Metodologias de desenvolvimento baseadas em padrões
Como desenvolvedor, você pode fazer bom uso dos padrões do setor para desenvolvimento de software aprimorados pela Microsoft Authentication Library (MSAL). Neste artigo, fornecemos uma visão geral dos padrões com suporte e seus benefícios na plataforma de identidade da Microsoft. Certifique-se de que seus aplicativos em nuvem atendam aos requisitos de Confiança Zero para segurança ideal.
E os protocolos?
Ao implementar protocolos, considere os custos que incluem tempo para escrever código totalmente atualizado com todas as práticas recomendadas e seguindo as práticas recomendadas do OAuth 2.0 para implementação segura. Em vez disso, recomendamos que você utilize uma biblioteca bem mantida (com preferência para MSAL) ao compilar diretamente para o Microsoft Entra ID ou Microsoft Identity.
Otimizamos MSALs para criar e trabalhar com o Microsoft Entra ID. Se o seu ambiente não tiver a MSAL ou tiver recursos desbloqueados em sua própria biblioteca, desenvolva seu aplicativo com a plataforma de identidade da Microsoft. Desenvolva os recursos do OAuth 2.0 e o OpenID Connect. Considere os custos de voltar corretamente a um protocolo.
Como a plataforma de identidade da Microsoft oferece suporte para padrões
Para alcançar o Confiança Zero de forma mais eficiente e eficaz, desenvolva aplicativos com padrões do setor que a plataforma de identidade da Microsoft suporta:
OAuth 2.0 e OpenID Connect
Como protocolo do setor para autorização, o OAuth 2.0 permite que os usuários concedam acesso limitado a recursos protegidos. O OAuth 2.0 funciona com o Protocolo de transferência de hipertexto (HTTP) para separar a função do cliente do proprietário do recurso. Os clientes usam tokens para acessar recursos protegidos em um servidor de recursos.
As construções do OpenID Connect permitem que as extensões do Microsoft Entra melhorem a segurança. Essas extensões do Microsoft Entra são as mais comuns:
- O contexto de autenticação de acesso condicional permite que os aplicativos apliquem políticas granulares para proteger dados e ações confidenciais, em vez de apenas no nível do aplicativo.
- A Avaliação contínua de acesso (CAE) permite que os aplicativos Microsoft Entra se inscrevam em eventos críticos para avaliação e fiscalização. O CAE inclui avaliação de eventos arriscados, como contas de usuário desabilitadas ou excluídas, alterações de senha, revogações de token e usuários detectados.
Quando seus aplicativos usam recursos de segurança aprimorados, como a CAE e o contexto de autenticação de acesso condicional, eles devem incluir código para gerenciar os desafios das declarações. Com protocolos abertos, você usa desafios e solicitações de declarações para invocar outros recursos do cliente. Por exemplo, indicando aos aplicativos que eles precisam repetir a interação com o Microsoft Entra ID devido a uma anomalia. Outro cenário é quando o usuário não satisfaz mais as condições sob as quais havia sido autenticado anteriormente. Você pode codificar para essas extensões sem perturbar os fluxos de código de autenticação primária.
Security Assertions Markup Language (SAML)
A plataforma de identidade da Microsoft usa SAML 2.0 para permitir que seus aplicativos com Confiança Zero forneçam uma experiência de usuário de login único (SSO). Os perfis de SAML de SSO (Single Sign-Out) no Microsoft Entra ID explicam como o serviço do provedor de identidade usa declarações, protocolos e associações SAML. O protocolo SAML requer que o provedor de identidade (plataforma de identidade da Microsoft) e o provedor de serviço (seu aplicativo) troquem informações sobre si mesmos. Quando você registra seu aplicativo Confiança Zero com o Microsoft Entra ID, você registra informações relacionadas à federação que incluem o URI de redirecionamento e o URI de metadados do aplicativo com o Microsoft Entra ID.
Benefícios do MSAL sobre os protocolos
A Microsoft otimiza MSALs para a plataforma de identidade da Microsoft e fornece a melhor experiência para SSO, cache de token e resiliência de paralisação. Como os MSALs estão disponíveis em geral, continuamos a expandir a cobertura de linguagens e estruturas.
Usando a MSAL, você adquire tokens para tipos de aplicativos que incluem aplicativos Web, APIs Web, aplicativos de página única, aplicativos móveis e nativos, daemons e aplicativos no lado do servidor. O MSAL permite uma integração rápida e simples com acesso seguro a usuários e dados via Microsoft Graph e APIs. Com as melhores bibliotecas de autenticação da categoria, você pode alcançar qualquer público e seguir o Ciclo de Vida de Desenvolvimento de Segurança da Microsoft.
Próximas etapas
- O artigo Bibliotecas de autenticação da plataforma de identidade da Microsoft descrevem o suporte ao tipo de aplicativo.
- O artigo Desenvolver usando os princípios de Confiança Zero ajuda você a entender os princípios orientadores da Confiança Zero para poder melhorar a segurança do seu aplicativo.
- Utilize as práticas recomendadas de desenvolvimento de gerenciamento de identidades e acesso com Confiança Zero no seu ciclo de vida de desenvolvimento de aplicativos para criar aplicativos seguros.
- O artigo Criar aplicativos com uma abordagem de identidade de Confiança Zero fornece uma visão geral das permissões e das práticas recomendadas de acesso.
- O artigo Responsabilidades de desenvolvedores e administradores para registro, autorização e acesso de aplicativos ajudam você a colaborar melhor com seus profissionais de TI.
- O artigo Proteção de APIs descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir as metas de Confiança Zero.
- Personalizar tokens descreve as informações que você pode receber nos tokens do Microsoft Entra. Ele explica como a personalização do token melhora a flexibilidade e o controle enquanto aumenta a segurança Confiança Zero do aplicativo com o mínimo de privilégio.
- Configurar declarações de grupo e funções de aplicativo em tokens descreve como configurar aplicativos com definições de função de aplicativo e atribuir grupos de segurança a funções de aplicativo. Essa abordagem melhora a flexibilidade e o controle, ao mesmo tempo em que aumenta a segurança Confiança Zero do aplicativo com o mínimo de privilégio.