Share via

Použití metodik vývoje založených na standardech

  • Článek

Jako vývojář můžete dobře využít oborové standardy pro vývoj softwaru rozšířenou knihovnou MSAL (Microsoft Authentication Library ). V tomto článku poskytujeme přehled podporovaných standardů (OAuth 2.0, OpenID Připojení, SAML, WS-Federation a SCIM) a výhody jejich používání s MSAL a platformou Microsoft Identity Platform. Zajistěte, aby vaše cloudové aplikace splňovaly požadavky nulová důvěra (Zero Trust) pro optimální zabezpečení.

A co protokoly?

Při implementaci protokolů zvažte náklady, které zahrnují čas na napsání kódu, který je plně aktuální se všemi osvědčenými postupy a dodržuje osvědčené postupy OAuth 2.0 pro zabezpečenou implementaci. Místo toho doporučujeme použít dobře udržovanou knihovnu (s předvolbou pro KNIHOVNU MSAL), když vytváříte přímo na Microsoft Entra ID nebo Microsoft Identity.

Optimalizujeme seznamy MSA tak, aby se sestavily a pracovaly s ID Microsoft Entra. Pokud vaše prostředí neimplementovalo MSAL nebo má odemčené funkce ve své vlastní knihovně, vyvíjejte aplikaci pomocí platformy Microsoft Identity Platform. Využijte možnosti OAuth 2.0 a openID Připojení. Zvažte náklady na správné vrácení do protokolu.

Jak platforma Microsoft Identity Platform podporuje standardy

Pokud chcete dosáhnout nulová důvěra (Zero Trust) co nejefektivnějším a nejefektivnějším způsobem, vyvíjejte aplikace s oborovými standardy, které platforma Microsoft Identity Platform podporuje:

OAuth 2.0 a OpenID Connect

Jako oborový protokol pro autorizaci umožňuje OAuth 2.0 uživatelům udělit omezený přístup k chráněným prostředkům. OAuth 2.0 pracuje s protokolem HTTP (Hypertext Transfer Protocol) k oddělení role klienta od vlastníka prostředku. Klienti používají tokeny pro přístup k chráněným prostředkům na serveru prostředků.

Konstrukty OpenID Připojení umožňují rozšíření Microsoft Entra vylepšit zabezpečení. Nejběžnější jsou tato rozšíření Microsoft Entra:

  • Kontext ověřování podmíněného přístupu umožňuje aplikacím používat podrobné zásady pro ochranu citlivých dat a akcí místo na úrovni aplikace.
  • Funkce CaE (Continuous Access Evaluation) umožňuje aplikacím Microsoft Entra přihlásit se k odběru důležitých událostí pro vyhodnocení a vynucování. CaE zahrnuje vyhodnocení rizikových událostí, jako jsou zakázané nebo odstraněné uživatelské účty, změny hesla, odvolání tokenů a zjištěné uživatele.

Když vaše aplikace používají vylepšené funkce zabezpečení, jako je CAE a kontext ověřování podmíněného přístupu, musí obsahovat kód pro správu problémů s deklaracemi identity. S otevřenými protokoly používáte výzvy deklarací identity a žádosti o deklarace identity k vyvolání dalších možností klienta. Například označující aplikace, které potřebují opakovat interakci s ID Microsoft Entra kvůli anomálii. Dalším scénářem je situace, kdy uživatel již nesplňuje podmínky, za kterých se dříve ověřil. Pro tato rozšíření můžete kódovat bez narušení toků primárního ověřovacího kódu.

SamL (Security Assertions Markup Language)

Platforma Microsoft Identity Platform používá SAML 2.0 k tomu, aby vaše nulová důvěra (Zero Trust) aplikace poskytovaly uživatelské prostředí jednotného přihlašování .SSO. Profily SAML jednotného přihlašování a jednotného přihlašování v Microsoft Entra ID vysvětlují, jak služba zprostředkovatele identity používá kontrolní výrazy, protokoly a vazby SAML. Protokol SAML vyžaduje, aby poskytovatel identity (Microsoft Identity Platform) a poskytovatel služeb (vaše aplikace) vyměňovali informace o sobě. Při registraci aplikace nulová důvěra (Zero Trust) pomocí Microsoft Entra ID zaregistrujete informace související s federací, které zahrnují identifikátor URI přesměrování a identifikátor URI metadat aplikace s Microsoft Entra ID.

Výhody MSAL oproti protokolům

Microsoft optimalizuje seznamy MSALs pro platformu Microsoft Identity Platform a poskytuje nejlepší prostředí pro zajištění odolnosti jednotného přihlašování, ukládání tokenů do mezipaměti a výpadků. Vzhledem k tomu, že seznamy MSA jsou obecně dostupné, budeme i nadále rozšiřovat pokrytí jazyků a architektur.

Pomocí knihovny MSAL získáte tokeny pro typy aplikací, mezi které patří webové aplikace, webová rozhraní API, jednostránkové aplikace, mobilní a nativní aplikace, démony a serverové aplikace. MSAL umožňuje rychlou a jednoduchou integraci se zabezpečeným přístupem k uživatelům a datům prostřednictvím rozhraní Microsoft Graph a rozhraní API. S nejlepšími knihovnami ověřování ve třídě se můžete spojit s jakoukoli cílovou skupinou a sledovat životní cyklus vývoje zabezpečení společnosti Microsoft.

Další kroky

  • Knihovny ověřování platformy Microsoft Identity Platform popisují podporu typů aplikací.
  • Vývoj principů nulová důvěra (Zero Trust) vám pomůže porozumět hlavním principům nulová důvěra (Zero Trust), abyste mohli zlepšit zabezpečení aplikací.
  • K vytváření zabezpečených aplikací použijte osvědčené postupy pro vývoj identit a přístupu nulová důvěra (Zero Trust) v životním cyklu vývoje aplikací.
  • Vytváření aplikací s přístupem k identitě nulová důvěra (Zero Trust) poskytuje přehled o oprávněních a osvědčených postupech přístupu.
  • Odpovědnost vývojáře a správce za registraci, autorizaci a přístup k aplikacím vám pomůže lépe spolupracovat s it specialisty.
  • Api Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení nulová důvěra (Zero Trust) cílů.
  • Přizpůsobení tokenů popisuje informace, které můžete přijímat v tokenech Microsoft Entra. Vysvětluje, jak přizpůsobení tokenů zlepšuje flexibilitu a řízení a současně zvyšuje zabezpečení aplikace nulová důvěra (Zero Trust) s nejnižšími oprávněními.
  • Konfigurace skupinových deklarací identity a rolí aplikací v tokenech popisuje, jak nakonfigurovat aplikace s definicemi rolí aplikace a přiřadit skupiny zabezpečení k rolím aplikací. Tento přístup zlepšuje flexibilitu a řízení při zvyšování zabezpečení nulová důvěra (Zero Trust) aplikací s nejnižšími oprávněními.