Metodtips för auktorisering
När du lär dig att utveckla med hjälp av Nolltillit principer fortsätter den här artikeln från Hämta auktorisering för att få åtkomst till resurser, Utveckla strategi för delegerade behörigheter och Utveckla strategi för programbehörigheter. Det hjälper dig som utvecklare att implementera de bästa auktoriserings-, behörighets- och medgivandemodellerna för dina program.
Du kan implementera auktoriseringslogik i program eller lösningar som kräver åtkomstkontroll. När auktoriseringsmetoder förlitar sig på information om en autentiserad entitet kan ett program utvärdera information som utbyts under autentiseringen (till exempel information som tillhandahålls i en säkerhetstoken). När en säkerhetstoken inte innehåller information kan ett program göra anrop till externa resurser.
Du behöver inte bädda in auktoriseringslogik helt i ditt program. Du kan använda dedikerade auktoriseringstjänster för att centralisera implementering och hantering av auktorisering.
Metodtips för behörigheter
De mest antagna programmen i Microsoft Entra ID följer bästa praxis för medgivande och auktorisering. Läs Metodtips för att arbeta med microsoft Graph - och Microsoft Graph-behörighetsreferenser för att lära dig hur du kan tänka efter med dina behörighetsbegäranden.
Använd minst behörighet. Begär endast nödvändiga behörigheter. Använd inkrementellt medgivande för att begära detaljerade behörigheter precis i tid. Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd.
Använd rätt behörighetstyp baserat på scenarier. Undvik att använda både program- och delegerade behörigheter i samma app. Om du skapar ett interaktivt program där en inloggad användare finns bör ditt program använda delegerade behörigheter. Men om programmet körs utan en inloggad användare, till exempel en bakgrundstjänst eller daemon, bör programmet använda programbehörigheter.
Ange villkor för tjänsten och sekretesspolicyn. Användarmedgivandeupplevelsen visar dina användarvillkor och sekretesspolicy för användarna för att hjälpa dem att veta att de kan lita på din app. De är särskilt viktiga för användarinriktade appar med flera klientorganisationer.
När du ska begära behörighet
Vissa behörigheter kräver att en administratör beviljar medgivande i en klientorganisation. De kan använda slutpunkten för administratörsmedgivande för att bevilja behörigheter till en hel klientorganisation. Det finns tre modeller som du kan följa för att begära behörigheter eller omfång.
Implementera dynamiskt användarmedgivande vid inloggning eller första begäran om åtkomsttoken. Dynamiskt användarmedgivande kräver inget i din appregistrering. Du kan definiera de omfång som du behöver under vissa villkor (till exempel när du loggar in en användare för första gången). När du har begärt behörigheten och fått medgivande behöver du inte begära behörighet. Men om du inte får dynamiskt användarmedgivande vid inloggning eller första åtkomst går det igenom behörighetsupplevelsen.
Begär inkrementellt användarmedgivande efter behov. Med inkrementellt medgivande kombinerat med dynamiskt användarmedgivande behöver du inte begära alla behörigheter samtidigt. Du kan begära några behörigheter och sedan, när användaren övergår till olika funktioner i ditt program, begär du mer medgivande. Den här metoden kan öka användarens komfortnivå eftersom de stegvis beviljar behörigheter till ditt program. Om ditt program till exempel begär OneDrive-åtkomst kan det väcka misstankar om du också begär kalenderåtkomst. Be i stället användaren att lägga till kalenderpåminnelser mot sin OneDrive.
Använd omfånget
/.default
. Omfånget/.default
efterliknar effektivt den gamla standardupplevelsen som tittade på vad du lade till i programregistreringen, listade ut vilka medgivanden du behövde och bad sedan om alla medgivanden som ännu inte har beviljats. Det kräver inte att du inkluderar de behörigheter som du behöver i koden eftersom de finns i din appregistrering.
Bli verifierad utgivare
Microsoft-kunder beskriver ibland svårigheter med att bestämma när ett program ska få åtkomst till Microsofts identitetsplattform genom att logga in en användare eller anropa ett API. När de antar Nolltillit principer vill de:
- Ökad synlighet och kontroll.
- Mer proaktiva och enklare reaktiva beslut.
- System som skyddar data och minskar beslutsbördan.
- Snabbare appimplementering för betrodda utvecklare.
- Begränsat medgivande till appar med behörigheter med låg risk som är utgivare verifierade.
Åtkomst till data i API:er som Microsoft Graph gör att du kan skapa omfattande program, men din organisation eller kund utvärderar de behörigheter som appen begär tillsammans med appens tillförlitlighet.
Genom att bli Microsoft-verifierad utgivare kan du ge dina kunder en enklare upplevelse när det gäller att acceptera dina programbegäranden. När ett program kommer från en verifierad utgivare vet användare, IT-proffs och kunder att det kommer från någon som Microsoft har en affärsrelation med. En blå bockmarkering visas bredvid utgivarens namn (komponent nr 5 i exemplet behörigheter begärd medgivande nedan. Se komponenttabellen i Microsoft Entra-programmets medgivandeupplevelse). Användaren kan välja den verifierade utgivaren i medgivandeprompten för att visa mer information.
När du är en verifierad utgivare får användare och IT-proffs förtroende för ditt program eftersom du är en verifierad entitet. Utgivarverifiering ger bättre varumärkesanpassning för ditt program och ökad transparens, minskad risk och smidigare företagsimplementering för dina kunder.
Nästa steg
- Utveckla strategi för delegerade behörigheter hjälper dig att implementera den bästa metoden för att hantera behörigheter i ditt program och utveckla med hjälp av Nolltillit principer.
- Utveckla en strategi för programbehörigheter som hjälper dig att bestämma din metod för programbehörigheter för hantering av autentiseringsuppgifter.
- Använd bästa praxis för utveckling av Nolltillit identitets- och åtkomsthantering i programutvecklingslivscykeln för att skapa säkra program.
- Metodtips för säkerhet för programegenskaper beskriver omdirigerings-URI, åtkomsttoken, certifikat och hemligheter, program-ID-URI och programägarskap.
- Anpassa token beskriver den information som du kan ta emot i Microsoft Entra-token. Den förklarar hur du anpassar token för att förbättra flexibiliteten och kontrollen samtidigt som du ökar säkerheten för program utan förtroende med minsta möjliga behörighet.
- Konfigurera gruppanspråk och approller i token visar hur du konfigurerar dina appar med approlldefinitioner och tilldelar säkerhetsgrupper till approller. De här metoderna bidrar till att förbättra flexibiliteten och kontrollen samtidigt som säkerheten för program utan förtroende ökar med minsta möjliga behörighet.
- API Protection beskriver metodtips för att skydda ditt API genom registrering, definiera behörigheter och medgivande samt framtvinga åtkomst för att uppnå dina Nolltillit mål.
- Med auktorisering för åtkomst till resurser kan du förstå hur du bäst kan se till att Nolltillit när du hämtar behörigheter för resursåtkomst för ditt program.