Методологии разработки на основе стандартов
Разработчик может использовать отраслевые стандарты разработки программного обеспечения, дополненные библиотекой проверки подлинности Майкрософт (MSAL). В этой статье представлен обзор поддерживаемых стандартов и их преимуществ в платформа удостоверений Майкрософт. Убедитесь, что облачные приложения соответствуют требованиям нулевого доверия для оптимальной безопасности.
Что касается протоколов?
При реализации протоколов следует учитывать затраты, которые включают время на запись кода, который полностью обновлен со всеми рекомендациями и следует рекомендациям OAuth 2.0 для безопасной реализации. Вместо этого рекомендуется использовать хорошо поддерживаемую библиотеку (с предпочтением MSAL) при сборке непосредственно в идентификатор Microsoft Entra или Microsoft Identity.
Мы оптимизируем MSALs для создания и работы с идентификатором Microsoft Entra. Если в вашей среде нет MSAL или у вас есть возможности в собственной библиотеке, разработайте приложение с помощью платформа удостоверений Майкрософт. Создайте возможности OAuth 2.0 и OpenID Подключение. Рассмотрите затраты на правильное возвращение к протоколу.
Как платформа удостоверений Майкрософт поддерживает стандарты
Чтобы достичь нулевого доверия наиболее эффективно и эффективно, разработайте приложения с отраслевыми стандартами, которые поддерживает платформа удостоверений Майкрософт:
OAuth 2.0 и OpenID Connect
В качестве отраслевого протокола авторизации OAuth 2.0 позволяет пользователям предоставлять ограниченный доступ к защищенным ресурсам. OAuth 2.0 работает с протоколом HTTP, чтобы разделить роль клиента от владельца ресурса. Клиенты используют маркеры для доступа к защищенным ресурсам на сервере ресурсов.
Конструкции OpenID Подключение позволяют расширениям Microsoft Entra повысить безопасность. Эти расширения Microsoft Entra являются наиболее распространенными:
- Контекст проверки подлинности условного доступа позволяет приложениям применять детализированные политики для защиты конфиденциальных данных и действий, а не только на уровне приложения.
- Непрерывная оценка доступа (CAE) позволяет приложениям Microsoft Entra подписаться на критические события для оценки и принудительного применения. CAE включает оценку рискованных событий, таких как отключенные или удаленные учетные записи пользователей, изменения пароля, отзыва маркеров и обнаруженные пользователи.
Когда приложения используют расширенные функции безопасности, такие как CAE и контекст проверки подлинности условного доступа, они должны включать код для управления проблемами утверждений. С открытыми протоколами вы используете вызовы утверждений и запросы утверждений для вызова других возможностей клиента. Например, указывая на приложения, которые они должны повторять взаимодействие с идентификатором Microsoft Entra из-за аномалии. Другой сценарий заключается в том, что пользователь больше не удовлетворяет условиям, в которых они ранее прошли проверку подлинности. Вы можете код для этих расширений, не беспокоясь о первичных потоках кода проверки подлинности.
Язык разметки утверждений безопасности (SAML)
Платформа удостоверений Майкрософт использует SAML 2.0 для предоставления пользователям единого входа приложений Zero Trust. Профили единого входа и единого входа SAML в идентификаторе Microsoft Entra ID объясняют, как служба поставщика удостоверений использует утверждения SAML, протоколы и привязки. Протокол SAML требует, чтобы поставщик удостоверений (платформа удостоверений Майкрософт) и поставщик услуг (приложение) обменивались информацией о себе. При регистрации приложения Нулевого доверия с идентификатором Microsoft Entra необходимо зарегистрировать сведения, связанные с федерацией, которые включают URI перенаправления и URI метаданных приложения с идентификатором Microsoft Entra.
Преимущества MSAL по протоколам
Корпорация Майкрософт оптимизирует MSALs для платформа удостоверений Майкрософт и обеспечивает лучший интерфейс для единого входа, кэширования маркеров и устойчивости к сбоям. Поскольку msALs являются общедоступными, мы продолжаем расширять охват языков и платформ.
С помощью MSAL вы получаете маркеры для типов приложений, включающих веб-приложения, веб-API, одностраничные приложения, мобильные и собственные приложения, управляющей программы и серверные приложения. MSAL обеспечивает быструю и простую интеграцию с безопасным доступом к пользователям и данным через Microsoft Graph и API. С помощью лучших библиотек проверки подлинности в классе вы можете достичь любой аудитории и следовать жизненному циклу разработки безопасности Майкрософт.
Следующие шаги
- библиотеки проверки подлинности платформа удостоверений Майкрософт описывают поддержку типов приложений.
- Разработка с помощью принципов нулевого доверия помогает понять руководящие принципы нулевого доверия, чтобы повысить безопасность приложений.
- Используйте рекомендации по разработке удостоверений и управления доступом в жизненном цикле разработки приложений для создания безопасных приложений.
- Создание приложений с использованием подхода "Нулевое доверие" к удостоверениям предоставляет общие сведения о разрешениях и рекомендациях по доступу.
- Обязанности разработчика и администратора для регистрации приложений, авторизации и доступа помогают лучше сотрудничать с ИТ-специалистами.
- Защита API описывает рекомендации по защите API путем регистрации, определения разрешений и согласия и принудительного доступа к достижению целей нулевого доверия.
- Настройка маркеров описывает сведения, которые можно получить в токенах Microsoft Entra. В нем объясняется, как настройка маркеров повышает гибкость и контроль при увеличении безопасности приложений Zero Trust с минимальными привилегиями.
- Настройка утверждений групп и ролей приложений в маркерах описывает настройку приложений с определениями ролей приложения и назначение групп безопасности ролям приложений. Этот подход повышает гибкость и контроль при увеличении безопасности приложений Zero Trust с минимальными привилегиями.