Bewährte Methoden für die Autorisierung

Während Sie lernen, die Verwendung von Zero Trust-Grundsätzen zu entwickeln, geht dieser Artikel von der Beschaffung der Autorisierung für den Zugriff auf Ressourcen, der Entwicklung einer delegierter Berechtigungsstrategie und der Entwicklung von Anwendungsberechtigungsstrategie aus. Es hilft Ihnen als Entwickler, die besten Autorisierungs-, Berechtigungs- und Einwilligungsmodelle für Ihre Anwendungen zu implementieren.

Sie können Autorisierungslogik in Anwendungen oder Lösungen implementieren, die eine Zugriffssteuerung erfordern. Wenn Autorisierungsansätze auf Informationen über eine authentifizierte Entität angewiesen sind, kann eine Anwendung Informationen auswerten, die während der Authentifizierung ausgetauscht werden (z. B. Informationen, die in einem Sicherheitstoken bereitgestellt werden). Wenn ein Sicherheitstoken keine Informationen enthält, kann eine Anwendung Aufrufe an externe Ressourcen tätigen.

Sie müssen die Autorisierungslogik nicht vollständig in Ihre Anwendung einbetten. Sie können dedizierte Autorisierungsdienste verwenden, um die Implementierung und Verwaltung der Autorisierung zu zentralisieren.

Bewährte Methoden für die Berechtigungen

Die am weitesten verbreiteten Anwendungen in Microsoft Entra ID folgen den bewährten Methoden für Einwilligung und Autorisierung. Überprüfen Sie die Anleitungen „Bewährte Methoden für die Arbeit mit Microsoft Graph“ und Microsoft Graph-Berechtigungsreferenz, um zu erfahren, wie Sie mit Ihren Berechtigungsanforderungen rücksichtsvoll umgehen können.

• Wenden Sie die Regel der geringsten Rechte an. Fordern Sie nur die erforderlichen Berechtigungen an. Verwenden Sie die inkrementelle Einwilligung, um präzise Berechtigungen zur rechten Zeit anzufordern. Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.

• Verwenden Sie den richtigen Berechtigungstyp, der auf Szenarien basiert. Vermeiden Sie die Verwendung von Anwendungsberechtigungen und delegierten Berechtigungen in derselben App. Wenn Sie eine interaktive Anwendung erstellen, in der ein angemeldeter Benutzer vorhanden ist, sollte Ihre Anwendung delegierte Berechtigungen verwenden. Wenn jedoch die Ausführung Ihrer Anwendung ohne angemeldeten Benutzer erfolgt, wie z. B. ein Hintergrunddienst oder Daemon, sollte Ihre Anwendung Anwendungsberechtigungen verwenden.

• Stellen Sie Nutzungsbedingungen und Datenschutzbestimmungen zur Verfügung. Die Benutzereinwilligungsoberfläche zeigt Benutzern ihre Nutzungsbedingungen und Datenschutzbestimmungen an, damit sie begreifen, dass sie Ihrer App vertrauen können. Sie sind besonders wichtig für benutzerseitig mehrinstanzenfähige Apps.

Wann eine Berechtigung angefordert werden soll

Für einige Berechtigungen ist es erforderlich, dass ein Administrator die Einwilligung innerhalb eines Mandanten erteilt. Sie können den Endpunkt für die Administratoreinwilligung verwenden, um Berechtigungen für einen gesamten Mandanten zu erteilen. Es gibt drei Modelle, denen Sie folgen können, um Berechtigungen oder Bereiche anzufordern.

• Implementieren Sie die dynamische Benutzereinwilligung bei der Anmeldung oder bei der ersten Zugriffstokenanforderung. Die dynamische Benutzereinwilligung erfordert in Ihrer App-Registrierung keine Aktion. Sie können die Bereiche definieren, die Sie unter bestimmten Bedingungen benötigen (z. B. wenn Sie zum ersten Mal einen Benutzer anmelden). Nachdem Sie diese Berechtigung angefordert und die Einwilligung erhalten haben, müssen Sie keine Berechtigung anfordern. Wenn Sie jedoch keine dynamische Benutzereinwilligung bei der Anmeldung oder beim ersten Zugriff erhalten haben, durchläuft sie die Berechtigungsumgebung.

• Fordern Sie bei Bedarf die inkrementelle Benutzereinwilligung an. Mit inkrementeller Einwilligung in Kombination mit dynamischer Benutzereinwilligung müssen Sie nicht alle Berechtigungen gleichzeitig anfordern. Sie können einige Berechtigungen anfordern und dann, wenn der Benutzer zu verschiedenen Funktionen in Ihrer Anwendung wechselt, weitere Einwilligungen anfordern. Dieser Ansatz kann den Komfort des Benutzers erhöhen, da er ihrer Anwendung inkrementell Berechtigungen erteilt. Wenn Ihre Anwendung beispielsweise den OneDrive-Zugriff anfordert, kann es verdächtig erscheinen, wenn Sie auch Kalenderzugriff anfordern. Bitten Sie stattdessen den Benutzer, Kalendererinnerungen für sein OneDrive später hinzuzufügen.

