Använda en identitet som en tjänstplattform

Nästan alla molnprogram måste arbeta med användaridentiteter. Identitet är grunden för moderna säkerhetsrutiner som noll förtroende och användaridentitet för program är en viktig del av lösningens arkitektur.

För de flesta lösningar rekommenderar vi starkt att du använder en IDaaS-plattform (identitet som en tjänst), som är en identitetslösning som hanteras av en specialiserad leverantör, i stället för att skapa eller driva din egen. I den här artikeln beskriver vi utmaningarna med att skapa eller köra ett eget identitetssystem.

Rekommendationer

Viktigt!

Genom att använda en IDaaS, till exempel Microsoft Entra ID, Azure AD B2C eller något annat liknande system, kan du åtgärda många av de problem som beskrivs i den här artikeln. Vi rekommenderar den här metoden när det är möjligt.

Dina lösningskrav kan leda till att du använder ett ramverk eller en identitetslösning som du är värd för och kör själv. När du använder en fördefinierad identitetsplattform minskar vissa av de problem som beskrivs i den här artikeln, är det fortfarande ditt ansvar att hantera många av dessa problem med en sådan lösning.

Du bör undvika att använda ett identitetssystem som du skapar från grunden.

Undvik att lagra autentiseringsuppgifter

När du kör ett eget identitetssystem måste du lagra en databas med autentiseringsuppgifter.

Du bör aldrig lagra autentiseringsuppgifter i klartext, eller ens som krypterade data. I stället kan du överväga att kryptografiskt hasha och salta autentiseringsuppgifter innan du lagrar dem, vilket gör dem svårare att attackera. Men även hashade och saltade autentiseringsuppgifter är sårbara för flera typer av attacker.

Oavsett hur du skyddar de enskilda autentiseringsuppgifterna gör en databas med autentiseringsuppgifter dig till ett mål för attacker. De senaste åren har visat att både stora och små organisationer har fått sina autentiseringsuppgifter databaser riktade för angrepp.

Betrakta lagring av autentiseringsuppgifter som en skuld, inte en tillgång. Genom att använda en IDaaS kan du outsourca problemet med lagring av autentiseringsuppgifter till experter som kan investera tid och resurser i att hantera autentiseringsuppgifter på ett säkert sätt.

Implementera identitets- och federationsprotokoll

Moderna identitetsprotokoll är komplexa. Branschexperter har utformat OAuth 2, OpenID Connect och andra protokoll för att säkerställa att de minimerar verkliga attacker och sårbarheter. Protokollen utvecklas också för att anpassa sig till förändringar i tekniker, attackstrategier och användarnas förväntningar. Identitetsspecialister, med expertis inom protokollen och hur de används, är i den bästa positionen för att implementera och validera system som följer dessa protokoll. Mer information om protokollen och plattformen finns i OAuth 2.0 och OpenID Connect (OIDC) i Microsofts identitetsplattform.

Det är också vanligt att federera identitetssystem. Protokoll för identitetsfederation är komplexa för att upprätta, hantera och underhålla, och de kräver specialistkunskap och erfarenhet. IDaaS-leverantörer tillhandahåller vanligtvis federationsfunktioner i sina produkter som du kan använda. Mer information om federation finns i mönster för federerad identitet.

Använda moderna identitetsfunktioner

Användarna förväntar sig att ett identitetssystem har en rad avancerade funktioner, bland annat:

• Lösenordslös autentisering, som använder säkra metoder för att logga in som inte kräver att användarna anger autentiseringsuppgifter. Nyckelnycklar är ett exempel på en teknik för lösenordsfri autentisering.

• Enkel inloggning (SSO), som gör det möjligt för användare att logga in med hjälp av en identitet från sin arbetsgivare, skola eller någon annan organisation.

• Multifaktorautentisering (MFA), som uppmanar användarna att autentisera sig själva på flera sätt. En användare kan till exempel logga in med ett lösenord och även genom att använda en autentiseringsapp på en mobil enhet eller en kod som skickas via e-post.

• Granskning, som spårar varje händelse som inträffar på identitetsplattformen, inklusive lyckade, misslyckade och avbrutna inloggningsförsök. Den rättsmedicinska undersökningen av ett inloggningsförsök senare kräver dessa detaljerade loggar.

• Villkorlig åtkomst, vilket skapar en riskprofil kring ett inloggningsförsök som baseras på olika faktorer. Faktorerna kan vara användarens identitet, platsen för inloggningsförsöket, tidigare inloggningsaktivitet och känsligheten för de data eller program som användaren försöker komma åt.

• Just-in-time-åtkomstkontroll, som tillfälligt tillåter användare att logga in baserat på en godkännandeprocess, och tar sedan bort auktoriseringen automatiskt.

