Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Entra-Sicherungsauthentifizierungssystem bietet Resilienz für Anwendungen, die unterstützte Protokolle und Flows verwenden. Weitere Informationen zum Sicherungsauthentifizierungssystem finden Sie im Artikel Microsoft Entra ID-Sicherungsauthentifizierungssystem.
Anwendungsanforderungen für den Schutz
Anwendungen müssen mit einem unterstützten Hostnamen für die angegebene Azure-Umgebung kommunizieren und Protokolle verwenden, die aktuell vom Sicherungsauthentifizierungssystem unterstützt werden. Durch die Verwendung von Authentifizierungsbibliotheken wie der Microsoft Authentication Library (MSAL) wird sichergestellt, dass Sie Authentifizierungsprotokolle verwenden, die vom Sicherungsauthentifizierungssystem unterstützt werden.
Vom Sicherungsauthentifizierungssystem unterstützte Hostnamen
| Azure-Umgebung | Unterstützter Hostname |
|---|---|
| Azure Kommerziell | login.microsoftonline.com |
| Azure für Behörden | login.microsoftonline.us |
Vom Sicherungsauthentifizierungssystem unterstützte Authentifizierungsprotokolle
OAuth 2.0 und OpenID Connect (OIDC)
Allgemeiner Leitfaden
Alle Anwendungen, die das Open Authorization (OAuth) 2.0- oder OIDC-Protokoll verwenden, sollten die folgenden Methoden einhalten, um Resilienz zu gewährleisten:
- Ihre Anwendung verwendet MSAL oder hält sich strikt an die OpenID Connect & OAuth2-Spezifikationen. Microsoft empfiehlt die Verwendung von MSALs, die für Ihre Plattform und Ihren Anwendungsfall geeignet sind. Die Verwendung dieser Bibliotheken stellt sicher, dass die Verwendung von APIs und Aufrufmustern vom Sicherungsauthentifizierungssystem unterstützt werden kann.
- Ihre Anwendung verwendet beim Abrufen von Zugriffstoken feste Bereiche anstelle dynamischer Zustimmung.
- Ihre Anwendung verwendet nicht den Resource Owner Password Credentials Grant (ROPC) (Gewährung der Kennwortanmeldeinformationen des Ressourcenbesitzers). Dieser Gewährungstyp wird vom Sicherungsauthentifizierungssystem für keinen Clienttyp unterstützt. Microsoft empfiehlt dringend, zur Verbesserung von Sicherheit und Resilienz zu alternativen Gewährungsflows zu wechseln.
- Ihre Anwendung ist nicht vom UserInfo-Endpunkt abhängig. Der Wechsel zur Verwendung eines ID-Tokens reduziert stattdessen die Wartezeit, indem bis zu zwei Netzwerkanforderungen eliminiert und die vorhandene Unterstützung für die Resilienz von ID-Token im Sicherungsauthentifizierungssystem verwendet wird.
Native Anwendungen
Native Anwendungen sind öffentliche Clientanwendungen, die direkt auf Desktop- oder mobilen Geräten und nicht in einem Webbrowser ausgeführt werden. Sie sind als öffentliche Clients in ihrer Anwendungsregistrierung im Microsoft Entra Admin Center- oder Azure-Portal registriert.
Native Anwendungen werden durch das Sicherungsauthentifizierungssystem geschützt, wenn alle folgenden Punkte zutreffen:
- Ihre Anwendung speichert den Tokencache mindestens drei Tage lang. Anwendungen sollten den Speicherort des Tokencache des Geräts oder die Tokencacheserialisierungs-API verwenden, um den Tokencache auch dann zu speichern, wenn der Benutzer die Anwendung schließt.
- Ihre Anwendung verwendet die AcquireTokenSilent-API, der MSAL, um Token mithilfe zwischengespeicherter Aktualisierungstoken abzurufen. Die Verwendung der AcquireTokenInteractive-API kann möglicherweise kein Token vom Sicherungsauthentifizierungssystem abrufen, wenn eine Benutzerinteraktion erforderlich ist.
Das Sicherungsauthentifizierungssystem unterstützt derzeit die Geräteautorisierungsgewährung nicht.
Einzelseiten-Webanwendungen
Einzelseiten-Webanwendungen (Single-Page Applications, SPAs) werden im Sicherungsauthentifizierungssystem teilweise unterstützt. SPAs, die den impliziten Gewährungsflow verwenden und nur OpenID Connect-ID-Token anfordern, sind geschützt. Nur Apps, die entweder MSAL.js 1.x verwenden oder den impliziten Gewährungsflow direkt implementieren, können diesen Schutz verwenden, da MSAL.js 2.x den impliziten Flow nicht unterstützt.
Das Sicherungsauthentifizierungssystem unterstützt derzeit nicht den Autorisierungscodefluss mit Proof Key for Code Exchange-Erweiterung (PKCE).
Webanwendungen und -dienste
Das Sicherungsauthentifizierungssystem unterstützt derzeit keine Webanwendungen und Dienste, die als vertrauliche Clients konfiguriert sind. Der Schutz für den Gewährungsflow für den Autorisierungscode und die nachfolgende Tokenerfassung mithilfe von Aktualisierungstoken und Clientgeheimnissen oder Zertifikatanmeldeinformationen wird derzeit nicht unterstützt. Der OAuth 2.0-Im-Auftrag-von-Flow wird derzeit nicht unterstützt.
SAML 2.0 Einmaliges Anmelden (Single Sign-On, SSO)
Das Sicherungsauthentifizierungssystem unterstützt teilweise das SAML-Protokoll (Security Assertion Markup Language) 2.0 für einmaliges Anmelden. Flows, die den von SAML 2.0 Identity Provider (IdP) initiierten Flow verwenden, werden durch das Sicherungsauthentifizierungssystem geschützt. Anwendungen, die den vom Dienstanbieter (Service Provider, SP) initiierten Flow verwenden, sind derzeit nicht durch das Sicherungsauthentifizierungssystem geschützt.
Vom Sicherungsauthentifizierungssystem unterstützte Arbeitsauslastungsidentitätsauthentifizierungsprotokolle
OAuth 2.0
Verwaltete Identität
Anwendungen, die verwaltete Identitäten zum Abrufen von Microsoft Entra-Zugriffstoken verwenden, sind geschützt. Microsoft empfiehlt die Verwendung von vom Benutzer zugewiesenen verwalteten Identitäten in den meisten Szenarien. Dieser Schutz gilt sowohl für vom Benutzer als auch für vom System zugewiesene verwaltete Identitäten.
Dienstprinzipal
Das Sicherungsauthentifizierungssystem unterstützt derzeit keine auf Dienstprinzipalen basierende Workload-Arbeitsauslastungsidentitätsauthentifizierung mithilfe des Gewährungsflows für Clientanmeldeinformationen. Microsoft empfiehlt die Verwendung der für Ihre Plattform geeigneten MSAL-Version, damit Ihre Anwendung durch das Sicherungsauthentifizierungssystem geschützt wird, sobald der Schutz verfügbar wird.