Sesuaikan token
Sebagai pengembang, interaksi utama Anda dengan MICROSOFT Entra ID adalah meminta token untuk mengidentifikasi pengguna. Anda juga meminta token untuk mendapatkan otorisasi untuk memanggil API web. Token API web menentukan apa yang dapat dilakukan API saat melayani permintaan tertentu. Dalam artikel ini, Anda mempelajari tentang informasi yang dapat Anda terima dalam token dan bagaimana Anda dapat menyesuaikan token. Praktik terbaik pengembang Zero Trust ini meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan aplikasi dengan hak istimewa paling sedikit.
Alasan Anda untuk menyesuaikan token aplikasi bergantung pada proses yang Anda gunakan untuk mendorong otorisasi yang lebih terperinci dalam aplikasi dan API Anda. Misalnya, Anda mungkin memiliki peran pengguna, tingkat akses, dan fungsionalitas yang berbeda di aplikasi Anda yang mengandalkan informasi dari token.
Microsoft Graph API menyediakan sekumpulan informasi direktori dan data yang kuat di seluruh Microsoft 365. Anda dapat mengembangkan sistem otorisasi yang halus dan kaya dengan membangun data di Microsoft Graph. Misalnya, Anda dapat mengakses informasi dari keanggotaan grup pengguna, data profil terperinci, SharePoint, dan Outlook untuk digunakan dalam keputusan otorisasi Anda. Anda juga dapat menyertakan data otorisasi dalam token dari ID Microsoft Entra.
Otorisasi tingkat aplikasi
It Pro dapat menambahkan otorisasi tingkat aplikasi tanpa menyesuaikan token atau meminta pengembang menambahkan kode apa pun.
Profesional TI dapat mencegah token dikeluarkan ke aplikasi apa pun di penyewa dengan menggunakan bendera yang diperlukan penetapan pengguna untuk memastikan bahwa hanya sekumpulan pengguna yang dapat masuk ke aplikasi. Tanpa bendera ini, semua pengguna dalam penyewa dapat mengakses aplikasi. Dengan bendera ini, hanya pengguna dan grup yang ditetapkan yang dapat mengakses aplikasi. Saat pengguna yang ditetapkan mengakses aplikasi, aplikasi menerima token. Jika pengguna tidak memiliki penugasan, aplikasi tidak menerima token. Ingatlah untuk selalu menangani permintaan token dengan anggun yang tidak menerima token.
Metode kustomisasi token
Ada dua cara untuk menyesuaikan token: pemetaan klaim dan klaim opsional.
Klaim opsional
Klaim opsional menentukan klaim mana yang Anda inginkan agar ID Microsoft Entra dikirim ke aplikasi Anda dalam token. Anda dapat menggunakan klaim opsional untuk:
- Pilih klaim lainnya untuk disertakan dalam token aplikasi Anda.
- Ubah perilaku klaim yang dikembalikan platform identitas Microsoft dalam token.
- Menambahkan dan mengakses klaim kustom untuk aplikasi Anda.
Klaim opsional menggantung objek pendaftaran aplikasi dengan skema yang ditentukan. Mereka berlaku untuk aplikasi di mana pun aplikasi berjalan. Saat Anda menulis aplikasi multipenyewa, klaim opsional berfungsi dengan baik karena konsisten di setiap penyewa di ID Microsoft Entra. Misalnya, alamat IP tidak spesifik untuk penyewa sedangkan aplikasi memiliki alamat IP.
Secara default, pengguna tamu di penyewa juga dapat masuk ke aplikasi Anda. Jika Anda ingin memblokir pengguna tamu, ikut serta dalam klaim opsional (akte). Jika 1, maka pengguna memiliki klasifikasi tamu. Jika Anda ingin memblokir tamu, blokir token dengan acct==1.
Kebijakan pemetaan klaim
Di ID Microsoft Entra, objek kebijakan mewakili serangkaian aturan pada aplikasi individual atau pada semua aplikasi dalam organisasi. Kebijakan pemetaan klaim memodifikasi klaim yang masalah ID Microsoft Entra dalam token untuk aplikasi tertentu.
Anda menggunakan pemetaan klaim untuk informasi khusus penyewa yang tidak memiliki skema (misalnya, EmployeeID, DivisionName). Pemetaan klaim berlaku di tingkat perwakilan layanan yang dikontrol admin penyewa. Pemetaan klaim sesuai dengan aplikasi perusahaan atau perwakilan layanan untuk aplikasi tersebut. Setiap penyewa dapat memiliki pemetaan klaimnya sendiri.
