Biztonságos alkalmazásmodell-keretrendszer
A Microsoft egy biztonságos, méretezhető keretrendszert vezet be a felhőszolgáltatói (CSP-) partnerek és a Vezérlőpult-szállítók (CPV) hitelesítéséhez a Microsoft Azure többtényezős hitelesítési (MFA) architektúrán keresztül. A CSP-partnerek és a Vezérlőpult szállítói az új modellre támaszkodva emelhetik a Partner Center API integrációs hívásainak biztonságát. Ez segít minden félnek, beleértve a Microsoftot, a CSP-partnereket és a vezérlőpult szállítóit, hogy megvédjék infrastruktúrájukat és ügyféladataikat a biztonsági kockázatoktól.
Fontos
Az Azure Active Directory (Azure AD) Graph 2023. június 30-ától elavult. A továbbiakban nem teszünk további befektetéseket az Azure AD Graphban. Az Azure AD Graph API-k nem rendelkeznek SLA-val vagy karbantartási kötelezettségvállalással a biztonsággal kapcsolatos javításokon túl. Az új funkciókba és funkciókba csak a Microsoft Graph-ban lehet befektetni.
Az Azure AD Graphot növekményes lépésekben kivonjuk, hogy elegendő ideje legyen az alkalmazások Microsoft Graph API-kba való migrálására. Egy későbbi időpontban, amikor bejelentjük, letiltjuk az új alkalmazások létrehozását az Azure AD Graph használatával.
További információ: Fontos: Az Azure AD Graph kivonása és a PowerShell-modul elavulása.
Hatály
Ez a cikk a következő partnerekre vonatkozik:
- A Vezérlőpult szállítói (CPV-k) független szoftvergyártók, akik a CSP-partnerek által a Partnerközpont API-kkal való integrációhoz használt alkalmazásokat fejlesztenek. A CPV nem olyan CSP-partner, amely közvetlen hozzáféréssel rendelkezik a partner irányítópultjához vagy API-jához. Ők azok a vállalatok, amelyek olyan alkalmazásokat fejlesztenek (általában webalkalmazásokat), amelyek lehetővé teszik a CSP-k számára a termékeik egységes piactéren keresztüli értékesítését.
- Közvetett CSP-szolgáltatók és közvetlen CSP-partnerek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálhatók a Partnerközpont API-ival.
Jegyzet
A CPV-nek való minősítéshez először CPV-ként kell bejelentkeznie a Partnerközpontba. Ha Ön egy meglévő CSP-partner, aki egyben CPV is, ez az előfeltétel Önre is vonatkozik.
Biztonságos alkalmazásfejlesztés
A Microsoft-termékekre vonatkozó megrendelések CSP-k nevében történő leadásának folyamata során a CPV-k piactéri alkalmazásai a Microsoft API-kkal együttműködve rendelnek, és erőforrásokat építenek ki az ügyfelek számára.
Ezen API-k némelyike a következők:
- A Partnerközpont API-k olyan kereskedelmi műveleteket implementálnak, mint a rendelések leadása és az előfizetések életciklusának kezelése.
- Microsoft Graph API-k, amelyek identitáskezelést implementálnak a CSP-bérlők és a CSP-ügyfél bérlői számára.
- Az Azure Resource Manager (ARM) API-k implementálják az Azure üzembehelyezési funkcióit.
A CSP-partnerek felhatalmazást kapnak arra, hogy delegált jogosultságokkal járjanak el az ügyfeleik nevében a Microsoft API-k hívása során. A delegált jogosultságok lehetővé teszik a CSP-partnerek számára a vásárlási, üzembe helyezési és támogatási forgatókönyvek elvégzését ügyfeleik számára.
A Marketplace-alkalmazások célja, hogy segítsenek a CSP-partnereknek az ügyfeleknek szánt megoldások listázásában. Ennek eléréséhez a Marketplace-alkalmazásoknak meg kell megszemélyesítenie a CSP-partnerek jogosultságait a Microsoft API-k meghívásához.
