Best practices voor autorisatie

Als u leert ontwikkelen met behulp van Zero Trust-principes, gaat dit artikel verder van Autorisatie verkrijgen voor toegang tot resources, Strategie voor gedelegeerde machtigingen ontwikkelen en Strategie voor het ontwikkelen van toepassingsmachtigingen. Het helpt u, als ontwikkelaar, om de beste autorisatie-, machtigings- en toestemmingsmodellen voor uw toepassingen te implementeren.

U kunt autorisatielogica implementeren binnen toepassingen of oplossingen waarvoor toegangsbeheer is vereist. Wanneer autorisatiemethoden afhankelijk zijn van informatie over een geverifieerde entiteit, kan een toepassing informatie evalueren die tijdens de verificatie wordt uitgewisseld (bijvoorbeeld informatie die in een beveiligingstoken wordt verstrekt). Wanneer een beveiligingstoken geen informatie bevat, kan een toepassing externe resources aanroepen.

U hoeft autorisatielogica niet volledig in uw toepassing in te sluiten. U kunt toegewezen autorisatieservices gebruiken om de implementatie en het beheer van autorisatie te centraliseren.

Aanbevolen procedures voor machtigingen

De meestgebruikte toepassingen in Microsoft Entra ID volgen best practices voor toestemming en autorisatie. Bekijk de aanbevolen procedures voor het werken met Microsoft Graph - en Microsoft Graph-machtigingen voor meer informatie over het nadenken over uw machtigingsaanvragen.

• Pas minimale bevoegdheden toe. Alleen de benodigde machtigingen aanvragen. Gebruik incrementele toestemming om gedetailleerde machtigingen just-in-time aan te vragen. Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging.

• Gebruik het juiste machtigingstype op basis van scenario's. Vermijd het gebruik van zowel toepassingsmachtigingen als gedelegeerde machtigingen in dezelfde app. Als u een interactieve toepassing bouwt waarin een aangemelde gebruiker aanwezig is, moet uw toepassing gedelegeerde machtigingen gebruiken. Als uw toepassing echter wordt uitgevoerd zonder een aangemelde gebruiker, zoals een achtergrondservice of daemon, moet uw toepassing toepassingsmachtigingen gebruiken.

• Geef servicevoorwaarden en privacyverklaringen op. De ervaring voor gebruikerstoestemming geeft uw servicevoorwaarden en privacyverklaring weer aan gebruikers om hen te helpen weten dat ze uw app kunnen vertrouwen. Ze zijn met name essentieel voor gebruikersgerichte multitenant-apps.

Wanneer moet u toestemming aanvragen

Voor sommige machtigingen moet een beheerder toestemming verlenen binnen een tenant. Ze kunnen het eindpunt voor beheerderstoestemming gebruiken om machtigingen te verlenen aan een hele tenant. Er zijn drie modellen die u kunt volgen om machtigingen of bereiken aan te vragen.

• Implementeer dynamische gebruikerstoestemming bij aanmelding of eerste toegangstokenaanvraag. Dynamische gebruikerstoestemming vereist niets in uw app-registratie. U kunt de bereiken definiëren die u nodig hebt onder bepaalde voorwaarden (bijvoorbeeld wanneer u zich voor het eerst aanmeldt bij een gebruiker). Nadat u deze machtiging hebt aangevraagd en toestemming hebt ontvangen, hoeft u geen toestemming aan te vragen. Als u echter geen dynamische gebruikerstoestemming ontvangt bij aanmelding of eerste toegang, wordt de machtigingservaring doorlopen.

• Vraag zo nodig incrementele gebruikerstoestemming aan. Met incrementele toestemming in combinatie met dynamische gebruikerstoestemming hoeft u niet alle machtigingen tegelijk aan te vragen. U kunt een paar machtigingen aanvragen en vervolgens, naarmate de gebruiker overgaat naar verschillende functionaliteit in uw toepassing, vraagt u meer toestemming aan. Met deze aanpak kan het comfortniveau van de gebruiker toenemen, omdat ze incrementeel machtigingen verlenen aan uw toepassing. Als uw toepassing bijvoorbeeld Toegang tot OneDrive aanvraagt, kan dit vermoeden wekken als u ook agendatoegang aanvraagt. In plaats daarvan vraagt u de gebruiker later om agendaherinneringen toe te voegen aan hun OneDrive.

• Gebruik het /.default bereik. Het /.default bereik bootst in feite de oude standaardervaring na die heeft gekeken naar wat u in de registratie van de toepassing hebt geplaatst, welke toestemmingen u nodig hebt en vervolgens alle toestemmingen heeft gevraagd die nog niet zijn verleend. Hiervoor hoeft u niet de machtigingen op te nemen die u nodig hebt in uw code, omdat deze zich in uw app-registratie bevinden.

