Använda standardbaserade utvecklingsmetoder
Som utvecklare kan du använda branschstandarder för programvaruutveckling som utökas med Microsoft Authentication Library (MSAL). I den här artikeln ger vi en översikt över standarder som stöds (OAuth 2.0, OpenID Anslut, SAML, WS-Federation och SCIM) och fördelarna med att använda dem med MSAL och Microsofts identitetsplattform. Se till att dina molnprogram uppfyller Nolltillit krav för optimal säkerhet.
Hur är det med protokoll?
När du implementerar protokoll bör du överväga kostnader som inkluderar tid för att skriva kod som är helt uppdaterad med alla metodtips och följer OAuth 2.0-metodtips för säker implementering. I stället rekommenderar vi att du använder ett väl underhållet bibliotek (med en inställning för MSAL) när du skapar direkt till Microsoft Entra-ID eller Microsoft Identity.
Vi optimerar MSALs för att skapa och arbeta med Microsoft Entra-ID. Om din miljö inte har implementerat MSAL eller har olåst funktioner i sitt eget bibliotek kan du utveckla ditt program med Microsofts identitetsplattform. Bygg på OAuth 2.0-funktioner och OpenID-Anslut. Överväg kostnader för att korrekt falla tillbaka till ett protokoll.
Så här stöder Microsofts identitetsplattform standarder
För att uppnå Nolltillit mest effektivt och effektivt kan du utveckla program med branschstandarder som Microsofts identitetsplattform stöder:
OAuth 2.0 och OpenID Connect
Som branschprotokoll för auktorisering tillåter OAuth 2.0 användare att bevilja begränsad åtkomst till skyddade resurser. OAuth 2.0 fungerar med Hypertext Transfer Protocol (HTTP) för att skilja klientrollen från resursägaren. Klienter använder token för att komma åt skyddade resurser på en resursserver.
Med OpenID-Anslut konstruktioner kan Microsoft Entra-tillägg förbättra säkerheten. Dessa Microsoft Entra-tillägg är de vanligaste:
- Med autentiseringskontexten för villkorsstyrd åtkomst kan appar tillämpa detaljerade principer för att skydda känsliga data och åtgärder i stället för endast på appnivå.
- Med kontinuerlig åtkomstutvärdering (CAE) kan Microsoft Entra-program prenumerera på kritiska händelser för utvärdering och tillämpning. CAE innehåller riskfylld händelseutvärdering, till exempel inaktiverade eller borttagna användarkonton, lösenordsändringar, tokenåterkallelse och identifierade användare.
När dina program använder förbättrade säkerhetsfunktioner som CAE och autentiseringskontext för villkorsstyrd åtkomst måste de innehålla kod för att hantera anspråksutmaningar. Med öppna protokoll använder du anspråksutmaningar och anspråksbegäranden för att anropa andra klientfunktioner. Till exempel anger för appar att de behöver upprepa interaktion med Microsoft Entra-ID på grund av en avvikelse. Ett annat scenario är när användaren inte längre uppfyller de villkor som de tidigare autentiserades under. Du kan koda för dessa tillägg utan att störa kodflöden för primär autentisering.
Saml (Security Assertions Markup Language)
Microsofts identitetsplattform använder SAML 2.0 för att göra det möjligt för dina Nolltillit program att tillhandahålla en användarupplevelse för enkel inloggning (SSO). SAML-profiler för enkel inloggning och enkel inloggning i Microsoft Entra ID förklarar hur identitetsprovidertjänsten använder SAML-intyg, protokoll och bindningar. SAML-protokollet kräver att identitetsprovidern (Microsofts identitetsplattform) och tjänstleverantören (ditt program) utbyter information om sig själva. När du registrerar ditt Nolltillit-program med Microsoft Entra-ID registrerar du federationsrelaterad information som innehåller omdirigerings-URI och metadata-URI för programmet med Microsoft Entra-ID.
Fördelar med MSAL jämfört med protokoll
Microsoft optimerar MSALs för Microsofts identitetsplattform och ger den bästa upplevelsen för enkel inloggning, cachelagring av token och avbrottsresiliens. Eftersom MSAL:er är allmänt tillgängliga fortsätter vi att utöka täckningen av språk och ramverk.
Med HJÄLP av MSAL skaffar du token för programtyper som omfattar webbprogram, webb-API:er, ensidesappar, mobila och inbyggda program, daemoner och program på serversidan. MSAL möjliggör snabb och enkel integrering med säker åtkomst till användare och data via Microsoft Graph och API:er. Med förstklassiga autentiserings libs kan du nå alla målgrupper och följa Microsoft Security Development Lifecycle.
Nästa steg
- Microsofts identitetsplattform autentiseringsbibliotek beskriver stöd för programtyp.
- Utveckla med hjälp av Nolltillit principer hjälper dig att förstå de vägledande principerna för Nolltillit så att du kan förbättra din programsäkerhet.
- Använd bästa praxis för utveckling av Nolltillit identitets- och åtkomsthantering i programutvecklingslivscykeln för att skapa säkra program.
- Att skapa appar med en Nolltillit metod för identitet ger en översikt över behörigheter och metodtips för åtkomst.
- Utvecklar- och administratörsansvar för programregistrering, auktorisering och åtkomst hjälper dig att samarbeta bättre med dina IT-proffs.
- API Protection beskriver metodtips för att skydda ditt API genom registrering, definiera behörigheter och medgivande samt framtvinga åtkomst för att uppnå Nolltillit mål.
- Anpassning av token beskriver den information som du kan ta emot i Microsoft Entra-token. Den förklarar hur tokenanpassning förbättrar flexibiliteten och kontrollen samtidigt som programmet Nolltillit säkerhet med minsta möjliga behörighet.
- När du konfigurerar gruppanspråk och approller i token beskrivs hur du konfigurerar appar med approlldefinitioner och tilldelar säkerhetsgrupper till approller. Den här metoden förbättrar flexibiliteten och kontrollen samtidigt som programmet Nolltillit säkerhet med minsta möjliga behörighet.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för