najlepsze rozwiązania dotyczące tworzenia tożsamości i zarządzania dostępem Zero Trust

Aby utworzyć bezpieczną aplikację, która jest zgodna z zasadami Zero Trust, firma Microsoft zaleca uwzględnienie kilku najlepszych rozwiązań w całym cyklu tworzenia aplikacji, z których niektóre znajdują się poniżej.

Najlepsze rozwiązanie Szczegóły
Korzystanie z biblioteki Microsoft Authentication Library (MSAL) i programu Microsoft Graph Opracowywanie aplikacji przez przestrzeganie znanych i akceptowanych standardów i bibliotek zwiększa przenośność i bezpieczeństwo aplikacji. Biblioteka MSAL i program Microsoft Graph to najlepsze opcje podczas tworzenia aplikacji usługi Azure Active Directory (AD).

Firma Microsoft zdecydowanie zaleca opracowywanie aplikacji przy użyciu bibliotek, takich jak BIBLIOTEKA MSAL, a nie protokołów, ponieważ protokoły mają wady, a ich dokumentacja może być obszerna. Deweloperzy biblioteki MSAL wykonali pracę w odniesieniu do zgodności z protokołami, a biblioteka MSAL jest zoptymalizowana pod kątem wydajności podczas bezpośredniej pracy z Azure AD.
Delegowanie zarządzania tożsamościami i dostępem Utwórz aplikację, aby używać tokenów do weryfikacji tożsamości jawnej i kontroli dostępu, które można zdefiniować i zarządzać przez klienta. Firma Microsoft nie zaleca tworzenia własnego systemu zarządzania nazwami użytkownika i hasłami dla aplikacji.
Planowanie zasad dostępu o najniższych uprawnieniach Zero Trust określa, że klienci implementują dostęp z najniższymi uprawnieniami. Aplikacja musi zostać opracowana i udokumentowana w wystarczający sposób, aby można było pomyślnie skonfigurować te zasady, co oznacza, że aplikacja musi obsługiwać tokeny, a wszystkie interfejsy API i zasoby, które będą wywoływane przez aplikację, muszą być zrozumiałe i udokumentowane.
Zarządzanie tokenami Aplikacja będzie żądać tokenów z Azure AD. Zarządzanie tymi tokenami obejmuje sprawdzenie, czy są one prawidłowe i ograniczone do aplikacji, buforowanie ich odpowiednio i używanie ich zgodnie z oczekiwaniami. Firma Microsoft zaleca obsługę problemów z tokenami, sprawdzając klasy błędów i kodując odpowiednie odpowiedzi. Należy pamiętać, że tokeny dostępu nie powinny być odczytywane bezpośrednio. Zamiast tego użyj aplikacji Platforma tożsamości Microsoft najlepszych rozwiązań, aby wyświetlić zakres tokenu dostępu i szczegóły w obszarze odpowiedzi tokenu.