• Verwenden Sie den /.default Bereich. Der /.default Bereich imitiert effektiv die alte Standarderfahrung, die untersucht hat, was Sie in der Anwendungsregistrierung abgelegt haben, ermittelte, welche Einwilligungen Sie benötigten, und fragte dann nach allen noch nicht erteilten Einwilligungen. Es ist nicht erforderlich, dass Sie Berechtigungen, die Sie in Ihrem Code benötigen, einschließen, da sich diese in Ihrer App-Registrierung befinden.

Wie Sie ein verifizierter Herausgeber werden.

Microsoft-Kunden beschreiben manchmal Schwierigkeiten bei der Entscheidung, wann eine Anwendung auf die Microsoft Identity Platform zugreifen darf, indem Sie sich bei einem Benutzer anmelden oder eine API aufrufen. Während sie Zero Trust-Grundsätze übernehmen, möchten sie:

• Erhöhte Sichtbarkeit und Steuerung.
• Proaktivere und einfachere reaktive Entscheidungen.
• Systeme, die Daten sicher aufbewahren und die Entscheidungslast reduzieren.
• Beschleunigte App-Einführung für vertrauenswürdige Entwickler.
• Eingeschränkte Einwilligung für Apps mit Berechtigungen mit geringem Risiko, die vom Herausgeber verifiziert sind.

Während der Zugriff auf Daten in APIs wie Microsoft Graph Ihnen ermöglicht, umfangreiche Anwendungen zu erstellen, bewertet Ihre Organisation oder Ihr Kunde die Berechtigungen, die Ihre App anfordert, zusammen mit der Vertrauenswürdigkeit Ihrer App.

Wenn Sie Microsoft Verified Publisher werden, können Sie Ihren Kunden eine einfachere Erfahrung bei der Annahme Ihrer Anwendungsanforderungen bieten. Wenn eine Anwendung von einem bestätigten Herausgeber stammt, wissen Benutzer, IT-Spezialisten und Kunden, dass sie von jemandem stammt, mit dem Microsoft über eine Geschäftsbeziehung verfügt. Ein blaues Häkchen wird neben dem Namen des Herausgebers angezeigt (Komponente Nr. 5 in den angeforderten Berechtigungen im Beispiel unten für die Einwilligungsaufforderung, siehe Komponententabelle bei der Oberfläche für die Einwilligung der Microsoft Entra-Anwendung). Der Benutzer kann den überprüften Herausgeber aus der Einwilligungsaufforderung auswählen, um weitere Informationen anzuzeigen.

„Screenshot des Dialogfelds „Einwilligungsberechtigungen angefordert“ zeigt Komponentenbausteine, wie im verknüpften Artikel zur Einwilligung der Microsoft Entra-Anwendung beschrieben. Hervorgehoben ist die Komponentennummer 5, also der Name des überprüften Herausgebers und ein blaues Häkchen, das der Benutzer auswählen kann, um weitere Informationen zum Herausgeber zu erhalten.“

Wenn Sie ein bestätigter Herausgeber sind, gewinnen Benutzer und IT-Experten Vertrauen in Ihre Anwendung, da Sie eine überprüfte Entität sind. Die Überprüfung des Herausgebers bietet ein verbessertes Branding für Ihre Anwendung und erhöhte Transparenz, verringertes Risiko und eine reibungslosere Unternehmensakzeptanz für Ihre Kunden.

Nächste Schritte

• Durch Entwickeln einer delegierten Berechtigungsstrategie können Sie den besten Ansatz für die Verwaltung von Berechtigungen in Ihrer Anwendung implementieren und mithilfe von Zero Trust-Grundsätzen entwickeln.
• Die Entwicklung der Strategie für Anwendungsberechtigungen hilft Ihnen bei der Entscheidung über den Ansatz ihrer Anwendungsberechtigungen für die Verwaltung von Anmeldeinformationen.
• Verwenden Sie bewährte Methoden der Zero Trust-Identitäts- und Zugriffsverwaltungsentwicklung in Ihrem Anwendungsentwicklungslebenszyklus, um sichere Anwendungen zu erstellen.
• Bewährte Sicherheitsmethoden für Anwendungseigenschaften beschreibt die Umleitungs-URI, Zugriffstoken, Zertifikate und geheime Schlüssel, Anwendungs-ID-URI und Anwendungsbesitz.
• Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können, und wie Token angepasst werden, um Flexibilität und Kontrolle zu verbessern und gleichzeitig die Sicherheit von Zero Trust der Anwendung mit geringsten Berechtigungen zu erhöhen.
• Das Konfigurieren von Gruppenansprüchen und App-Rollen in Token zeigt, wie Sie Ihre Apps mit App-Rollendefinitionen konfigurieren und App-Rollen Sicherheitsgruppen zuweisen, um die Flexibilität und Kontrolle zu verbessern, und gleichzeitig die Zero Trust-Sicherheit mit geringsten Berechtigungen erhöhen können.
• Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
• Wenn Sie die Autorisierung für den Zugriff auf Ressourcen erwerben, können Sie besser verstehen, wie Sie Zero Trust beim Abrufen von Ressourcenzugriffsberechtigungen für Ihre Anwendung am besten sicherstellen können.