Teljes felügyelet identitás- és hozzáférés-kezelés fejlesztési ajánlott eljárásai

Ha olyan biztonságos alkalmazást szeretne létrehozni, amely Teljes felügyelet alapelveket követi, a Microsoft azt javasolja, hogy az alkalmazásfejlesztési életciklus során számos ajánlott eljárást foglaljon bele, amelyek közül néhányat alább talál.

Ajánlott eljárás Részletek
A Microsoft Authentication Library (MSAL) és a Microsoft Graph használata Az alkalmazás ismert és elfogadott szabványok és kódtárak követésével történő fejlesztése növeli az alkalmazások hordozhatóságát és biztonságát. Az Azure Active Directory- (AD-) alkalmazások fejlesztése során az MSAL és a Microsoft Graph a legjobb választás.

A Microsoft erősen javasolja, hogy protokollok helyett kódtárak , például MSAL használatával fejlessze alkalmazását, mivel a protokollok hibásak, és a dokumentációjuk kiterjedt lehet. Az MSAL-fejlesztők elvégezték a protokolloknak való megfeleléssel kapcsolatos munkát, és az MSAL a hatékonyságra van optimalizálva, amikor közvetlenül a Azure AD dolgozik.
Identitás- és hozzáférés-kezelés delegálása Az alkalmazást úgy fejlesztheti, hogy jogkivonatokat használjon az ügyfél által definiálható és felügyelhető explicit identitás-ellenőrzéshez és hozzáférés-vezérléshez. A Microsoft nem javasolja, hogy saját felhasználónevet és jelszókezelő rendszert hozzon létre az alkalmazásához.
A minimális jogosultsági hozzáférési szabályzatok tervezése Teljes felügyelet előírja, hogy az ügyfelek a legalacsonyabb jogosultsági szintű hozzáférést implementálják. Az alkalmazást megfelelően kell fejleszteni és dokumentálni ahhoz, hogy ezek a szabályzatok sikeresen konfigurálhatók legyenek, ami azt jelenti, hogy az alkalmazásnak támogatnia kell a jogkivonatokat, és az alkalmazás által meghívandó összes API-t és erőforrást ismernie és dokumentálnia kell.
Jogkivonatok kezelése Az alkalmazás jogkivonatokat fog kérni Azure AD. Ezeknek a jogkivonatoknak a kezelése magában foglalja annak ellenőrzését, hogy érvényesek-e, és hatókörük kiterjed-e az alkalmazásra, megfelelően gyorsítótárazhatja őket, és a kívánt módon használhatja őket. A Microsoft azt javasolja, hogy a hibaosztályok ellenőrzésével és a megfelelő válaszok kódolásával kezelje a jogkivonatokkal kapcsolatos problémákat. Vegye figyelembe, hogy a hozzáférési jogkivonatokat nem szabad közvetlenül olvasnia. Ehelyett használja Microsoft Identitásplatform ajánlott eljárásokat tartalmazó alkalmazást a hozzáférési jogkivonat hatókörének és a jogkivonat-válasz részleteinek megtekintéséhez.