Autorizace pomocí Azure AD

  • Článek
  • 5 min ke čtení

Autorizace je proces, který uděluje nebo odmítá přístup k systému tím, že ověřuje, zda má přistupující objekt oprávnění k provedení požadované akce. Přístupovým objektem v tomto kontextu je zatížení (cloudová aplikace) nebo uživatel úlohy. Tato akce může být funkční nebo v souvislosti se správou prostředků. Existují dva hlavní přístupy k autorizaci: na základě rolí a na základě prostředků. Obě můžou být nakonfigurované pomocí Azure AD.

Klíčové body

  • Používejte kombinaci ověřování na základě rolí a prostředků. Začněte s principem nejnižších oprávnění a přidejte další akce podle vašich potřeb.
  • Definujte jasné řádky zodpovědnosti a oddělení funkcí pro aplikační role a prostředky, které může spravovat. Vezměte v úvahu úrovně přístupu každé provozní funkce, například oprávnění potřebná k publikování produkční verze, přístup k zákaznickým datům a manipulaci s databázovými záznamy.
  • Neposkytněte trvalý přístup pro všechny důležité účty. zvyšte přístupová oprávnění, která jsou založená na schválení a jsou vázaná na čas pomocí azure ad Privileged Identity Management (azure ad PIM). |

Ověřování založené na rolích

Tento přístup autorizuje akci na základě role přiřazené uživateli. Některé akce například vyžadují roli správce.

Role je sada oprávnění. Role správce má například oprávnění k provádění všech operací čtení, zápisu a odstranění. Role má také obor. Obor určuje skupiny pro správu, odběry nebo skupiny prostředků, ve kterých má role povoleno pracovat.

Použití konzistentních oprávnění k prostředkům prostřednictvím skupin pro správu nebo skupin prostředků snižuje šíření vlastních, specifických oprávnění pro jednotlivé prostředky. Vlastní oprávnění založená na prostředku jsou často zbytečná a můžou způsobit nejasnost, protože nedělají svůj záměr na nové podobné prostředky. Tento proces se může nashromáždit na složitou starší verzi konfigurace, která se obtížně udržuje nebo mění bez obav, že by došlo k narušení zabezpečení a flexibility řešení.

Při přiřazování role uživateli zvažte, jaké akce může role provádět a jaký je rozsah těchto operací. Tady je několik důležitých informací o přiřazení role:

  • Před vytvořením vlastních rolí použijte předdefinované role pro udělení příslušných oprávnění virtuálním počítačům a jiným objektům. Předdefinované role můžete přiřadit uživatelům, skupinám, objektům služby a spravovaným identitám. Další informace najdete v tématu Předdefinované role v Azure.

  • Pokud potřebujete vytvořit vlastní role, udělte rolím příslušné akci. Akce jsou rozdělené do kategorií provozních a datových akcí. Abyste se vyhnuli neoprávněným oprávněním, začněte s akcemi, které mají nejnižší oprávnění, a přidejte další na základě vašich provozních nebo přístupových potřeb. Poskytněte jasné pokyny vašim technickým týmům, které implementují oprávnění. Další informace najdete v tématu vlastní role Azure.

  • Pokud máte strategii segmentace, přiřaďte k oboru oprávnění. Pokud například použijete skupinu pro správu k podpoře své strategie, nastavte obor na skupinu, nikoli na jednotlivé odběry. Tím se zabezpečí konzistence a zajistí se použití budoucích předplatných. Při přiřazování oprávnění pro segment zvažte konzistenci a umožněte flexibilnímu přizpůsobení několika organizačních modelů. tyto modely můžou být v rozsahu od jedné centralizované skupiny it až po většinou nezávislé it a DevOps týmy. Informace o přiřazování oboru naleznete v tématu AssignableScopes.

  • Skupiny zabezpečení můžete použít k přiřazení oprávnění. Existují však nevýhody. Může to být složité, protože zatížení musí sledovat, které skupiny zabezpečení odpovídají rolím aplikace, pro každého tenanta. Přístupové tokeny se taky můžou významně zvýšit a Azure AD zahrnuje deklaraci nadlimitního využití k omezení velikosti tokenu. viz Microsoft identity platform přístupové tokeny.

