Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide, en tant que développeur, à améliorer la sécurité des applications avec l’évaluation continue de l’accès. Vous découvrez comment garantir la prise en charge de Zero Trust dans vos applications qui reçoivent l’autorisation d’accéder aux ressources lorsqu’elles obtiennent des jetons d’accès de Microsoft Entra ID.
Lorsque Microsoft Entra ID émet ces jetons d’accès, il évalue entièrement les conditions de cette autorisation. Microsoft Entra ID effectue des actions d’autorisation standard, telles que la garantie du consentement, chaque fois qu’il émet des jetons pour les demandes de jeton initiales et lorsqu’il actualise les jetons.
Microsoft Entra ID utilise principalement des jetons web JSON (JWT) pour les jetons d’accès. Une API de ressource peut décoder, valider et interpréter le JWT sans avoir à rappeler l’ID Microsoft Entra sur chaque appel à l’API de ressource. La norme JWT définit une revendication exp qui identifie l'heure d'expiration après laquelle vous ne devez pas accepter le jeton JWT pour le traitement. Par défaut, les jetons Microsoft Entra expirent de 60 à 90 minutes après le problème. Assurez-vous que vos applications mettent en cache et utilisent des tokens d'accès pendant la période durant laquelle Microsoft Entra ID n’évalue pas les conditions d’autorisation.
Évaluer les conditions en dehors de l’émission du jeton
Les décalages peuvent se produire entre les modifications de condition utilisateur et l’application des modifications de stratégie lorsque Microsoft Entra ID émet des jetons. Une approche de durée de vie de jeton réduite peut dégrader les expériences utilisateur et la fiabilité sans éliminer les risques.
Une solution consiste à évaluer les conditions de chaque appel à une ressource protégée. La façon la plus courante d’implémenter cette application est l’introspection des jetons. L’introspection de jeton n’utilise pas de format JWT pour le jeton. Au lieu de cela, l'introspection de jeton utilise une chaîne opaque que l'API de la ressource ne peut pas interpréter. L’API de ressource envoie le jeton au fournisseur d’identité sur chaque appel. Le fournisseur d’identité vérifie ensuite les conditions et retourne les données que l’API de ressource peut utiliser pour terminer l’opération. Ce processus peut être coûteux, car il ajoute une autre demande web aller-retour à chaque appel d’API.
Pour résoudre ce problème avec l'évaluation continue de l'accès (CAE), une API de ressource peut écouter les événements que l’ID Microsoft Entra envoie concernant les jetons qu'il délivre pour l'API. Par exemple, lorsque votre application appelle l’API Microsoft Graph, Microsoft Graph peut vérifier s’il a reçu des événements de Microsoft Entra ID sur le jeton. Si les conditions de l’authentification d’origine sont différentes et que l’utilisateur doit se réauthentifier, Microsoft Graph renvoie une erreur à l’application appelante.
Microsoft Entra ID envoie un événement aux ressources Microsoft compatibles avec CAE quand l’un de ces événements se produit :
- Compte d’utilisateur désactivé ou supprimé
- Modification ou réinitialisation du mot de passe utilisateur
- Authentification multifacteur de l’utilisateur activée
- Un administrateur révoque explicitement tous les jetons d’actualisation d’un utilisateur
- Microsoft Entra ID Protection détecte les risques élevés de l’utilisateur
En outre, les ressources Microsoft compatibles avec CAE peuvent appliquer des stratégies d’accès conditionnel basées sur l’emplacement.
Améliorer la sécurité et la résilience des applications avec CAE
Les applications plus sécurisées et résilientes suivantes basées sur la vidéo d’évaluation de l’accès continu Microsoft Entra illustrent la création d’une application cliente avec la prise en charge de CAE.
