Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
En tant que développeur, vous pouvez utiliser les normes du secteur pour le développement de logiciels augmentées par la bibliothèque d’authentification Microsoft (MSAL). Dans cet article, nous fournissons une vue d’ensemble des normes prises en charge et de leurs avantages dans la plateforme d’identités Microsoft. Assurez-vous que vos applications cloud répondent aux exigences de confiance zéro pour une sécurité optimale.
Qu’en est-il des protocoles ?
Lorsque vous implémentez des protocoles, tenez compte des coûts qui incluent le temps d’écrire du code entièrement à jour avec toutes les meilleures pratiques et suit les meilleures pratiques OAuth 2.0 pour une implémentation sécurisée. Utilisez une bibliothèque bien gérée (avec une préférence pour MSAL) lorsque vous générez directement vers Microsoft Entra ID ou Microsoft Identity.
Nous optimisons les MSALs pour générer et utiliser Microsoft Entra ID. Si votre environnement ne dispose pas de MSAL ou inclut des fonctionnalités déverrouillées dans sa propre bibliothèque, développez votre application avec la plateforme d’identités Microsoft. Exploitez les fonctionnalités d'OAuth 2.0 et OpenID Connect. Tenez compte des coûts liés au repli correct vers un protocole.
Comment la plateforme d’identités Microsoft prend en charge les normes
Pour obtenir la confiance Zéro plus efficacement et efficacement, développez des applications avec des normes sectorielles que la plateforme d’identités Microsoft prend en charge :
OAuth 2.0 et OpenID Connect
En tant que protocole industriel pour l’autorisation, OAuth 2.0 permet aux utilisateurs d’accorder un accès limité aux ressources protégées. OAuth 2.0 fonctionne avec le protocole HTTP (Hypertext Transfer Protocol) pour séparer le rôle client du propriétaire de la ressource. Les clients utilisent des jetons pour accéder aux ressources protégées sur un serveur de ressources.
Les constructions OpenID Connect permettent aux extensions Microsoft Entra d’améliorer la sécurité. Ces extensions Microsoft Entra sont les plus courantes :
- Le contexte d’authentification par accès conditionnel permet aux applications d’appliquer des stratégies granulaires pour protéger les données sensibles et les actions au lieu d’être uniquement au niveau de l’application.
- L’évaluation continue de l’accès (CAE) permet aux applications Microsoft Entra de s’abonner à des événements critiques pour l’évaluation et l’application. CAE inclut l’évaluation des événements à risque, telles que les comptes d’utilisateur désactivés ou supprimés, les modifications de mot de passe, les révocations de jetons et les utilisateurs détectés.
Lorsque vos applications utilisent des fonctionnalités de sécurité améliorées telles que l’authentification par accès conditionnel et l’authentification par accès conditionnel, elles doivent inclure du code pour gérer les défis liés aux revendications. Avec les protocoles ouverts, vous utilisez des défis de revendication et des demandes de revendication pour activer d'autres capacités clientes. Par exemple, indiquant aux applications qu’elles doivent répéter l’interaction avec l’ID Microsoft Entra en raison d’une anomalie. Un autre scénario est lorsque l’utilisateur ne satisfait plus aux conditions dans lesquelles il a été authentifié précédemment. Vous pouvez coder ces extensions sans déranger les flux de code d’authentification principal.
Security Assertions Markup Language (SAML)
La plateforme d’identités Microsoft utilise SAML 2.0 pour permettre à vos applications Zero Trust de fournir une expérience utilisateur d’authentification unique . Les profils SAML de SSO et de Single Sign-Out dans Microsoft Entra ID expliquent comment le service fournisseur d'identité utilise des assertions, des protocoles et des liaisons SAML. Le protocole SAML nécessite le fournisseur d’identité (plateforme d’identités Microsoft) et le fournisseur de services (votre application) pour échanger des informations sur eux-mêmes. Lorsque vous inscrivez votre application Confiance Zéro avec l’ID Microsoft Entra, vous inscrivez des informations relatives à la fédération qui incluent l’URI de redirection et l’URI de métadonnées de l’application avec l’ID Microsoft Entra.
Avantages de MSAL sur les protocoles
Microsoft optimise les MSAL pour la plateforme d’identités Microsoft et offre la meilleure expérience pour l’authentification unique, la mise en cache des jetons et la résilience des pannes. À mesure que les MSAL sont généralement disponibles, nous continuons à étendre la couverture des langages et des infrastructures.
À l’aide de MSAL, vous obtenez des jetons pour les types d’applications qui incluent des applications web, des API web, des applications monopage, des applications mobiles et natives, des démons et des applications côté serveur. MSAL permet une intégration rapide et simple avec un accès sécurisé aux utilisateurs et aux données via Microsoft Graph et les API. Avec des bibliothèques d’authentification de classe mondiale, vous pouvez atteindre autant de publics différents que possible et suivre le cycle de vie du développement de la sécurité Microsoft.
Étapes suivantes
- Les bibliothèques d’authentification de la plateforme d'identité Microsoft décrivent la prise en charge des types d’application.
- Développer à l’aide des principes de confiance Zéro vous aide à comprendre les principes fondamentaux de Confiance Zéro afin que vous puissiez améliorer la sécurité de votre application.
- Utilisez les meilleures pratiques de développement de la gestion des identités et des accès Confiance Zéro dans votre cycle de développement d'applications pour créer des applications sécurisées.
- La création d’applications avec une approche Confiance Zéro de l’identité fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
- Les responsabilités des développeurs et des administrateurs pour l’inscription, l’autorisation et l’accès aux applications vous aident à mieux collaborer avec vos professionnels de l’informatique.
- La protection des API décrit les meilleures pratiques pour protéger votre API via l’inscription, la définition des autorisations et le consentement, et l’application de l’accès pour atteindre les objectifs confiance zéro.
- Personnaliser les jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra. Il explique comment la personnalisation des jetons améliore la flexibilité et le contrôle tout en augmentant la sécurité confiance zéro de l’application avec des privilèges minimum.
- Configurer les revendications de groupe et les rôles d’application dans les jetons décrit comment configurer des applications avec des définitions de rôles d’application et affecter des groupes de sécurité aux rôles d’application. Cette approche améliore la flexibilité et le contrôle tout en augmentant la sécurité Confiance Zéro application avec des privilèges minimum.