共用方式為

以標準為基礎的開發方法

  • 發行項

身為開發人員,您可以利用 Microsoft 驗證連結庫 (MSAL) 增強的軟體開發業界標準。 在本文中,我們提供 Microsoft 身分識別平台 中支持的標準及其優點的概觀。 請確定您的雲端應用程式符合 零信任 需求,以獲得最佳安全性。

通訊協定呢?

實作通訊協定時,請考慮使用所有最佳做法撰寫完整最新程序代碼的成本,並遵循適用於安全實作的 OAuth 2.0 最佳做法。 相反地,我們建議您在直接建置至 Microsoft Entra ID 或 Microsoft Identity 時,使用維護良好的連結庫(搭配 MSAL 的喜好設定)。

我們將 MSALS 優化,以建置和使用 Microsoft Entra ID。 如果您的環境沒有 MSAL,或在其自己的連結庫中具有解除鎖定的功能,請使用 Microsoft 身分識別平台 開發您的應用程式。 建置 OAuth 2.0 功能和 OpenID 連線。 請考慮正確回復至通訊協定的成本。

Microsoft 身分識別平台 如何支持標準

若要以最有效率且最有效率的方式達成 零信任,請使用 Microsoft 身分識別平台 支援的業界標準開發應用程式:

OAuth 2.0 和 OpenID Connect

身為授權的業界通訊協定,OAuth 2.0 可讓使用者授與受保護資源的有限存取權。 OAuth 2.0 可與超文本傳輸通訊協定 (HTTP) 搭配運作,以將用戶端角色與資源擁有者分開。 用戶端會使用令牌來存取資源伺服器上的受保護資源。

OpenID 連線 建構可讓 Microsoft Entra 延伸模組增強安全性。 這些 Microsoft Entra 延伸模組是最常見的:

  • 條件式存取驗證內容 可讓應用程式套用細微原則來保護敏感數據和動作,而不只是在應用層級。
  • 持續存取評估 (CAE) 可讓 Microsoft Entra 應用程式訂閱重要事件以進行評估和強制執行。 CAE 包含風險事件評估,例如停用或刪除的使用者帳戶、密碼變更、令牌撤銷,以及偵測到的使用者。

當您的應用程式使用 CAE 和條件式存取驗證內容等增強式安全性功能時,它們必須包含程式碼來管理宣告挑戰。 透過開放式通訊協定,您可以使用宣告挑戰和宣告要求來叫用其他用戶端功能。 例如,向應用程式指出,由於異常,他們需要重複與 Microsoft Entra ID 的互動。 另一個案例是使用者不再滿足他們先前驗證的條件。 您可以為這些延伸模組撰寫程式代碼,而不會干擾主要驗證程式代碼流程。

安全性判斷提示標記語言 (SAML)

Microsoft 身分識別平台 會使用 SAML 2.0 讓您的 零信任 應用程式提供單一登錄 (SSO) 用戶體驗。 Microsoft Entra ID 中的 SSO 和單一註銷 SAML 配置檔說明識別提供者服務如何使用 SAML 判斷提示、通訊協定和系結。 SAML 通訊協定需要識別提供者(Microsoft 身分識別平台)和服務提供者(您的應用程式)來交換自己的相關信息。 當您使用 Microsoft Entra ID 註冊 零信任 應用程式時,您會註冊同盟相關信息,其中包含具有 Microsoft Entra ID 之應用程式的重新導向 URI 和元數據 URI。

MSAL 對通訊協議的優點

Microsoft 針對 Microsoft 身分識別平台 優化 MSALs,並提供 SSO、令牌快取和中斷復原的最佳體驗。 隨著 MSCL 正式推出,我們會繼續擴充語言和架構的涵蓋範圍。

使用 MSAL,您可以取得應用程式類型的令牌,包括 Web 應用程式、Web API、單頁應用程式、行動和原生應用程式、精靈和伺服器端應用程式。 MSAL 可讓您透過 Microsoft Graph 和 API 安全地存取使用者和數據,進行快速且簡單的整合。 使用最佳類別的驗證連結庫,您可以觸達任何物件,並遵循 Microsoft 安全性開發生命週期。

下一步