Jika Anda mengembangkan aplikasi lini bisnis, Anda dapat melihat secara khusus apa yang dilakukan penyewa Anda (klaim spesifik apa yang tersedia penyewa yang dapat Anda gunakan dalam token Anda). Misalnya, jika organisasi memiliki properti nama divisi pengguna (bukan bidang standar di ID Microsoft Entra) di Active Directory lokal mereka, Anda dapat menggunakan Microsoft Entra Koneksi untuk menyinkronkannya ke ID Microsoft Entra.
Anda dapat menggunakan salah satu atribut ekstensi standar untuk berisi informasi tersebut. Anda dapat menentukan token Anda dengan klaim nama divisi yang dapat Anda buat dari ekstensi yang sesuai (bahkan jika tidak berlaku di setiap penyewa). Misalnya, organisasi menempatkan nama divisi mereka dalam atribut ekstensi 13.
Dengan pemetaan klaim, Anda dapat membuatnya berfungsi untuk penyewa lain yang menempatkan nama divisi mereka dalam atribut tujuh.
Merencanakan kustomisasi token
Token mana yang Anda sesuaikan tergantung pada jenis aplikasi Anda: aplikasi klien atau API. Tidak ada perbedaan dalam apa yang dapat Anda lakukan untuk menyesuaikan token Anda. Apa yang dapat Anda masukkan ke dalam token sama untuk masing-masing token tersebut. Token mana yang Anda pilih untuk disesuaikan tergantung pada token mana yang digunakan aplikasi Anda.
Menyesuaikan token ID
Jika Anda mengembangkan aplikasi klien, Anda menyesuaikan token ID karena itu adalah token yang Anda minta untuk mengidentifikasi pengguna. Token milik aplikasi Anda saat klaim audiens (aud) dalam token cocok dengan ID klien aplikasi Anda. Untuk aplikasi klien yang memanggil API tetapi tidak menerapkannya, pastikan Anda hanya menyesuaikan token ID aplikasi Anda.
API portal Azure dan Microsoft Graph memungkinkan Anda menyesuaikan token akses untuk aplikasi Anda juga, tetapi penyesuaian tersebut tidak berpengaruh. Anda tidak dapat menyesuaikan token akses untuk API yang tidak Anda miliki. Ingat, aplikasi Anda tidak boleh mencoba mendekode atau memeriksa token akses yang diterima aplikasi klien Anda sebagai otorisasi untuk memanggil API.
Menyesuaikan token akses
Jika Anda mengembangkan API, Anda menyesuaikan token akses karena API Anda menerima token akses sebagai bagian dari panggilan klien ke API Anda.
Aplikasi klien selalu menyesuaikan token ID yang mereka terima untuk identitas pengguna. API menyesuaikan token akses yang diterima API sebagai bagian dari panggilan ke API.
Peran grup dan aplikasi
Salah satu teknik otorisasi yang paling umum adalah dengan mendasarkan akses pada keanggotaan grup pengguna atau peran yang ditetapkan. Mengonfigurasi klaim grup dan peran aplikasi dalam token menunjukkan kepada Anda cara mengonfigurasi aplikasi dengan definisi peran aplikasi dan menetapkan grup keamanan ke peran aplikasi. Metode ini membantu meningkatkan fleksibilitas dan kontrol sekaligus meningkatkan keamanan nol kepercayaan aplikasi dengan hak istimewa paling sedikit.
Langkah berikutnya
- Pemetaan klaim pengguna kolaborasi B2B menjelaskan dukungan MICROSOFT Entra ID untuk menyesuaikan klaim yang dikeluarkan dalam token Security Assertion Markup Language (SAML) untuk pengguna kolaborasi B2B.
- Menyesuaikan klaim token SAML aplikasi saat pengguna mengautentikasi ke aplikasi melalui platform identitas Microsoft menggunakan protokol SAML 2.0.
- API Protection menjelaskan praktik terbaik untuk melindungi API Anda melalui pendaftaran, menentukan izin dan persetujuan, dan menegakkan akses untuk mencapai tujuan Zero Trust Anda.
- Praktik terbaik otorisasi membantu Anda menerapkan model otorisasi, izin, dan persetujuan terbaik untuk aplikasi Anda.
- Gunakan identitas Zero Trust dan praktik terbaik pengembangan manajemen akses dalam siklus hidup pengembangan aplikasi Anda untuk membuat aplikasi yang aman.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk