Metodologias de desenvolvimento baseadas em padrões
Como desenvolvedor, você pode fazer bom uso dos padrões do setor para o desenvolvimento de software aumentado pela Microsoft Authentication Library (MSAL). Neste artigo, fornecemos uma visão geral dos padrões suportados e seus benefícios na plataforma de identidade da Microsoft. Certifique-se de que seus aplicativos na nuvem atendam aos requisitos do Zero Trust para uma segurança ideal.
E os protocolos?
Ao implementar protocolos, considere os custos que incluem tempo para escrever código totalmente atualizado com todas as práticas recomendadas e que siga as práticas recomendadas do OAuth 2.0 para implementação segura. Em vez disso, recomendamos que você use uma biblioteca bem mantida (com preferência para MSAL) ao criar diretamente para o Microsoft Entra ID ou Microsoft Identity.
Otimizamos as MSALs para criar e trabalhar com o Microsoft Entra ID. Se o seu ambiente não tiver MSAL ou tiver recursos desbloqueados em sua própria biblioteca, desenvolva seu aplicativo com a plataforma de identidade da Microsoft. Desenvolva os recursos do OAuth 2.0 e o OpenID Connect. Considere os custos de voltar corretamente a um protocolo.
Como a plataforma de identidade da Microsoft oferece suporte a padrões
Para alcançar o Zero Trust de forma mais eficiente e eficaz, desenvolva aplicativos com os padrões do setor suportados pela plataforma de identidade da Microsoft:
OAuth 2.0 e OpenID Connect
Como protocolo da indústria para autorização, o OAuth 2.0 permite que os usuários concedam acesso limitado a recursos protegidos. O OAuth 2.0 funciona com HTTP (Hypertext Transfer Protocol) para separar a função de cliente do proprietário do recurso. Os clientes usam tokens para acessar recursos protegidos em um servidor de recursos.
As construções do OpenID Connect permitem que as extensões do Microsoft Entra melhorem a segurança. Estas extensões do Microsoft Entra são as mais comuns:
- O contexto de autenticação do Acesso Condicional permite que os aplicativos apliquem políticas granulares para proteger dados e ações confidenciais, em vez de apenas no nível do aplicativo.
- A Avaliação de Acesso Contínuo (CAE) permite que os aplicativos Microsoft Entra assinem eventos críticos para avaliação e aplicação. O CAE inclui avaliação de eventos de risco, como contas de usuário desabilitadas ou excluídas, alterações de senha, revogações de token e usuários detetados.
Quando seus aplicativos usam recursos de segurança aprimorados, como CAE e contexto de autenticação de Acesso Condicional, eles devem incluir código para gerenciar desafios de declarações. Com protocolos abertos, você usa desafios de declarações e solicitações de declarações para invocar outros recursos do cliente. Por exemplo, indicando aos aplicativos que eles precisam repetir a interação com o Microsoft Entra ID devido a uma anomalia. Outro cenário é quando o usuário não satisfaz mais as condições sob as quais havia autenticado anteriormente. Você pode codificar essas extensões sem perturbar os fluxos de código de autenticação primária.
SAML (Security Assertions Markup Language)
A plataforma de identidade da Microsoft usa o SAML 2.0 para permitir que seus aplicativos Zero Trust forneçam uma experiência de usuário de logon único (SSO). Os perfis SAML de SSO e Saída Única no Microsoft Entra ID explicam como o serviço do provedor de identidade usa asserções, protocolos e associações SAML. O protocolo SAML requer que o provedor de identidade (plataforma de identidade da Microsoft) e o provedor de serviços (seu aplicativo) troquem informações sobre si mesmos. Ao registrar seu aplicativo Zero Trust com o Microsoft Entra ID, você registra informações relacionadas à federação que incluem o URI de redirecionamento e o URI de metadados do aplicativo com o Microsoft Entra ID.
Benefícios da MSAL em relação aos protocolos
A Microsoft otimiza MSALs para a plataforma de identidade da Microsoft e fornece a melhor experiência para SSO, cache de token e resiliência a interrupções. Como as MSALs estão geralmente disponíveis, continuamos a expandir a cobertura de linguagens e estruturas.
Usando o MSAL, você adquire tokens para tipos de aplicativos que incluem aplicativos Web, APIs da Web, aplicativos de página única, aplicativos móveis e nativos, daemons e aplicativos do lado do servidor. O MSAL permite uma integração rápida e simples com acesso seguro a utilizadores e dados através do Microsoft Graph e APIs. Com as melhores bibliotecas de autenticação da categoria, você pode alcançar qualquer público e seguir o Ciclo de Vida de Desenvolvimento de Segurança da Microsoft.
Próximos passos
- As bibliotecas de autenticação da plataforma de identidade da Microsoft descrevem o suporte a tipos de aplicativos.
- Desenvolver usando os princípios do Zero Trust ajuda você a entender os princípios orientadores do Zero Trust para que você possa melhorar a segurança do seu aplicativo.
- Use as práticas recomendadas de desenvolvimento de gerenciamento de acesso e identidade Zero Trust em seu ciclo de vida de desenvolvimento de aplicativos para criar aplicativos seguros.
- A criação de aplicativos com uma abordagem Zero Trust para identidade fornece uma visão geral das permissões e das práticas recomendadas de acesso.
- As responsabilidades do desenvolvedor e administrador para registro, autorização e acesso de aplicativos ajudam você a colaborar melhor com seus profissionais de TI.
- A Proteção de API descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir as metas de Zero Trust.
- Personalizar tokens descreve as informações que você pode receber nos tokens do Microsoft Entra. Ele explica como a personalização de token melhora a flexibilidade e o controle enquanto aumenta a segurança do aplicativo Zero Trust com o menor privilégio.
- Configure group claims and app roles in tokens descreve como configurar aplicativos com definições de função de aplicativo e atribuir grupos de segurança a funções de aplicativo. Essa abordagem melhora a flexibilidade e o controle e, ao mesmo tempo, aumenta a segurança do aplicativo Zero Trust com o menor privilégio.