Nolltillit metodtips för utveckling av identitets- och åtkomsthantering

Kunderna antar Nolltillit principer och börjar med identitets- och åtkomsthantering (IAM). Även om Nolltillit implementeringen fortsätter att utvecklas, är varje organisations resa unik och många börjar med användar- och programidentitet.

Här följer principer och kontroller som organisationer prioriterar när de distribuerar Nolltillit:

  1. Principer för autentiseringshygien och rotation. Hemligheter som certifikat eller lösenord är viktiga tillgångar att skydda eftersom de gör det möjligt för en angripare att röra sig djupare i systemet när de komprometteras.
  2. Stark autentisering. IT-administratörer förväntar sig att kunna konfigurera principer som kräver multifaktorautentisering.
  3. Begränsa medgivande till appar med låg riskbehörighet till verifierade utgivare. Med åtkomst till data i API:er som Microsoft Graph kan du skapa omfattande program, men dina organisationer och kunder utvärderar appens behörighetsbegäranden och pålitlighet.
  4. Blockera äldre protokoll och API:er. Detta inkluderar blockering av äldre autentiseringsprotokoll som "Grundläggande autentisering" och kräver moderna protokoll som OpenID Connect och OAuth2. Organisationer vill se till att de program som de är beroende av är förberedda.

Metodtips för IAM för Nolltillit programutveckling

För att skapa säkra program som följer Nolltillit principer rekommenderar Microsoft att du införlivar dessa metodtips under hela programutvecklingens livscykel.

Använda Microsoft Authentication Library (MSAL) och Microsoft Graph

Utveckling av ditt program genom att följa kända och godkända standarder och bibliotek ökar programmets portabilitet och säkerhet. MSAL och Microsoft Graph är de bästa alternativen när du utvecklar ett Azure Active Directory-program (AD).

Microsoft rekommenderar starkt att du utvecklar ditt program med hjälp av bibliotek som MSAL i stället för protokoll eftersom protokoll har brister och deras dokumentation kan vara omfattande. MSAL-utvecklare har gjort arbetet åt dig när det gäller efterlevnad av protokoll och MSAL är optimerat för effektivitet när du arbetar direkt med Azure AD.

Delegera identitets- och åtkomsthantering

Utveckla ditt program för att använda token för explicit identitetsverifiering och åtkomstkontroll som kan definieras och hanteras av kunden. Microsoft rekommenderar inte att du skapar ett eget system för hantering av användarnamn och lösenord för ditt program.

Planera för principer för lägsta behörighetsåtkomst

Nolltillit dikterar att kunder implementerar åtkomst med lägsta behörighet. Ditt program måste utvecklas och dokumenteras tillräckligt för att dessa principer ska kunna konfigureras, vilket innebär att programmet måste ha stöd för token, och alla API:er och resurser som programmet anropar måste förstås och dokumenteras.

Hantera token

Programmet begär token från Azure AD. Att hantera dessa token innebär att verifiera att de är giltiga och begränsade till ditt program, cachelagra dem på rätt sätt och använda dem som avsett. Microsoft rekommenderar att du hanterar tokenproblem genom att söka efter felklasser och koda lämpliga svar. Observera att du inte bör läsa åtkomsttoken direkt. Använd i stället Microsofts identitetsplattform metodtipsprogram för att visa åtkomsttokenomfång och information under tokensvar.

Nästa steg