostępu umożliwia aplikacjom firmy Microsoft Entra subskrybowanie zdarzeń krytycznych na potrzeby oceny i wymuszania. CaE obejmuje ryzykowną ocenę zdarzeń, taką jak wyłączone lub usunięte konta użytkowników, zmiany haseł, odwołania tokenów i wykrytych użytkowników.

Gdy aplikacje korzystają z rozszerzonych funkcji zabezpieczeń, takich jak CAE i kontekst uwierzytelniania dostępu warunkowego, muszą zawierać kod do zarządzania wyzwaniami oświadczeń. Dzięki otwartym protokołom można używać wyzwań oświadczeń i żądań oświadczeń, aby wywołać inne możliwości klienta. Na przykład wskazanie aplikacji, które muszą powtórzyć interakcję z identyfikatorem Entra firmy Microsoft z powodu anomalii. Innym scenariuszem jest to, że użytkownik nie spełnia już warunków, w których wcześniej się uwierzytelnił. Można kodować dla tych rozszerzeń bez zakłócania podstawowych przepływów kodu uwierzytelniania.

Język znaczników asercji zabezpieczeń (SAML)

Platforma tożsamości Microsoft używa protokołu SAML 2.0, aby umożliwić aplikacjom Zero Trust zapewnienie środowiska użytkownika logowania jednokrotnego. Profile logowania jednokrotnego i logowania jednokrotnego SAML w usłudze Microsoft Entra ID wyjaśniają, w jaki sposób usługa dostawcy tożsamości używa asercji, protokołów i powiązań SAML. Protokół SAML wymaga od dostawcy tożsamości (Platforma tożsamości Microsoft) i dostawcy usług (aplikacji) wymiany informacji o sobie. Rejestrując aplikację Zero Trust przy użyciu identyfikatora Entra firmy Microsoft, należy zarejestrować informacje dotyczące federacji, które zawierają identyfikator URI przekierowania i identyfikator URI metadanych aplikacji przy użyciu identyfikatora Entra firmy Microsoft.

Zalety biblioteki MSAL przez protokoły

Firma Microsoft optymalizuje listy MSALs dla Platforma tożsamości Microsoft i zapewnia najlepsze środowisko logowania jednokrotnego, buforowania tokenów i odporności na awarię. Ponieważ listy MSALs są ogólnie dostępne, nadal rozszerzamy zakres języków i struktur.

Korzystając z biblioteki MSAL, uzyskujesz tokeny dla typów aplikacji, które obejmują aplikacje internetowe, internetowe interfejsy API, aplikacje jednostronicowe, aplikacje mobilne i natywne, demony i aplikacje po stronie serwera. Biblioteka MSAL umożliwia szybką i prostą integrację z bezpiecznym dostępem do użytkowników i danych za pośrednictwem programu Microsoft Graph i interfejsów API. Dzięki najlepszym bibliotekom uwierzytelniania w najwyższej klasie możesz uzyskać dostęp do dowolnej grupy odbiorców i postępować zgodnie z cyklem projektowania zabezpieczeń firmy Microsoft.

Następne kroki

• Platforma tożsamości Microsoft biblioteki uwierzytelniania opisują obsługę typów aplikacji.
• Opracowywanie przy użyciu zasad zero trust ułatwia zrozumienie wytycznych dotyczących modelu Zero Trust, dzięki czemu można zwiększyć bezpieczeństwo aplikacji.
• Użyj najlepszych rozwiązań dotyczących tworzenia tożsamości zero trust i zarządzania dostępem w cyklu tworzenia aplikacji, aby utworzyć bezpieczne aplikacje.
• Tworzenie aplikacji z podejściem Zero Trust do tożsamości zawiera omówienie uprawnień i najlepszych rozwiązań dotyczących dostępu.
• Obowiązki deweloperów i administratorów dotyczące rejestracji aplikacji, autoryzacji i dostępu ułatwiają współpracę z informatykami.
• Usługa API Protection opisuje najlepsze rozwiązania dotyczące ochrony interfejsu API za pomocą rejestracji, definiowania uprawnień i zgody oraz wymuszania dostępu w celu osiągnięcia celów zero trust.
• Dostosowywanie tokenów opisuje informacje, które można otrzymywać w tokenach firmy Microsoft Entra. Wyjaśniono w nim, jak dostosowywanie tokenu zwiększa elastyczność i kontrolę przy jednoczesnym zwiększeniu zabezpieczeń zero trust aplikacji z najmniejszymi uprawnieniami.
• Konfigurowanie oświadczeń grup i ról aplikacji w tokenach opisuje sposób konfigurowania aplikacji z definicjami ról aplikacji i przypisywania grup zabezpieczeń do ról aplikacji. Takie podejście zwiększa elastyczność i kontrolę przy jednoczesnym zwiększeniu zabezpieczeń zero trust aplikacji z najmniejszymi uprawnieniami.