ajánlott eljárások és javaslatok Microsoft Identitásplatform
Ez a cikk a Microsoft Identitásplatform való integráció során ajánlott eljárásokat, javaslatokat és gyakori felügyeletet mutat be. Ez az ellenőrzőlista a kiváló minőségű és biztonságos integrációhoz nyújt útmutatást. Rendszeresen tekintse át ezt a listát, hogy biztosítsa az alkalmazás identitásplatformmal való integrációjának minőségét és biztonságát. Az ellenőrzőlista nem a teljes alkalmazás áttekintésére szolgál. Az ellenőrzőlista tartalma változhat a platform fejlesztései során.
Ha még csak most kezdi meg a műveletet, tekintse meg a Microsoft Identitásplatform dokumentációját, amelyből megismerheti a hitelesítés alapjait, a Microsoft Identitásplatform alkalmazásforgatókönyveit és egyéb tudnivalókat.
Az alábbi ellenőrzőlista segítségével biztosíthatja, hogy az alkalmazás hatékonyan integrálva legyen a Microsoft Identitásplatform.
Tipp
A Azure Portal integrációs segédje segíthet ezeknek az ajánlott eljárásoknak és javaslatoknak a alkalmazásában. Válassza ki bármelyik alkalmazásregisztrációt a Azure Portal, majd válassza az Integrációs segéd menüpontot az asszisztens használatának megkezdéséhez.
Alapvető beállítások
Olvassa el és ismerje meg a Microsoft platformszabályzatát. Győződjön meg arról, hogy az alkalmazás megfelel a felhasználók és a platform védelmére kialakított feltételeknek.
Tulajdonjog
Győződjön meg arról, hogy az alkalmazások regisztrálásához és kezeléséhez használt fiókhoz társított adatok naprakészek.
Arculat
Tartsa be az alkalmazások arculati irányelveit.
Adjon meg egy kifejező nevet és emblémát az alkalmazás számára. Ezek az információk megjelennek az alkalmazás hozzájárulási kérésében. Győződjön meg arról, hogy neve és emblémája a vállalat/termék reprezentatív, hogy a felhasználók tájékozott döntéseket hozhassanak. Győződjön meg arról, hogy nem szegi meg a védjegyeket.
Adatvédelem
Adja meg az alkalmazás szolgáltatási feltételeire és adatvédelmi nyilatkozatára mutató hivatkozásokat.
Biztonság
Az átirányítási URI-k kezelése:
- Fenntarthatja az átirányítási URI-k tulajdonjogát, és naprakészen tarthatja azok DNS-rekordjait.
- Ne használjon helyettesítő karaktereket (*) az URI-kban.
- Webalkalmazások esetén győződjön meg arról, hogy minden URI biztonságos és titkosított (például https-sémák használatával).
- Nyilvános ügyfelek esetén platformspecifikus átirányítási URI-kat használjon ( főleg iOS és Android esetén). Ellenkező esetben nagy véletlenszerűséggel használjon átirányítási URI-kat, hogy megakadályozza az ütközéseket, amikor visszahívja az alkalmazást.
- Ha az alkalmazást izolált webügynökből használja, használhatja
https://login.microsoftonline.com/common/oauth2/nativeclient. - Rendszeresen tekintse át és vágja le az összes nem használt vagy szükségtelen átirányítási URI-t.
Ha az alkalmazás regisztrálva van egy címtárban, minimalizálja és manuálisan monitorozza az alkalmazásregisztráció-tulajdonosok listáját.
Csak akkor engedélyezze az OAuth2 implicit engedélyezési folyamat támogatását, ha kifejezetten szükséges. Az érvényes forgatókönyvről itt tudhat meg többet.