Mivel a CSP-partnerek jogosultságai magasak, és hozzáférést biztosítanak a partner összes ügyfele számára, fontos megérteni, hogyan kell ezeket az alkalmazásokat úgy tervezni, hogy ellenálljanak a biztonsági kihasználtság vektorainak. A bizalmas alkalmazások biztonsági támadásai az ügyféladatok sérüléséhez vezethetnek. Ezért az engedélyek megadását és a partneri jogosultságok megszemélyesítését úgy kell kialakítani, hogy a legkisebb jogosultság elvét kövessék. Az alábbi alapelvek és ajánlott eljárások biztosítják, hogy a Marketplace-alkalmazások fenntarthatók legyenek, és ellenálljanak a kompromisszumoknak.
Biztonsági alapelvek a hitelesítő adatok megszemélyesítéséhez
A Marketplace-alkalmazások nem tárolnak hitelesítő adatokat a CSP-partnerektől.
A CSP-partner felhasználói jelszavait nem szabad megosztani.
A CSP partnerbérlő webalkalmazásának kulcsait nem szabad megosztani a vezérlőpult szolgáltatóival.
A marketplace-alkalmazásoknak meg kell jelenítenie az alkalmazás identitását a partneradatokkal együtt, nem pedig csak partneri hitelesítő adatokat kell használniuk a CSP-partneri identitást megszemélyesítő hívások során.
A marketplace-alkalmazásokhoz való hozzáférésnek a minimális jogosultság elvén kell alapulnia, és egyértelműen meg kell fogalmaznia az engedélyeket.
A piactéri alkalmazások engedélyezését több hitelesítő adathoz kell átirányítani.
A hozzáféréshez együtt kell megadni az alkalmazás hitelesítő adatait és a partneri hitelesítő adatokat.
Fontos
Fontos, hogy egyetlen kompromisszumos pont se legyen.
A hozzáférést egy adott célközönségre vagy API-ra kell korlátozni.
A hozzáférésnek azonosítania kell a megszemélyesítés célját.
A marketplace-alkalmazások hozzáférési engedélyeinek időkorlátnak kell lenniük. A CSP-partnereknek képesnek kell lenniük a marketplace-alkalmazáshoz való hozzáférés megújítására vagy visszavonására.
A piactéri alkalmazás hitelesítő adatainak feltöréseinek kezeléséhez gyors vezérlési vagy szervizelési folyamatokat kell végrehajtani.
Minden felhasználói fióknak kéttényezős hitelesítést (2FA) kell használnia.
Az alkalmazásmodellnek barátságosnak kell lennie a további biztonsági rendelkezésekhez, például egy jobb biztonsági modellhez való feltételes hozzáféréshez.
Jegyzet
A közvetett CSP-szolgáltatóknak és a KÖZVETLEN CSP-partnereknek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálódnak a Partnerközpont API-kkal, a fenti alapelveket követve kell biztosítaniuk saját piactéri alkalmazásaikat.
Alkalmazás identitása és fogalmai
Több-bérlős alkalmazások
A több bérlős alkalmazás általában szolgáltatásként nyújtott szoftver (SaaS) alkalmazás. Az alkalmazás úgy konfigurálható, hogy bármely Microsoft Entra-bérlőtől fogadjon bejelentkezéseket, ha az alkalmazástípust több-bérlős konfigurálja az Azure-irányítópulton. Bármely Microsoft Entra-bérlő felhasználói bejelentkezhetnek az alkalmazásba, miután hozzájárultak a fiókjuk alkalmazáshoz való használatához.
Ha többet szeretne megtudni a több-bérlős alkalmazások létrehozásáról, olvassa el Bejelentkezés a Microsoft Entra bármely felhasználójához a több-bérlős alkalmazásminta használatával.
Hozzájárulási keretrendszer
Ahhoz, hogy egy felhasználó bejelentkezzen egy alkalmazásba a Microsoft Entra-azonosítóban, az alkalmazást a felhasználó bérlőjében kell képviselnie, ami lehetővé teszi a szervezet számára, hogy egyedi szabályzatokat alkalmazzon, amikor a felhasználók a bérlőjükből jelentkeznek be az alkalmazásba. Egyetlen bérlői alkalmazás esetében ez a regisztráció egyszerű: ez történik, amikor regisztrálja az alkalmazást az Azure-irányítópulton.
Több-bérlős alkalmazások esetén az alkalmazás kezdeti regisztrációja a fejlesztő által használt Microsoft Entra-bérlőben található. Amikor egy másik bérlő felhasználója először jelentkezik be az alkalmazásba, a Microsoft Entra-azonosító megkéri őket, hogy járuljanak hozzá az alkalmazás által kért engedélyekhez. Ha beleegyeznek, akkor létrejön egy szolgáltatásfelelősnek nevezett alkalmazás ábrázolása a felhasználó bérlőjében, és a bejelentkezési folyamat folytatódhat. A címtárban létrejön egy delegálás is, amely rögzíti a felhasználónak az alkalmazáshoz való hozzájárulását.
Jegyzet
A közvetett CSP-szolgáltatóknak és a KÖZVETLEN CSP-partnereknek, akik alkalmazásazonosítót + felhasználói hitelesítést használnak, és közvetlenül integrálják a Partnerközpont API-kkal, ugyanazzal a hozzájárulási keretrendszerrel kell hozzájárulást adniuk a piactéri alkalmazásukhoz.
A hozzájárulási élményt az alkalmazás által kért engedélyek befolyásolják. A Microsoft Entra ID kétféle engedélyt támogat: csak alkalmazási és delegált.
- Csak alkalmazásengedély közvetlenül az alkalmazás azonosítójához lesz megadva. Például engedélyt adhat egy alkalmazásnak a bérlői felhasználók listájának olvasására, függetlenül attól, hogy ki jelentkezett be az alkalmazásba.
- delegált engedély lehetővé teszi az alkalmazás számára, hogy bejelentkezett felhasználóként működjön a felhasználó által elvégezhető műveletek egy részhalmazában. Például delegált engedélyt adhat egy alkalmazásnak a bejelentkezett felhasználó naptárának olvasására.
Egyes engedélyekhez egy normál felhasználó járul hozzá, míg másokhoz bérlői rendszergazdai hozzájárulás szükséges. További információ a Microsoft Entra hozzájárulási keretrendszeréről: A Microsoft Entra alkalmazás-hozzájárulási élményének ismertetése.
- Engedélyek és hozzájárulások áttekintése a Microsoft identitásplatformon
- Felhasználói és rendszergazdai hozzájárulás ismertetése
Több-bérlős alkalmazás nyílt engedélyezési rendszer (OAuth) token áramlás
A több-bérlős alkalmazások nyílt engedélyezési (OAuth) folyamatában az alkalmazás több-bérlős alkalmazásként jelenik meg a CPV- vagy CSP-partner bérlőjében.
A Microsoft API-k (Partnerközpont API-k, Graph API-k stb.) eléréséhez a CSP-partnereknek be kell jelentkezniük az alkalmazásba, és engedélyezniük kell az alkalmazás számára az API-k meghívását a nevükben.
Jegyzet
A közvetett CSP-szolgáltatóknak és a közvetlen CSP-partnereknek, akik alkalmazásazonosítót és felhasználói hitelesítést használnak, és közvetlenül integrálódnak a Partnerközpont API-kkal, hozzájárulást kell adniuk a piactéri alkalmazásuknak ahhoz, hogy ugyanazt a hozzájárulási keretrendszert használják.
Az alkalmazás hozzájárulással és OAuth-támogatásokkal fér hozzá a partner erőforrásaihoz, például a Graph és a Partnerközpont API-khoz.
Több bérlős alkalmazás létrehozása
A több-bérlős alkalmazásoknak meg kell felelnie a következő követelményeknek:
- Alkalmazásazonosítóval és titkos kulccsal rendelkező webalkalmazásnak kell lennie.
- Az implicit hitelesítési módnak ki kell legyen kapcsolva.
Emellett javasoljuk, hogy a következő ajánlott eljárásokat alkalmazza:
- Használjon tanúsítványt a titkos kulcshoz.
- Engedélyezze a feltételes hozzáférést az IP-tartományokra vonatkozó korlátozások alkalmazásához. Ez további funkciók engedélyezését igényelheti a Microsoft Entra bérlői környezetben.
- Hozzáférési jogkivonat élettartam-szabályzatainak alkalmazása az alkalmazáshoz.
Token beszerzésekor meg kell adni az alkalmazásazonosítót és a titkos kulcsot. A titkos kulcs lehet tanúsítvány.
Az alkalmazás konfigurálható több API meghívására, beleértve az Azure Resource Manager API-kat is. A Partnerközpont API-khoz minimálisan szükséges engedélyek a következők:
- Microsoft Entra ID delegált engedélyek: Hozzáférés a címtárhoz bejelentkezett felhasználóként
- Partnerközpont API-k delegált engedélyei: Access
Az alkalmazás rögzíti a partner hozzájárulását
A több-bérlős alkalmazásoknak meg kell szerezniük a partnerek hozzájárulását, és ezt kell használniuk, hogy további hívásokat kezdeményezhessenek a Partnerközpont API-k felé. A hozzájárulás oAuth-hitelesítési kódfolyamaton keresztül szerezhető be.
A hozzájárulás beszerzéséhez a CPV-knek vagy a CSP-partnereknek létre kell készítenie egy olyan előkészítési webhelyet, amely elfogadhat egy hitelesítési kód megadását a Microsoft Entra ID-tól.
További információ: Microsoft Identity Platform és OAuth 2.0 engedélyezési kódfolyamat.
Az alábbiakban egy több-bérlős alkalmazás lépéseit követve rögzítheti a CSP-partnerek beleegyezését, valamint egy újrafelhasználható jogkivonatot a Partnerközpont API-k felé irányuló hívások indításához.
A partneri hozzájárulás beszerzéséhez kövesse az alábbi lépéseket.
- Készítsen egy partneri beléptető webalkalmazást, amely elhelyezhet egy hozzájárulási hivatkozást a partner számára, amelyre kattintva elfogadhatja a többfelhasználós alkalmazáshoz való hozzájárulást.
- A CSP-partner a hozzájárulási hivatkozásra kattint. Például
https://login.microsoftonline.com/common/oauth2/authorize?&client_id=<marketplaceappid>&response_ty
- A Microsoft Entra bejelentkezési oldala ismerteti azokat az engedélyeket, amelyeket a felhasználó nevében kap az alkalmazás. A CSP-partner dönthet úgy, hogy rendszergazdai ügynök vagy értékesítési ügynök hitelesítő adatait használja a bejelentkezéshez és a hozzájárulás jóváhagyásához. Az alkalmazás a bejelentkezéshez használt felhasználói szerepkör alapján kap engedélyeket.
- A hozzájárulás megadása után a Microsoft Entra ID létrehozza a CPV több-bérlős alkalmazásának szolgáltatás-példányát a CSP-partner bérlőjében.
- Az alkalmazás OAuth-támogatást kap, hogy a felhasználó nevében járjon el. Az engedélyek lehetővé teszik, hogy a több-bérlős alkalmazás a Partnerközpont API-kat használja a partner nevében.
- Ezen a ponton a Microsoft Entra bejelentkezési lapja átirányítja a partnert az előkészítési webalkalmazásba. A webalkalmazás egy engedélyezési kódot kap a Microsoft Entra-azonosítótól. A partner onboarding webalkalmazásnak az engedélyezési kódot az alkalmazásazonosítóval és a titkos kulccsal együtt kell használnia, hogy hívja a Microsoft Entra ID Tokens API-t a frissítési token megszerzéséhez.
- A frissítési jogkivonat biztonságos tárolása. A frissítési jogkivonat a partner nevében a Partnerközpont API-khoz való hozzáféréshez használt partneri hitelesítő adatok része. A frissítési jogkivonat beszerzése után titkosítsa és tárolja egy titkos kulcstárolóban, például a Azure Key Vault.
A tokenkérés hívásának folyamata
A CPV-knek vagy a CSP-partnerek alkalmazásának hozzáférési jogkivonatot kell beszerezniük, mielőtt hívásokat kezdeményeznek a Partnerközpont API-k felé. Ezek az API-k az erőforrás URL-címében https://api.partnercenter.microsoft.com
jelennek meg.
A CPV-alkalmazásoknak meg kell határozniuk, hogy melyik partnerfiókot kell megszemélyesíteniük a Partnerközpont API-k termék vagy összevont bejelentkezés alapján történő meghívásához. Az alkalmazás lekéri a partner titkosított frissítési tokenjét a titkos kulcstárolóból. A frissítési jogkivonatot használat előtt vissza kell fejteni.
Azon CSP-partnerek esetében, ahol csak egy bérlő ad hozzájárulást, a partnerfiók a CSP-partner bérlőjére hivatkozik.
A frissítési jogkivonat egy több célközönségre érvényes jogkivonat. Ez azt jelenti, hogy a frissítési jogkivonat használható egy jogkivonat lekérésére több célközönség számára a megadott hozzájárulás alapján. Ha például partneri hozzájárulást kapnak a Partnerközpont API-k és a Microsoft Graph API-k számára, a frissítési jogkivonat használatával mindkét API-hoz hozzáférési jogkivonatot kérhet. A hozzáférési jogkivonat rendelkezik a "nevében" megadással, és lehetővé teszi, hogy egy piactéri alkalmazás megszemélyesítse azt a partnert, aki hozzájárult az API-k meghívásához.
A hozzáférési jogkivonat egyszerre egyetlen célközönség számára is beszerezhető. Ha egy alkalmazásnak több API-hoz kell hozzáférnie, több hozzáférési jogkivonatot kell kérnie a célközönség számára. Hozzáférési token kéréséhez az alkalmazásnak szükséges meghívnia a Microsoft Entra ID Tokens API. Másik lehetőségként szintén használhatja a Microsoft Entra SDK AuthenticationContext.AcquireTokenAsync-t, és átadhatja a következő információkat:
- Erőforrás URL-címe, amely a meghívandó alkalmazás végponti URL-címe. Például a Microsoft Partner Center API erőforrás-URL-címe
https://api.partnercenter.microsoft.com
. - A webalkalmazás alkalmazásazonosítóját és titkos kulcsát tartalmazó alkalmazás hitelesítő adatai.
- A frissítési token
Az eredményül kapott hozzáférési jogkivonat lehetővé teszi, hogy az alkalmazás hívásokat kezdeményezhessen az erőforrásban említett API-khoz. Az alkalmazás nem kérhet hozzáférési jogkivonatot olyan API-khoz, amelyek nem kaptak engedélyt a hozzájárulási kérelem részeként. A UserPrincipalName (UPN) attribútum értéke a felhasználói fiókok Microsoft Entra-felhasználóneve.
További szempontok
Feltételes hozzáférés
A felhőbeli erőforrások kezelésekor a felhőbiztonság egyik kulcsfontosságú eleme az identitás és a hozzáférés. A mobil első, felhőbeli világban a felhasználók bárhonnan hozzáférhetnek a szervezet erőforrásaihoz különböző eszközökkel és alkalmazásokkal. Már nem elég arra koncentrálni, hogy ki férhet hozzá egy erőforráshoz. A biztonság és a termelékenység közötti egyensúly elsajátításához figyelembe kell vennie az erőforrások elérését is. A Microsoft Entra feltételes hozzáféréssel kezelheti ezt a követelményt. Feltételes hozzáféréssel automatikus hozzáférés-vezérlési döntéseket hozhat a felhőalkalmazások feltételeken alapuló elérésére vonatkozóan.
További információ: Mi a feltételes hozzáférés a Microsoft Entra ID-ban?
IP-tartományalapú korlátozások
Korlátozhatja, hogy a jogkivonatok csak adott IP-címtartományra legyenek kibocsátva. Ez a funkció segít korlátozni a támadás felületét egy adott hálózatra.
Többtényezős hitelesítés
A többtényezős hitelesítés kényszerítése segít korlátozni a hitelesítő adatokkal kapcsolatos biztonsági helyzeteket azáltal, hogy a hitelesítő adatok ellenőrzését két vagy több űrlapra kényszeríti. Ez a funkció lehetővé teszi, hogy a Microsoft Entra ID biztonságos másodlagos csatornákon, például mobileszközökön vagy e-mailben ellenőrizze a hívó identitását a jogkivonatok kiadása előtt.
További információ: Hogyan működik: Azure Multi.