Bewährte Methoden für die Autorisierung
Während Sie lernen, mit Zero Trust-Prinzipien zu entwickeln, geht dieser Artikel weiter mit Erwerben der Autorisierung für den Zugriff auf Ressourcen, Entwickeln delegierter Berechtigungsstrategie und Entwickeln der Strategie für Anwendungsberechtigungen. Es hilft Ihnen als Entwickler, die besten Autorisierungs-, Berechtigungs- und Zustimmungsmodelle für Ihre Anwendungen zu implementieren.
Sie können Autorisierungslogik in Anwendungen oder Lösungen implementieren, die eine Zugriffssteuerung erfordern. Wenn Autorisierungsansätze auf Informationen über eine authentifizierte Entität angewiesen sind, kann eine Anwendung Informationen auswerten, die während der Authentifizierung ausgetauscht werden (z. B. Informationen, die in einem Sicherheitstoken bereitgestellt werden). Wenn ein Sicherheitstoken keine Informationen enthält, kann eine Anwendung Aufrufe an externe Ressourcen tätigen.
Sie müssen die Autorisierungslogik nicht vollständig in Ihre Anwendung einbetten. Sie können dedizierte Autorisierungsdienste verwenden, um die Implementierung und Verwaltung der Autorisierung zu zentralisieren.
Bewährte Methoden für die Berechtigungen
Die am weitesten verbreiteten Anwendungen in Microsoft Entra ID folgen den bewährten Methoden für Einwilligung und Autorisierung. Überprüfen Sie die Anleitungen „Bewährte Methoden für die Arbeit mit Microsoft Graph“ und Microsoft Graph-Berechtigungsreferenz, um zu erfahren, wie Sie mit Ihren Berechtigungsanforderungen rücksichtsvoll umgehen können.
Wenden Sie die Regel der geringsten Rechte an. Fordern Sie nur die erforderlichen Berechtigungen an. Verwenden Sie die inkrementelle Einwilligung, um präzise Berechtigungen zur rechten Zeit anzufordern. Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.
Verwenden Sie den richtigen Berechtigungstyp, der auf Szenarien basiert. Vermeiden Sie die Verwendung von Anwendungsberechtigungen und delegierten Berechtigungen in derselben App. Wenn Sie eine interaktive Anwendung erstellen, in der ein angemeldeter Benutzer vorhanden ist, sollte Ihre Anwendung delegierte Berechtigungen verwenden. Wenn jedoch die Ausführung Ihrer Anwendung ohne angemeldeten Benutzer erfolgt, wie z. B. ein Hintergrunddienst oder Daemon, sollte Ihre Anwendung Anwendungsberechtigungen verwenden.
Stellen Sie Nutzungsbedingungen und Datenschutzbestimmungen zur Verfügung. Die Benutzereinwilligungsoberfläche zeigt Benutzern ihre Nutzungsbedingungen und Datenschutzbestimmungen an, damit sie begreifen, dass sie Ihrer App vertrauen können. Sie sind besonders wichtig für benutzerorientierte Mehrinstanzen-Apps.
Wann eine Berechtigung angefordert werden soll
Für einige Berechtigungen ist es erforderlich, dass ein Administrator die Einwilligung innerhalb eines Mandanten erteilt. Sie können den Endpunkt für die Administratoreinwilligung verwenden, um Berechtigungen für einen gesamten Mandanten zu erteilen. Es gibt drei Modelle, denen Sie folgen können, um Berechtigungen oder Bereiche anzufordern.
Implementieren Sie die dynamische Benutzereinwilligung bei der Anmeldung oder bei der ersten Zugriffstokenanforderung. Die dynamische Benutzereinwilligung erfordert in Ihrer App-Registrierung keine Aktion. Sie können die Bereiche definieren, die Sie unter bestimmten Bedingungen benötigen (z. B. wenn Sie zum ersten Mal einen Benutzer anmelden). Nachdem Sie diese Berechtigung angefordert und die Einwilligung erhalten haben, müssen Sie keine Berechtigung anfordern. Wenn Sie jedoch keine dynamische Benutzergenehmigung bei der Anmeldung oder beim ersten Zugriff erhalten, durchlaufen sie die Berechtigungsoberfläche.
Fordern Sie bei Bedarf die inkrementelle Benutzereinwilligung an. Mit inkrementeller Einwilligung in Kombination mit dynamischer Benutzereinwilligung müssen Sie nicht alle Berechtigungen gleichzeitig anfordern. Sie können einige Berechtigungen anfordern und dann, wenn der Benutzer zu unterschiedlichen Funktionen in Ihrer Anwendung wechselt, weitere Zustimmung anfordern. Dieser Ansatz kann den Komfort des Benutzers erhöhen, da er ihrer Anwendung inkrementell Berechtigungen erteilt. Wenn Ihre Anwendung beispielsweise den OneDrive-Zugriff anfordert, kann es zu einem Verdacht kommen, wenn Sie auch Kalenderzugriff anfordern. Bitten Sie stattdessen den Benutzer, Kalendererinnerungen für sein OneDrive später hinzuzufügen.