Lépkedje túl a felhasználónevet/jelszót. Ne használjon erőforrás-tulajdonosi jelszó-hitelesítőadat-folyamatot (ROPC), amely közvetlenül kezeli a felhasználók jelszavát. Ez a folyamat magas szintű megbízhatóságot és felhasználói kitettséget igényel, és csak akkor szabad használni, ha más, biztonságosabb folyamatok nem használhatók. Ez a folyamat bizonyos forgatókönyvekben (például a DevOpsban) továbbra is szükséges, de ügyeljen arra, hogy a használata korlátozza az alkalmazást. A modernebb megközelítésekhez olvassa el a hitelesítési folyamatokat és az alkalmazásforgatókönyveket.
Webalkalmazások, webes API-k és démonalkalmazások bizalmas alkalmazás-hitelesítő adatainak védelme és kezelése. Használja a tanúsítvány hitelesítő adatait, ne a jelszó hitelesítő adatait (titkos ügyfélkulcsokat). Ha jelszóval rendelkező hitelesítő adatot kell használnia, ne állítsa be manuálisan. Ne tárolja a hitelesítő adatokat kódban vagy konfigurációban, és soha ne engedélyezze az emberek általi kezelésüket. Ha lehetséges, használja az Azure-erőforrások felügyelt identitásait vagy az Azure Key Vault a hitelesítő adatok tárolásához és rendszeres rotálásához.
Győződjön meg arról, hogy az alkalmazás a legalacsonyabb jogosultsági engedélyeket kéri. Csak olyan engedélyeket kérjen, amelyekre az alkalmazásnak feltétlenül szüksége van, és csak akkor, ha szüksége van rájuk. Ismerje meg a különböző engedélytípusokat. Csak akkor használja az alkalmazásengedélyeket, ha szükséges; ha lehetséges, delegált engedélyeket használjon. A Microsoft Graph engedélyeinek teljes listájáért tekintse meg ezt az engedélyreferenciát.
Ha egy API-t a Microsoft Identitásplatform használ, alaposan gondolja át, hogy milyen engedélyeket kell elérhetővé tennie. Gondolja át, hogy mi a megfelelő részletesség a megoldáshoz, és hogy mely engedély(ek) igényelnek rendszergazdai hozzájárulást. Az engedélyezési döntések meghozatala előtt ellenőrizze, hogy vannak-e a várt engedélyek a bejövő jogkivonatokban.
Implementálás
Használjon modern hitelesítési megoldásokat (OAuth 2.0, OpenID Csatlakozás) a felhasználók biztonságos bejelentkezéséhez.
Ne programozott közvetlenül olyan protokollokkal, mint az OAuth 2.0 és az Open ID. Ehelyett használja a Microsoft Authentication Library (MSAL) függvénytárat. Az MSAL-kódtárak biztonságosan burkolják a biztonsági protokollokat egy könnyen használható kódtárba, és beépített támogatást kap a feltételes hozzáférési forgatókönyvekhez, az eszközszintű egyszeri bejelentkezéshez (SSO) és a beépített jogkivonat-gyorsítótárazáshoz. További információt a Microsoft által támogatott ügyfélkódtárak listájában talál. Ha kézzel kell kódolnia a hitelesítési protokollokhoz, kövesse a Microsoft SDL-t vagy hasonló fejlesztési módszertant. Ügyeljen az egyes protokollok szabványspecifikációiban szereplő biztonsági szempontokra.
Meglévő alkalmazások migrálása Azure Active Directory Authentication Libraryből (ADAL) a Microsoft Authentication Librarybe. Az MSAL a Microsoft legújabb identitásplatform-megoldása, és előnyben részesíti az ADAL-t. A .NET,JavaScript, Android, iOS, macOS és nyilvános előzetes verzióban érhető el Python és Javához. További információ a ADAL.NET, ADAL.js, ADAL.NET és iOS közvetítőalkalmazások migrálásáról.