Een geverifieerde uitgever worden

Microsoft-klanten beschrijven soms problemen bij het bepalen wanneer een toepassing toegang moet krijgen tot het Microsoft Identity Platform door zich aan te melden bij een gebruiker of een API aan te roepen. Bij het aannemen van Zero Trust-principes willen ze:

• Verbeterde zichtbaarheid en controle.
• Proactievere en eenvoudiger reactieve beslissingen.
• Systemen die gegevens veilig houden en de beslissingslast verminderen.
• Versnelde acceptatie van apps voor betrouwbare ontwikkelaars.
• Beperkte toestemming voor apps met machtigingen met een laag risico die zijn geverifieerd door de uitgever.

Hoewel u toegang hebt tot gegevens in API's zoals Microsoft Graph, kunt u uitgebreide toepassingen bouwen, uw organisatie of uw klant de machtigingen evalueren die uw app aanvraagt, samen met de betrouwbaarheid van uw app.

Als u een door Microsoft geverifieerde uitgever wordt, kunt u uw klanten een eenvoudigere ervaring bieden bij het accepteren van uw toepassingsaanvragen. Wanneer een toepassing afkomstig is van een geverifieerde uitgever, weten gebruikers, IT-professionals en klanten dat deze afkomstig is van iemand met wie Microsoft een zakelijke relatie heeft. Er wordt een blauw vinkje weergegeven naast de naam van de uitgever (onderdeel 5 in het onderstaande voorbeeld van de machtigingsprompt om toestemming te vragen. Zie de onderdeeltabel in de toestemmingservaring van de Microsoft Entra-toepassing). De gebruiker kan de geverifieerde uitgever selecteren in de toestemmingsprompt om meer informatie weer te geven.

"Schermopname van het aangevraagde dialoogvenster Machtigingen voor toestemmingen toont bouwstenen voor onderdelen, zoals beschreven in het gekoppelde artikel over de toestemming van microsoft Entra-toepassingen. Benadrukt is onderdeelnummer 5, de naam van de geverifieerde uitgever en een blauw vinkje dat de gebruiker kan selecteren voor meer informatie over de uitgever.

Wanneer u een geverifieerde uitgever bent, vertrouwen gebruikers en IT-professionals in uw toepassing omdat u een geverifieerde entiteit bent. Verificatie van uitgevers biedt een verbeterde huisstijl voor uw toepassing en verbeterde transparantie, verminderd risico en soepelere acceptatie van ondernemingen voor uw klanten.

Volgende stappen

• Door een strategie voor gedelegeerde machtigingen te ontwikkelen, kunt u de beste aanpak implementeren voor het beheren van machtigingen in uw toepassing en ontwikkelen met behulp van Zero Trust-principes.
• Door een strategie voor toepassingsmachtigingen te ontwikkelen, kunt u beslissen over de benadering van uw toepassingsmachtigingen voor referentiebeheer.
• Gebruik best practices voor identiteits- en toegangsbeheer van Zero Trust in de ontwikkelingslevenscyclus van uw toepassing om veilige toepassingen te maken.
• Aanbevolen beveiligingsprocedures voor toepassingseigenschappen beschrijven omleidings-URI, toegangstokens, certificaten en geheimen, toepassings-id-URI en toepassingseigendom.
• Tokens aanpassen beschrijft de informatie die u kunt ontvangen in Microsoft Entra-tokens. In dit artikel wordt uitgelegd hoe u tokens aanpast om de flexibiliteit en controle te verbeteren en tegelijkertijd de beveiliging van nul vertrouwensrelaties met minimale bevoegdheden te verhogen.
• Als u groepsclaims en app-rollen in tokens configureert, ziet u hoe u uw apps configureert met app-roldefinities en beveiligingsgroepen toewijst aan app-rollen. Deze methoden helpen om de flexibiliteit en controle te verbeteren en tegelijkertijd de beveiliging van de toepassing nul vertrouwen te verhogen met minimale bevoegdheden.
• API Protection beschrijft aanbevolen procedures voor het beveiligen van uw API via registratie, het definiëren van machtigingen en toestemming en het afdwingen van toegang om uw Zero Trust-doelstellingen te bereiken.
• U kunt autorisatie verkrijgen voor toegang tot resources om te begrijpen hoe u Zero Trust het beste kunt garanderen bij het verkrijgen van machtigingen voor toegang tot resources voor uw toepassing.