Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide, en tant que développeur, à comprendre les meilleures pratiques de gestion des identités et des accès pour votre cycle de vie de développement d’applications. Vous commencez à développer des applications sécurisées et compatibles Confiance Zéro avec la gestion des identités et des accès (IAM).
L’infrastructure de sécurité Confiance Zéro utilise les principes de la vérification explicite, de l’accès le moins privilégié et de l’hypothèse d’une violation. Sécurisez les utilisateurs et les données tout en autorisant des scénarios courants tels que l’accès aux applications en dehors du périmètre du réseau. Réduisez la dépendance à l’approbation implicite des interactions derrière un périmètre réseau sécurisé qui peut devenir vulnérable aux attaques de sécurité.
Les tendances de sécurité du secteur affectent les exigences d’application
Bien que l’implémentation confiance zéro continue d’évoluer, le parcours de chaque organisation est unique. Il commence souvent par l’identité de l’utilisateur et de l’application. Voici les stratégies et les contrôles que de nombreuses organisations hiérarchisent au fur et à mesure qu’elles déploient la confiance zéro :
- Implémentez des stratégies d’hygiène et de rotation des informations d’identification pour les applications et les services. Lorsque des acteurs malveillants compromissent des secrets tels que des certificats ou des mots de passe, ils peuvent obtenir une profondeur d’accès système pour acquérir des jetons sous la forme de l’identité d’une application. Ils accèdent ensuite aux données sensibles, se déplacent latéralement et établissent leur persistance.
- Déployer une authentification forte. Les administrateurs informatiques configurent des stratégies qui nécessitent une authentification multifacteur et des appareils FIDO2 sans mot de passe.
- Limitez le consentement de l’utilisateur aux applications avec des autorisations à faible risque pour les applications de publication vérifiées. L’accès aux données dans des API telles que Microsoft Graph vous permet de créer des applications enrichies. Les organisations et les clients évaluent les demandes d’autorisation et la fiabilité de votre application avant d’accorder le consentement. Les administrateurs informatiques adoptent le principe de vérification explicitement en exigeant la vérification de l’éditeur. Ils appliquent le principe du privilège minimum en autorisant uniquement le consentement de l’utilisateur pour les autorisations à faible risque.
- Bloquer les protocoles et API hérités. Les administrateurs informatiques bloquent les anciens protocoles d’authentification tels que l’authentification de base et nécessitent des protocoles modernes tels qu’OpenID Connect et OAuth2.
Utiliser des bibliothèques d’authentification approuvées basées sur des normes
Pour augmenter la portabilité et la sécurité des applications, développez votre application avec des normes et des bibliothèques connues et acceptées. Les bibliothèques d’authentification approuvées basées sur des normes restent up-to-date afin que vos applications soient réactives aux dernières technologies et menaces. Les méthodologies de développement basées sur des normes fournissent une vue d’ensemble des normes prises en charge et de leurs avantages.
Au lieu d’utiliser des protocoles avec des vulnérabilités connues et une documentation complète, développez votre application avec des bibliothèques telles que microsoft Authentication Library (MSAL), microsoft Identity Web authentication library et Azure Software Developer Kits (SDK) . Les kits de développement logiciel et MSAL vous permettent d’utiliser ces fonctionnalités sans avoir besoin d’écrire du code supplémentaire :
- Accès conditionnel
- Inscription et gestion des appareils
- Authentification sans mot de passe et FIDO2
MSAL et Microsoft Graph sont vos meilleurs choix pour le développement d’applications Microsoft Entra. Les développeurs MSAL garantissent la conformité avec les protocoles. Microsoft optimise MSAL pour une efficacité lors de l’utilisation directe de l’ID Microsoft Entra.
Inscrire vos applications dans l’ID Microsoft Entra
Suivez les meilleures pratiques de sécurité pour les propriétés d’application dans Microsoft Entra ID. L’enregistrement d’application dans Microsoft Entra ID est essentiel, car une configuration incorrecte ou un manque de rigueur de votre application peut entraîner une interruption de service ou une compromission de sécurité.
Les propriétés d’application qui améliorent la sécurité incluent l’URI de redirection, les jetons d’accès (jamais utilisés avec des flux implicites), les certificats et les secrets, l’URI d’ID d’application et la propriété de l’application. Effectuez régulièrement des évaluations de sécurité et d’intégrité similaires aux évaluations du modèle de menace de sécurité pour le code.
Déléguer la gestion des identités et des accès
Développez votre application pour utiliser des jetons pour la vérification d’identité explicite et le contrôle d’accès que vos clients définissent et gèrent. Microsoft déconseille de développer vos propres systèmes de gestion de nom d’utilisateur et de mot de passe.