Mobilalkalmazások esetén konfigurálja az egyes platformokat az alkalmazásregisztrációs felületen. Ahhoz, hogy az alkalmazás kihasználhassa a Microsoft Authenticator vagy a Microsoft Céges portál az egyszeri bejelentkezéshez, az alkalmazásnak konfigurálnia kell egy "közvetítő átirányítási URI-t". Ez lehetővé teszi, hogy a Microsoft a hitelesítés után visszavehesse az irányítást az alkalmazáshoz. Az egyes platformok konfigurálásakor az alkalmazásregisztrációs felület végigvezeti a folyamaton. A rövid útmutató segítségével letölthet egy működő példát. A iOS használjon közvetítőket és a rendszer-webnézetet, amikor csak lehetséges.
Webalkalmazásokban vagy webes API-kban fiókonként egy jogkivonat-gyorsítótárat kell tárolni. Webalkalmazások esetén a jogkivonat-gyorsítótárat a fiókazonosítónak kell megadnia. Webes API-k esetén a fiókot az API meghívásához használt jogkivonat kivonatával kell megadni. MSAL.NET egyéni jogkivonat-gyorsítótár szerializálását biztosítja a .NET-keretrendszer és a .NET Core segédplatformokban. Biztonsági és teljesítménybeli okokból javasoljuk, hogy felhasználónként egy gyorsítótárat szerializáljon. További információkért olvassa el a jogkivonat-gyorsítótár szerializálását.
Ha az alkalmazás által igényelt adatok a Microsoft Graph keresztül érhetők el, az egyes API-k helyett a Microsoft Graph-végpont használatával kérjen engedélyeket ezekhez az adatokhoz.
Ne tekintse meg a hozzáférési jogkivonat értékét, és ne próbálja meg ügyfélként elemezni. Módosíthatják az értékeket, a formátumokat, vagy akár figyelmeztetés nélkül titkosíthatják is őket – mindig használja a id_token, ha az ügyfélnek valamit meg kell tudnia a felhasználóról, vagy hívja fel a Microsoft Graph. Csak a webes API-k elemezhetik a hozzáférési jogkivonatokat (mivel ezek határozzák meg a formátumot és a titkosítási kulcsok beállítását).
Végfelhasználói élmény
Ismerje meg a hozzájárulási felületet , és konfigurálja az alkalmazás hozzájárulási kérésének egyes részeit, hogy a végfelhasználók és a rendszergazdák elegendő információval rendelkezzenek annak megállapításához, hogy megbíznak-e az alkalmazásban.
Az interaktív folyamatok előtt minimalizálhatja, hogy a felhasználónak hányszor kell megadnia a bejelentkezési hitelesítő adatokat az alkalmazás használata során, ha csendes hitelesítést (csendes jogkivonat beszerzését) kísérel meg.
Ne használja a "prompt=consent" kifejezést minden bejelentkezéshez. Csak akkor használja a prompt=consent értéket, ha megállapította, hogy további engedélyeket kell kérnie (például ha módosította az alkalmazás szükséges engedélyeit).
Adott esetben bővítse az alkalmazást felhasználói adatokkal. Ezt a Microsoft Graph API használatával teheti meg. A Graph Explorer eszköz, amely segítséget nyújt az első lépésekhez.
Regisztrálja az alkalmazás által igényelt engedélyek teljes készletét, hogy a rendszergazdák könnyen jóváhagyhassák a bérlőjüket. A növekményes hozzájárulás futásidőben történő használatával segítheti a felhasználókat annak megértésében, hogy az alkalmazás miért kér olyan engedélyeket, amelyek érinthetik vagy összezavarhatják a felhasználókat az első indításkor.
Tiszta egyszeri kijelentkezés implementálása. Ez adatvédelmi és biztonsági követelmény, és jó felhasználói élményt nyújt.
Tesztelés
Tesztelje azokat a feltételes hozzáférési szabályzatokat , amelyek hatással lehetnek a felhasználók alkalmazáshasználati képességére.
Tesztelje alkalmazását az összes olyan fiókkal, amelyet támogatni szeretne (például munkahelyi vagy iskolai fiókok, személyes Microsoft-fiókok, gyermekfiókok és szuverén fiókok).
További források
Részletes információk a 2.0-s verzióról: