標準ベースの開発手法の使用

Microsoft Authentication Library (MSAL) によって強化されたソフトウェア開発に業界標準を十分に活用することで、クラウド アプリケーションが最適なセキュリティのためのゼロ トラスト要件を満たすことができます。 この記事では、サポートされている標準 (OAuth 2.0、OpenID Connect、SAML、WS-Federation、SCIM) の概要と、MSAL とMicrosoft ID プラットフォームで使用する利点と、より詳細な記事へのリンクを示します。

プロトコルはどうですか?

プロトコルの実装は、関連するコストを引き受ける非常に特定の人や組織に任される必要があります。すべてのベスト プラクティスで完全に最新の最初のパスを作成するのにかかる時間です (プロトコルを適切に実装するための安全な実装を開発するには、OAuth 2.0 ベスト プラクティス ガイドの多くのページに従ってください)。 代わりに、Azure AD または Microsoft ID に直接ビルドする場合は、MSAL を優先して保守性の高いライブラリを使用することを強くお勧めします。

MICROSOFT の MSAL は、Azure AD の構築と使用に最適化されています。 MSAL を実装していない環境や、独自のライブラリによってロック解除される非常に具体的な機能がある環境では、Microsoft ID プラットフォームを使用してアプリケーションを開発する最も簡単で効率的な方法は、OAuth 2.0 機能と OpenID Connect を基に構築することです。 3 番目の選択肢は、プロトコルにフォールバックすることですが、正しく行うために引き受けているコストに注意してください。

サポートされている標準と MSAL の利点 (詳細な記事へのリンク) の概要については、この記事を引き続き参照して、ゼロ トラスト アプリケーションの開発に使用する方法を学習してください。

Microsoft ID プラットフォームが標準をサポートする方法

Microsoft ID プラットフォームがサポートする次の業界標準を使用してアプリケーションを開発する場合、ゼロ トラストを達成するための最も効率的で効果的な方法があります。

  • OAuth 2.0
  • SAML

OAuth 2.0

OAuth 2.0 では、承認のための業界プロトコルとして、保護されたリソースへの制限付きアクセスをユーザーに許可できます。 ハイパーテキスト転送プロトコル (HTTP) を使用すると、OAuth 2.0 はクライアント ロールをリソース所有者から分離します。 クライアントはトークンを使用して、リソース サーバー上の保護されたリソースにアクセスします。

セキュリティ アサーション マークアップ言語 (SAML)

Microsoft ID プラットフォームでは SAML 2.0 を使用して、ゼロ トラスト アプリケーションがユーザーにシングル サインオン (SSO) エクスペリエンスを提供できるようにします。 Azure Active Directory (Azure AD) の SSO とシングル Sign-Out SAML プロファイルでは、ID プロバイダー サービスで SAML アサーション、プロトコル、バインドがどのように使用されるかについて説明します。 SAML プロトコルでは、ID プロバイダー (Microsoft ID プラットフォーム) とサービス プロバイダー (アプリケーション) が自身に関する情報を交換する必要があります。 Azure AD にゼロトラスト アプリケーションを登録すると、アプリケーションのリダイレクト URI とメタデータ URI を含むフェデレーション関連の情報が Azure AD に登録されます。

プロトコルよりも MSAL の利点

MICROSOFT ID プラットフォーム用に MSAL を最適化し、SSO、トークン キャッシュ、障害回復性に最適なエクスペリエンスを提供します。 一般提供されているさまざまな MSALs があり、言語とフレームワークの範囲は拡大し続けています。

MSAL を使用すると、Web アプリケーション、Web API、シングル ページ アプリ、モバイルおよびネイティブ アプリケーション、デーモン、サーバー側アプリケーションなどのアプリケーションの種類のトークンを取得できます。 MSAL を使用すると、Microsoft Graph、その他の API、および独自の API を介して簡単に作成されたユーザーやデータへの安全なアクセスを使用して、迅速かつシンプルな統合が可能になります。 クラス最高の認証ライブラリを使用すると、任意の対象ユーザーにアクセスし、Microsoft セキュリティ開発ライフサイクルに従うことができます。

次の手順