Procedure consigliate per l'autorizzazione

Man mano che si impara a sviluppare usando i principi Zero Trust, questo articolo continua da Acquisire l'autorizzazione per accedere alle risorse, Sviluppare una strategia di autorizzazioni delegate e Sviluppare una strategia di autorizzazioni dell'applicazione. Consente, in qualità di sviluppatore, di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.

È possibile implementare la logica di autorizzazione all'interno di applicazioni o soluzioni che richiedono il controllo di accesso. Quando gli approcci di autorizzazione si basano su informazioni su un'entità autenticata, un'applicazione può valutare le informazioni scambiate durante l'autenticazione, ad esempio le informazioni fornite all'interno di un token di sicurezza. Quando un token di sicurezza non contiene informazioni, un'applicazione può effettuare chiamate a risorse esterne.

Non è necessario incorporare completamente la logica di autorizzazione all'interno dell'applicazione. È possibile usare servizi di autorizzazione dedicati per centralizzare l'implementazione e la gestione delle autorizzazioni.

Procedure consigliate per le autorizzazioni

Le applicazioni più ampiamente adottate in Microsoft Entra ID seguono le procedure consigliate per il consenso e l'autorizzazione. Vedere Procedure consigliate per l'uso dei riferimenti alle autorizzazioni di Microsoft Graph e Microsoft Graph per informazioni su come considerare le richieste di autorizzazione.

• Applicare privilegi minimi. Richiedere solo le autorizzazioni necessarie. Usare il consenso incrementale per richiedere autorizzazioni granulari just-in-time. Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.

• Usare il tipo di autorizzazione corretto in base agli scenari. Evitare di usare sia le autorizzazioni dell'applicazione che le autorizzazioni delegate nella stessa app. Se si sta creando un'applicazione interattiva in cui è presente un utente connesso, l'applicazione deve usare autorizzazioni delegate. Se, tuttavia, l'applicazione viene eseguita senza un utente connesso, ad esempio un servizio in background o un daemon, l'applicazione deve usare le autorizzazioni dell'applicazione.

• Fornire le condizioni per l'utilizzo del servizio e le informative sulla privacy. L'esperienza di consenso utente presenta le condizioni per il servizio e l'informativa sulla privacy agli utenti per aiutarli a sapere che possono considerare attendibile l'app. Sono particolarmente importanti per le app multi-tenant rivolte agli utenti.

Quando richiedere l'autorizzazione

Alcune autorizzazioni richiedono a un amministratore di concedere il consenso all'interno di un tenant. Possono usare l'endpoint di consenso amministratore per concedere autorizzazioni a un intero tenant. Esistono tre modelli che è possibile seguire per richiedere autorizzazioni o ambiti.

• Implementare il consenso utente dinamico alla richiesta di accesso o al primo token di accesso. Il consenso utente dinamico non richiede nulla nella registrazione dell'app. È possibile definire gli ambiti necessari in determinate condizioni, ad esempio quando si accede a un utente per la prima volta. Dopo aver richiesto l'autorizzazione e ricevuto il consenso, non sarà necessario richiedere l'autorizzazione. Tuttavia, se non si riceve il consenso dell'utente dinamico all'accesso o al primo accesso, passa attraverso l'esperienza di autorizzazione.

• Richiedere il consenso incrementale dell'utente in base alle esigenze. Con il consenso incrementale combinato con il consenso utente dinamico, non è necessario richiedere tutte le autorizzazioni in una sola volta. È possibile richiedere alcune autorizzazioni e quindi, quando l'utente passa a funzionalità diverse nell'applicazione, si richiede un consenso maggiore. Questo approccio può aumentare il livello di comfort dell'utente perché concede in modo incrementale le autorizzazioni all'applicazione. Ad esempio, se l'applicazione richiede l'accesso a OneDrive, potrebbe suscitare sospetto se si richiede anche l'accesso al calendario. Chiedere in un secondo momento all'utente di aggiungere promemoria del calendario a OneDrive.

• Usare l'ambito /.default . L'ambito /.default simula in modo efficace l'esperienza predefinita precedente che ha esaminato ciò che è stato inserito nella registrazione dell'applicazione, ha capito quali consensi sono necessari e quindi ha chiesto tutti i consenso non ancora concessi. Non è necessario includere le autorizzazioni necessarie nel codice perché si trovano nella registrazione dell'app.