  • Místo udělení oprávnění konkrétním uživatelům přiřaďte přístup ke skupinám Azure AD. Kromě toho sestavíte komplexní model delegování, který zahrnuje skupiny pro správu, předplatné nebo skupiny prostředků RBAC. Další informace najdete v tématu řízení přístupu na základě role v Azure (Azure RBAC).

informace o implementaci ověřování na základě rolí v ASP.NET aplikaci najdete v tématu autorizace na základě rolí.

Další informace

Autorizace na základě prostředků

Při ověřování na základě rolí získá uživatel stejnou úroveň řízení na prostředku na základě role uživatele. Mohou však nastat situace, kdy potřebujete definovat přístupová práva k jednomu prostředku. Například ve skupině prostředků chcete některým uživatelům dovolit odstranit prostředek; jiní uživatelé nemůžou. V takových situacích použijte autorizaci na základě prostředků, která autorizuje akci na základě konkrétního prostředku. Každý prostředek má vlastníka. Vlastník může prostředek odstranit. Přispěvatelé můžou číst a aktualizovat, ale nemůžou ho odstranit.

Poznámka

Role vlastníka a přispěvatele pro prostředek nejsou stejné jako aplikační role.

Je nutné implementovat vlastní logiku pro autorizaci založenou na prostředku. Tato logika může být mapování prostředků, objektu Azure AD (jako role, skupiny, uživatele) a oprávnění.

informace a ukázka kódu týkající se implementace ověřování na základě prostředků v ASP.NET aplikaci najdete v tématu autorizace na základě prostředků.

Autorizace pro kritické účty

Můžou nastat případy, kdy potřebujete provádět aktivity, které vyžadují přístup k důležitým prostředkům. Tyto prostředky už můžou být dostupné pro kritické účty, jako je například účet správce. Nebo může být nutné zvýšit přístupová oprávnění, dokud aktivity nebudou dokončeny. Oba přístupy můžou představovat významná rizika.

Kritické účty jsou ty, které mohou vytvořit kritický výsledek pro podnikání, ať už se jedná o cloudové správce nebo uživatele s oprávněním pro konkrétní úlohy. Ohrožení nebo zneužití takového účtu může mít nepříznivý vliv na firmu a její informační systémy. Je důležité tyto účty identifikovat a přijmout procesy, včetně uzavření monitorování a řízení životního cyklu, včetně vyřazení.

Zabezpečení privilegovaného přístupu je zásadním prvním krokem k ustanovení záruk v oblasti zabezpečení podnikových prostředků v moderních organizacích. Zabezpečení většiny nebo všech podnikových prostředků v organizaci IT závisí na integritě privilegovaných účtů používaných ke správě, správě a vývoji. Cyberattackers často cílí na tyto účty a další prvky privilegovaného přístupu, aby získaly přístup k datům a systémy pomocí útoků krádeží přihlašovacích údajů, jako jsou pass-the-hash a Pass-The-Ticket.

Ochrana privilegovaného přístupu proti určitému nežádoucí osoby vyžaduje, abyste si vybrali úplný a důkladné přístup k izolaci těchto systémů před riziky.

Využívají se pro správu privilegovaných aktivit nějaké procesy a nástroje?

Neposkytněte trvalý přístup k důležitým účtům a nižším oprávněním, když se už nebude vyžadovat přístup. Mezi tyto strategie patří:

  • Privilegovaný přístup za běhu k prostředkům Azure AD a Azure.
  • Přístup s časovým omezením.
  • Přístup založený na schválení.
  • Pro získání přístupu by byl proces nouzového přístupu pozalomený.

Omezte přístup pro zápis do produkčních systémů instančních objektů. Žádné uživatelské účty by neměly mít pravidelný přístup pro zápis.

Zajistěte, aby byly v procesu zakázané nebo odstraňování účtů pro správu, které se nepoužívá.

Pomocí nativních možností a možností třetích stran můžete zvýšit přístupová oprávnění alespoň na vysoce privilegované, pokud ne všechny aktivity. azure ad Privileged Identity Management (azure ad PIM) je doporučeným nativním řešením v Azure.

Další informace o PIM najdete v tématu co je Azure AD Privileged Identity Management?

Další informace

Zřízení správy životního cyklu pro účty s kritickým dopadem

Zpět na hlavní článek: předpoklady pro správu identit a přístupu k Azure