Verwenden Sie den
/.default
Bereich. Der/.default
Bereich imitiert effektiv die alte Standarderfahrung, die untersucht hat, was Sie in der Anwendungsregistrierung abgelegt haben, ermittelte, welche Einwilligungen Sie benötigten, und fragte dann nach allen noch nicht erteilten Einwilligungen. Es ist nicht erforderlich, dass Sie Berechtigungen, die Sie in Ihrem Code benötigen, einschließen, da sich diese in Ihrer App-Registrierung befinden.
Verifizierter Herausgeber werden
Microsoft-Kunden beschreiben manchmal Schwierigkeiten bei der Entscheidung, wann eine Anwendung auf die Microsoft Identity Platform zugreifen darf, indem Sie sich bei einem Benutzer anmelden oder eine API aufrufen. Während sie Zero Trust-Grundsätze übernehmen, möchten sie:
- Erhöhte Sichtbarkeit und Steuerung.
- Proaktivere und einfachere reaktive Entscheidungen.
- Systeme, die Daten sicher aufbewahren und die Entscheidungslast reduzieren.
- Beschleunigte App-Einführung für vertrauenswürdige Entwickler.
- Eingeschränkte Einwilligung für Apps mit Berechtigungen mit geringem Risiko, die vom Herausgeber verifiziert sind.
Während der Zugriff auf Daten in APIs wie Microsoft Graph es Ihnen ermöglicht, umfangreiche Anwendungen zu erstellen, bewerten Ihre Organisation oder Ihr Kunde die Berechtigungen, die Ihre App anfordert, zusammen mit der Vertrauenswürdigkeit Ihrer App.
Wenn Sie Microsoft Verified Publisher werden, können Sie Ihren Kunden eine einfachere Erfahrung bei der Annahme Ihrer Anwendungsanforderungen bieten. Wenn eine Anwendung von einem bestätigten Herausgeber stammt, wissen Benutzer, IT-Spezialisten und Kunden, dass sie von jemandem stammt, mit dem Microsoft über eine Geschäftsbeziehung verfügt. Ein blaues Häkchen wird neben dem Namen des Herausgebers angezeigt (Komponente Nr. 5 in den angeforderten Berechtigungen im Beispiel unten für die Einwilligungsaufforderung, siehe Komponententabelle bei der Oberfläche für die Einwilligung der Microsoft Entra-Anwendung). Der Benutzer kann den überprüften Herausgeber aus der Einwilligungsaufforderung auswählen, um weitere Informationen anzuzeigen.
Wenn Sie ein bestätigter Herausgeber sind, gewinnen Benutzer und IT-Experten Vertrauen in Ihre Anwendung, da Sie eine überprüfte Entität sind. Die Überprüfung des Herausgebers bietet ein verbessertes Branding für Ihre Anwendung und erhöhte Transparenz, verringertes Risiko und eine reibungslosere Unternehmensakzeptanz für Ihre Kunden.
Nächste Schritte
- Entwickeln einer Strategie mit delegierten Berechtigungen hilft Ihnen, den besten Ansatz für die Verwaltung von Berechtigungen in Ihrer Anwendung zu implementieren und mithilfe von Zero Trust-Prinzipien zu entwickeln.
- Entwickeln einer Strategie für Anwendungsberechtigungen hilft Ihnen bei der Entscheidung über den Ansatz Ihrer Anwendungsberechtigungen für die Verwaltung von Anmeldeinformationen.
- Verwenden Sie bewährte Methoden der Zero Trust-Identitäts- und Zugriffsverwaltungsentwicklung in Ihrem Anwendungsentwicklungslebenszyklus, um sichere Anwendungen zu erstellen.
- Bewährte Sicherheitsmethoden für Anwendungseigenschaften beschreibt die Umleitungs-URI, Zugriffstoken, Zertifikate und geheime Schlüssel, Anwendungs-ID-URI und Anwendungsbesitz.
- Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können. Es wird erläutert, wie Token angepasst werden, um Flexibilität und Kontrolle zu verbessern, während gleichzeitig die Zero Trust-Sicherheit der Anwendung mit minimalen Berechtigungen erhöht wird.
- Konfigurieren von Gruppenansprüchen und App-Rollen in Token zeigt, wie Sie Ihre Apps mit App-Rollendefinitionen konfigurieren und Sicherheitsgruppen zu App-Rollen zuweisen. Diese Methoden tragen dazu bei, Flexibilität und Kontrolle zu verbessern und gleichzeitig die Zero Trust-Sicherheit der Anwendung mit minimalen Berechtigungen zu erhöhen.
- Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
- Erwerben der Autorisierung für den Zugriff auf Ressourcen hilft Ihnen zu verstehen, wie Sie beim Abrufen von Ressourcenzugriffsberechtigungen für Ihre Anwendung Zero Trust am besten sicherstellen können.