Méthodologies de développement basées sur des normes
En tant que développeur, vous pouvez utiliser les normes du secteur pour le développement de logiciels augmentées par la bibliothèque Microsoft Authenticator (MSAL). Dans cet article, nous offrons une vue d’ensemble des normes prises en charge et de leurs avantages dans la plateforme des identités Microsoft. Assurez-vous que vos applications cloud répondent aux exigences Confiance Zéro pour une sécurité optimale.
Qu’en est-il des protocoles ?
Lors de l’implémentation de protocoles, tenez compte des coûts qui incluent le temps d’écrire du code entièrement à jour avec toutes les meilleures pratiques et suit les meilleures pratiques OAuth 2.0 pour une implémentation sécurisée. Au lieu de cela, nous vous recommandons d’utiliser une bibliothèque bien gérée (avec une préférence pour MSAL) lorsque vous générez directement vers Microsoft Entra ID ou Microsoft Identity.
Nous optimisons les MSAL pour construire et travailler avec Microsoft Entra ID. Si votre environnement ne dispose pas de MSAL ou a des fonctionnalités non verrouillées dans sa propre bibliothèque, développez votre application avec la plateforme des identités Microsoft. Générez des fonctionnalités OAuth 2.0 et OpenID Connect. Tenez compte des coûts de la restauration correcte d’un protocole.
Comment la Plateforme d’identités Microsoft prend en charge les normes
Pour atteindre Confiance Zéro plus efficacement, développez des applications avec des normes industrielles que les Plateforme d’identités Microsoft prennent en charge :
OAuth 2.0 et OpenID Connect
En tant que protocole industriel pour l’autorisation, OAuth 2.0 permet aux utilisateurs d’accorder un accès limité aux ressources protégées. OAuth 2.0 utilise le protocole HTTP pour séparer le rôle du client de celui du propriétaire de ressource. Les clients utilisent des jetons pour accéder aux ressources protégées d'un serveur de ressources.
Les constructions OpenID Connect permettent aux extensions Microsoft Entra d’améliorer la sécurité. Ces extensions Microsoft Entra sont les plus courantes :
- Le contexte d’authentification de l’accès conditionnel (contexte d’authentification) vous permet d’appliquer des stratégies granulaires aux actions et données sensibles plutôt qu’au niveau de l’application.
- Évaluation continue de l’accès (CAE) permet aux applications Microsoft Entra de s’abonner à des événements critiques qui peuvent ensuite être évalués et appliqués. CAE inclut l’évaluation des événements à risque, telles que les comptes d’utilisateur désactivés ou supprimés, les modifications de mot de passe, les révocations de jetons et les utilisateurs détectés.
Lorsque vos applications utilisent des fonctions de sécurité renforcées telles que le contexte d'authentification CAE et l'accès conditionnel, elles doivent inclure un code permettant de gérer les contestations de réclamations. Avec les protocoles ouverts, vous utilisez les défis et les demandes de revendications pour invoquer d'autres capacités du client. Par exemple, indiquant aux applications qu’elles doivent répéter l’interaction avec Microsoft Entra ID en raison d’une anomalie. Un autre scénario est lorsque l’utilisateur ne satisfait plus aux conditions dans lesquelles il a été authentifié précédemment. Vous pouvez coder pour ces extensions sans perturber les flux de code d'authentification primaire.
Security Assertions Markup Language (SAML)
La Plateforme d’identités Microsoft utilise SAML 2.0 pour permettre à vos applications Confiance zéro d'offrir une expérience utilisateur à authentification unique (SSO). Les profils SAML d’authentification unique et de déconnexion unique de Microsoft Entra ID expliquent comment le service de fournisseur d'identité utilise les assertions, les protocoles et les liaisons SAML. Le protocole SAML exige que le fournisseur d’identité (la plateforme d’identités Microsoft) et le fournisseur de services (l’application) échangent des informations les concernant. Lorsque vous inscrivez votre application Confiance Zéro avec Microsoft Entra ID, vous inscrivez des informations relatives à la fédération qui incluent l’URI de redirection et l’URI de métadonnées de l’application avec Microsoft Entra ID.
Avantages de MSAL sur les protocoles
Microsoft optimise les MSAL pour le Plateforme d'identités Microsoft et offre la meilleure expérience pour le SSO, la mise en cache des jetons et la résilience des pannes. À mesure que les MSAL sont généralement disponibles, nous continuons à étendre la couverture des langages et des infrastructures.
MSAL vous permet d'acquérir des jetons pour des types d'applications tels que les applications web, les API web, les applications à page unique, les applications mobiles et natives, les démons et les applications côté serveur. MSAL permet une intégration rapide et simple avec un accès sécurisé aux utilisateurs et aux données via Microsoft Graph et les API. Avec des bibliothèques d’authentification de classe optimales, vous pouvez atteindre n’importe quel public et suivre le cycle de vie du Microsoft Security Development Lifecycle.
Étapes suivantes
- Les bibliothèques d’authentification Plateforme d’identités Microsoft décrivent la prise en charge du type d’application.
- Développer à l’aide de principes Confiance Zéro vous aide à comprendre les principes fondamentaux de Confiance Zéro afin que vous puissiez améliorer la sécurité de votre application.
- Utilisez les meilleures pratiques de développement de la gestion des identités et des accès Confiance Zéro dans votre cycle de développement d'applications pour créer des applications sécurisées.
- La création d’applications avec une approche Confiance Zéro de l’identité fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
- Les responsabilités des développeurs et des administrateurs pour l’inscription, l’autorisation et l’accès aux applications vous aident à mieux collaborer avec vos professionnels de l’informatique.
- La protection des API décrit les meilleures pratiques pour protéger votre API via l’inscription, la définition des autorisations et le consentement, et l’application de l’accès pour atteindre les objectifs Confiance Zéro.
- Personnaliser les jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra. Il explique comment la personnalisation des jetons améliore la flexibilité et le contrôle tout en augmentant la sécurité Confiance Zéro application avec des privilèges minimum.
- Configurer des revendications de groupe et des rôles d’application dans les jetons décrit comment configurer des applications avec des définitions de rôle d’application et comment affecter des groupes de sécurité aux rôles d’application. Cette approche améliore la flexibilité et le contrôle tout en augmentant la sécurité des applications Confiance Zéro avec des privilèges minimum.