La présentation vidéo décrit comment les applications fonctionnent avec l’authentification moderne et les étapes suivantes :
- L'application demande des jetons auprès de Microsoft Identity
- L’application reçoit un jeton d’accès
- Appel d'API de l'application / Autorisation avec JWT
- Introspection
- Signaux partagés et événements
- Évaluation des événements critiques
- Évaluation de la stratégie d’accès conditionnel
- Appelé Évaluation de l’accès continu de l’API
- Défi des réclamations
L’évaluation continue de l’accès permet à une application d’accéder à une ressource révoquée en dehors de la durée de vie du jeton d’accès. Par exemple, une application a un jeton valide pendant 75 minutes supplémentaires. Un utilisateur a un état à haut risque en raison d’informations d’identification enfreintes. CAE bloque l’accès de l’application à la ressource, ce qui oblige l’utilisateur à se réauthentifier avant de continuer. Par conséquent, CAE atteint son objectif principal d’améliorer la sécurité des applications.
Comme l’accès à une ressource peut être révoqué en dehors de la durée de vie d’un jeton, l’ID Microsoft Entra peut émettre des jetons pendant une durée de vie plus longue. Pour les applications qui prennent en charge CAE, Microsoft Entra ID peut émettre des jetons valides pendant jusqu’à 28 heures. Bien que cette durée de vie de jeton plus longue n’améliore pas la résilience de l’application, elle réduit les coûts d’application, car l’application doit demander des jetons beaucoup moins fréquemment.
CAE améliore la résilience d’une application aux problèmes rencontrés par l’application lors de l’acquisition d’un jeton d’accès à partir de l’ID Microsoft Entra. Dans la mesure du possible, Microsoft Entra ID fournit un délai d'actualisation dans le cadre d'une réponse de jeton qui contient un jeton d'accès. Les bibliothèques d’authentification Microsoft (MSAL) utilisent cette heure d’actualisation pour actualiser de manière proactive le jeton. Le temps d’actualisation est une fraction (généralement la moitié) de l’heure d’expiration du jeton. Tant que MSAL peut actualiser le jeton d’accès avant le délai d’expiration du jeton, l’application est résiliente aux problèmes d’actualisation des jetons.
Par exemple, lorsqu’une application prend en charge CAE, Microsoft Entra ID émet un jeton qui autorise l’application à appeler Microsoft Graph valide pendant 24 heures. Microsoft Entra ID indique ensuite à MSAL d’actualiser de manière proactive le jeton après 12 heures. Si MSAL tente d’actualiser le jeton d’accès échoue, car le jeton d’accès d’origine est toujours valide pendant 12 heures supplémentaires, l’application est plus résiliente aux problèmes lorsqu’elle acquiert des jetons à partir de l’ID Microsoft Entra.
Implémenter l’évaluation de l’accès continu dans votre application
Comme décrit dans Comment utiliser des API activées pour l'évaluation de l'accès continu dans vos applications, votre application et l'API de ressource qu'elle utilise doivent être activées pour l'évaluation de l'accès continu (CAE). Toutefois, la préparation de votre code pour utiliser une ressource compatible CAE n’empêche pas d’utiliser des API qui ne sont pas activées par CAE. Les applications qui n’utilisent pas MSAL peuvent ajouter la prise en charge des défis liés aux revendications, aux demandes de revendications et aux fonctionnalités clientes pour utiliser CAE.
Étapes suivantes
- L’évaluation continue de l’accès pour les identités de charge de travail dans Microsoft Entra ID décrit les avantages de sécurité CAE pour une organisation.
- Appliquer des principes de confiance zéro à la gestion des sessions d’authentification avec l’évaluation continue de l’accès décrit comment sécuriser les sessions d’authentification sans affecter l’expérience utilisateur et la productivité et moderniser la gestion des sessions.
- Augmentez la résilience des applications d’authentification et d’autorisation que vous développez présente une série d’articles qui fournissent des conseils sur l’augmentation de la résilience dans les applications à l’aide de la plateforme d’identités Microsoft et de l’ID Microsoft Entra. Ils contiennent les meilleures pratiques relatives à l’utilisation de jetons et à l’appel de ressources.
- La création d’applications avec une approche Confiance Zéro de l’identité fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
- Intégrer des applications à l’ID Microsoft Entra et à la plateforme d’identités Microsoft permet aux développeurs de créer et d’intégrer des applications que les professionnels de l’informatique peuvent sécuriser dans l’entreprise.