Diventare un server di pubblicazione verificato

I clienti Microsoft talvolta descrivono difficoltà a decidere quando consentire a un'applicazione di accedere a Microsoft Identity Platform accedendo a un utente o chiamando un'API. Adottando i principi Zero Trust, vogliono:

• Maggiore visibilità e controllo.
• Decisioni più proattive e più facili da prendere.
• Sistemi che mantengono i dati al sicuro e riducono il carico decisionale.
• Adozione accelerata delle app per sviluppatori affidabili.
• Consenso limitato alle app con autorizzazioni a basso rischio verificate dall'editore.

Anche se l'accesso ai dati nelle API come Microsoft Graph consente di creare applicazioni avanzate, l'organizzazione o il cliente valuta le autorizzazioni richieste dall'app insieme all'affidabilità dell'app.

Diventare microsoft Verified Publisher consente di offrire ai clienti un'esperienza più semplice nell'accettare le richieste dell'applicazione. Quando un'applicazione proviene da un editore verificato, gli utenti, i professionisti IT e i clienti sanno che proviene da qualcuno con cui Microsoft ha una relazione aziendale. Accanto al nome dell'editore viene visualizzato un segno di spunta blu (componente 5 nell'esempio seguente della richiesta di consenso richiesta di autorizzazioni. Vedere la tabella dei componenti nell'esperienza di consenso dell'applicazione Microsoft Entra). L'utente può selezionare l'autore verificato dalla richiesta di consenso per visualizzare altre informazioni.

"Screenshot della finestra di dialogo Autorizzazioni richieste per l'esperienza di consenso mostra i blocchi predefiniti dei componenti come descritto nell'articolo collegato sull'esperienza di consenso dell'applicazione Microsoft Entra. Sottolineato è il numero di componente 5, ovvero il nome dell'editore verificato, e un segno di spunta blu che l'utente può selezionare per ottenere altre informazioni sull'editore."

Quando si è un editore verificato, gli utenti e i professionisti IT ottengono fiducia nell'applicazione perché si è un'entità verificata. La verifica dell'editore offre una migliore personalizzazione per l'applicazione e maggiore trasparenza, riduzione dei rischi e maggiore adozione aziendale per i clienti.

Passaggi successivi

• Sviluppare una strategia di autorizzazioni delegate consente di implementare l'approccio migliore per gestire le autorizzazioni nell'applicazione e sviluppare usando i principi Zero Trust.
• Sviluppare una strategia di autorizzazioni per le applicazioni consente di decidere l'approccio alle autorizzazioni dell'applicazione per la gestione delle credenziali.
• Usare le procedure consigliate per lo sviluppo di identità Zero Trust e di gestione degli accessi nel ciclo di vita di sviluppo delle applicazioni per creare applicazioni sicure.
• Le procedure consigliate per la sicurezza per le proprietà dell'applicazione descrivono l'URI di reindirizzamento, i token di accesso, i certificati e i segreti, l'URI ID applicazione e la proprietà dell'applicazione.
• Personalizzare i token descrive le informazioni che è possibile ricevere nei token di Microsoft Entra. Spiega come personalizzare i token per migliorare la flessibilità e il controllo aumentando al contempo la sicurezza senza attendibilità delle applicazioni con privilegi minimi.
• Configurare le attestazioni di gruppo e i ruoli dell'app nei token illustra come configurare le app con definizioni di ruolo dell'app e assegnare gruppi di sicurezza ai ruoli dell'app. Questi metodi consentono di migliorare la flessibilità e il controllo aumentando la sicurezza senza attendibilità delle applicazioni con privilegi minimi.
• Protezione API descrive le procedure consigliate per proteggere l'API tramite la registrazione, la definizione di autorizzazioni e il consenso e l'applicazione dell'accesso per raggiungere gli obiettivi zero trust.
• Acquisire l'autorizzazione per accedere alle risorse consente di comprendere come garantire al meglio Zero Trust durante l'acquisizione delle autorizzazioni di accesso alle risorse per l'applicazione.