Autentisering och auktorisering i molnbaserade appar
Dricks
Det här innehållet är ett utdrag från eBook, Architecting Cloud Native .NET Applications for Azure, tillgängligt på .NET Docs eller som en kostnadsfri nedladdningsbar PDF som kan läsas offline.
Autentisering är en process för att fastställa identiteten för ett säkerhetsobjekt. Auktorisering är att bevilja ett autentiserat huvudnamn behörighet att utföra en åtgärd eller komma åt en resurs. Ibland förkortas autentiseringen till AuthN och auktoriseringen förkortas till AuthZ. Molnbaserade program måste förlita sig på öppna HTTP-baserade protokoll för att autentisera säkerhetsobjekt eftersom både klienter och program kan köras var som helst i världen på valfri plattform eller enhet. Den enda vanliga faktorn är HTTP.
Många organisationer förlitar sig fortfarande på lokala autentiseringstjänster som Active Directory Federation Services (AD FS) (ADFS). Även om den här metoden traditionellt har fungerat bra för organisationer för lokala autentiseringsbehov, drar molnbaserade program nytta av system som utformats specifikt för molnet. I en nyligen genomförd rekommendation från 2019 från United Kingdom National Cyber Security Centre (NCSC) står det att "organisationer som använder Azure AD som sin primära autentiseringskälla faktiskt kommer att minska risken jämfört med ADFS". Några orsaker som beskrivs i den här analysen är:
- Åtkomst till fullständig uppsättning microsofts tekniker för skydd av autentiseringsuppgifter.
- De flesta organisationer förlitar sig redan i viss utsträckning på Azure AD.
- Dubbel hashning av NTLM-hashar säkerställer att kompromisser inte tillåter autentiseringsuppgifter som fungerar i lokal Active Directory.