Conservez les informations d’identification hors de votre code afin que les administrateurs informatiques puissent faire pivoter les informations d’identification sans descendre ou redéployer votre application. Utilisez un service tel qu’Azure Key Vault ou des identités managées Azure pour déléguer IAM.
Planifier et concevoir l’accès avec des privilèges minimum
Un principe clé de confiance zéro est l’accès au privilège minimum. Développez et documentez suffisamment votre application afin que vos clients puissent configurer correctement des stratégies de privilège minimum. Lors de la prise en charge des jetons et DES API, fournissez à vos clients une bonne documentation des ressources que votre application appelle.
Fournissez toujours le privilège minimum requis pour que votre utilisateur effectue des tâches spécifiques. Par exemple, utilisez des étendues granulaires dans Microsoft Graph.
Explorez les étendues dans l’Explorateur Graph pour appeler une API et examiner les autorisations requises. Elles sont affichées dans l’ordre de privilège le plus bas au plus élevé. La sélection du privilège le plus bas possible garantit que votre application est moins vulnérable aux attaques.
Pour réduire la vulnérabilité des applications et le rayon d’explosion des violations de sécurité, suivez les instructions fournies dans Améliorer la sécurité avec le principe des privilèges minimum.
Gérer en toute sécurité les jetons
Lorsque votre application demande des jetons à partir de l’ID Microsoft Entra, gérez-les en toute sécurité :
- Vérifiez qu’elles sont correctement étendues à votre application.
- Mettez-les en cache correctement.
- Utilisez-les comme prévu.
- Gérez les problèmes de jeton en vérifiant les classes d’erreurs et en codeant les réponses appropriées.
- Au lieu de lire directement les jetons d’accès, affichez le périmètre et les détails dans les réponses de token.
Prise en charge de l’évaluation de l’accès continu (CAE)
L’évaluation continue de l’accès (CAE) permet à Microsoft Graph de refuser rapidement l’accès en réponse aux événements de sécurité. Voici quelques exemples d’activités d’administrateur client :
- Supprimez ou désactivez un compte d’utilisateur.
- Activez l’authentification multifacteur (MFA) pour un utilisateur.
- Révoquez explicitement les jetons émis d’un utilisateur.
- Détecter un utilisateur qui passe à un état à haut risque.
Lorsque vous prenez en charge CAE, les jetons que Microsoft Entra ID émet pour appeler Microsoft Graph sont valides pendant 24 heures au lieu des 60 à 90 minutes standard. CAE ajoute la résilience à votre application en permettant à MSAL d’actualiser de manière proactive le jeton bien avant l’expiration du jeton.
Définir des rôles d’application pour que le service informatique les attribue aux utilisateurs et aux groupes
Les rôles d’application vous aident à implémenter le contrôle d’accès en fonction du rôle dans vos applications. Les exemples courants de rôles d’application incluent l’administrateur, le lecteur et le contributeur. Le contrôle d’accès en fonction du rôle permet à votre application de restreindre les actions sensibles aux utilisateurs ou aux groupes en fonction de leurs rôles définis.
Devenez éditeur vérifié
En tant qu’éditeur vérifié, vérifiez votre identité avec votre compte Microsoft Partner Network et terminez le processus de vérification établi. Pour les développeurs d’applications mutualisées, l’utilisation d’un éditeur vérifié permet de créer une confiance avec les administrateurs informatiques dans les locataires clients.
Étapes suivantes
- Personnaliser les jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra. Découvrez comment personnaliser des jetons pour améliorer la flexibilité et le contrôle tout en augmentant la sécurité confiance zéro de l’application avec des privilèges minimum.
- Configurer les revendications de groupe et les rôles d’application dans les jetons décrit comment configurer vos applications avec des définitions de rôles d’application et affecter des groupes de sécurité aux rôles d’application. Cette approche améliore la flexibilité et le contrôle tout en augmentant la sécurité Confiance Zéro application avec des privilèges minimum.
- La création d’applications avec une approche Confiance Zéro de l’identité fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
- Le guide des intégrations d’identité explique comment intégrer des solutions de sécurité à des produits Microsoft pour créer des solutions Confiance Zéro.
- Les responsabilités des développeurs et des administrateurs pour l’inscription, l’autorisation et l’accès aux applications vous aident à mieux collaborer avec vos professionnels de l’informatique.
- Les types d’identités et de comptes pris en charge pour les applications monolocataires et multilocataires explique comment choisir si votre application autorise uniquement les utilisateurs de votre locataire Microsoft Entra, n'importe quel locataire Microsoft Entra, ou les utilisateurs disposant de comptes Microsoft personnels.
- Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.
- API Protection décrit les meilleures pratiques pour protéger votre API par le biais de l'enregistrement, de la définition des autorisations et du consentement, et de l'application de l'accès pour atteindre vos objectifs de confiance zéro.