Om du skapar en identitetskomponent själv som en del av din affärslösning är det osannolikt att du kan motivera arbetet med att implementera dessa funktioner och underhålla dem. Vissa av dessa funktioner kräver också extra arbete, till exempel integrering med meddelandeleverantörer för att skicka MFA-koder och lagring och kvarhållning av granskningsloggar under en tillräckligt lång tidsperiod.

IDaaS-plattformar kan också ge en förbättrad uppsättning säkerhetsfunktioner som baseras på mängden inloggningsbegäranden som de tar emot. Följande funktioner fungerar till exempel bäst när det finns ett stort antal kunder som använder en enda identitetsplattform:

• Identifiering av riskfyllda inloggningshändelser, till exempel inloggningsförsök från botnets
• Identifiering av omöjliga resor mellan en användares aktiviteter
• Identifiering av vanliga autentiseringsuppgifter, till exempel lösenord som ofta används av andra användare, som därför utsätts för en ökad risk för intrång
• Användning av maskininlärningstekniker för att klassificera inloggningsförsök som giltiga eller ogiltiga
• Övervakning av den så kallade dark web för läckta autentiseringsuppgifter och förhindra att de utnyttjas
• Pågående övervakning av hotlandskapet och de aktuella vektorer som angripare använder

Om du skapar eller kör ett eget identitetssystem kan du inte dra nytta av dessa funktioner.

Använda ett tillförlitligt identitetssystem med höga prestanda

Eftersom identitetssystem är en så viktig del av moderna molnprogram måste de vara tillförlitliga. Om ditt identitetssystem inte är tillgängligt kan resten av lösningen påverkas och antingen fungera på ett degraderat sätt eller inte fungera alls. Genom att använda en IDaaS med ett serviceavtal kan du öka ditt förtroende för att ditt identitetssystem förblir i drift när du behöver det. Microsoft Entra-ID erbjuder till exempel ett serviceavtal för drifttid för tjänstnivåerna Basic och Premium, som omfattar både processer för inloggning och tokenutfärdande. Mer information finns i ServiceNivåavtal (SLA) för onlinetjänster.

På samma sätt måste ett identitetssystem fungera bra och kunna skala till den tillväxtnivå som systemet kan uppleva. Beroende på din programarkitektur är det möjligt att varje begäran kan kräva interaktion med ditt identitetssystem, och eventuella prestandaproblem visas för användarna. IDaaS-leverantörer uppmuntras att skala sina plattformar för att hantera stora användarbelastningar. De är utformade för att absorbera stora mängder trafik, inklusive trafik som genereras av olika former av attacker.

Testa din säkerhet och tillämpa noggranna kontroller

Om du kör ett identitetssystem är det ditt ansvar att skydda det. Exempel på de kontroller som du behöver överväga att implementera är:

• Periodisk penetrationstestning, vilket kräver specialiserad expertis.
• Granskning av anställda och alla andra med tillgång till systemet.
• Noggrann kontroll över alla ändringar i din lösning med alla ändringar granskade av experter.

Dessa kontroller är ofta dyra och svåra att implementera.

Använda molnbaserade säkerhetskontroller

När du använder Microsoft Entra-ID som din lösnings identitetsprovider kan du dra nytta av molnbaserade säkerhetsfunktioner som hanterade identiteter för Azure-resurser.

Om du väljer att använda en separat identitetsplattform måste du överväga hur ditt program kan dra nytta av hanterade identiteter och andra Microsoft Entra-funktioner samtidigt som du integrerar med din egen identitetsplattform.

Fokusera på ditt kärnvärde

Det är dyrt och komplext att upprätthålla en säker, tillförlitlig och dynamisk identitetsplattform. I de flesta fall är ett identitetssystem inte en komponent som tillför värde till din lösning, eller som skiljer dig från dina konkurrenter. Det är bra att lägga ut dina identitetskrav på ett system som skapats av experter. På så sätt kan du fokusera på att utforma och skapa komponenterna i din lösning som ger dina kunder affärsvärde.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• John Downs | Huvudprogramtekniker

Övriga medarbetare:

• Jelle Druyts | Huvudkundtekniker, FastTrack för Azure
• LaBrina Loving | Principal Customer Engineering Manager, FastTrack för Azure
• Gary Moore | Programmerare/skrivare
• Arsen Vladimirskiy | Huvudkundtekniker, FastTrack för Azure

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Vad är Microsoft Entra ID?
• Vad är Azure Active Directory B2C?
• Utforska identitet och Microsoft Entra-ID
• Utforma en identitetssäkerhetsstrategi
• Implementera Microsoft-identitet
• Hantera identitet och åtkomst i Microsoft Entra-ID

Relaterade resurser

• Autentisera med Microsoft Entra ID och OpenID Connect
• Federerat identitetsmönster
• Design av identitetsarkitektur