Udostępnij przez

Architektura zabezpieczeń uwierzytelniania w aparacie testowym (wersja zapoznawcza)

Notatka

Funkcje w wersji zapoznawczej nie są przeznaczone do użytku w środowiskach produkcyjnych i mogą mieć ograniczoną funkcjonalność. Te funkcje są udostępniane przed oficjalnym wydaniem, dzięki czemu klienci mogą szybciej uzyskać do nich dostęp i przekazać opinie na ich temat.

Ten dokument techniczny przedstawia architekturę zabezpieczeń mechanizmów uwierzytelniania w Power Apps Test Engine. Aby uzyskać wskazówki dotyczące wybierania i konfigurowania metod uwierzytelniania skoncentrowane na użytkowniku, zobacz Przewodnik uwierzytelniania.

Omówienie metod uwierzytelniania

Test Engine obsługuje dwie podstawowe metody uwierzytelniania:

  • Uwierzytelnianie stanu pamięci — na podstawie trwałych plików cookie przeglądarki i stanu pamięci
  • Uwierzytelnianie oparte na certyfikatach — oparte na certyfikatach X.509 i Dataverse integracji

Obie metody są przeznaczone do obsługi nowoczesnych wymagań dotyczących zabezpieczeń, w tym uwierzytelniania wieloskładnikowego (MFA) i zasad dostępu warunkowego.

Architektura uwierzytelniania stanu pamięci masowej

Metoda uwierzytelniania stanu pamięci używa zarządzania kontekstem przeglądarki Playwright do bezpiecznego przechowywania i ponownego używania tokenów uwierzytelniania.

Omówienie przepływu uwierzytelniania w module Test Engine

Implementacja ochrony danych systemu Windows

Implementacja lokalnego stanu magazynu używa interfejsu API ochrony danych systemu Windows (DPAPI) do bezpiecznego przechowywania:

Omówienie uwierzytelniania przy użyciu lokalnego interfejsu API ochrony danych systemu Windows (DPAPI)

Zagadnienia dotyczące zabezpieczeń

Architektura zabezpieczeń stanu magazynu zapewnia:

  • Ochrona tokenów uwierzytelniania magazynowanych przy użyciu szyfrowania DPAPI
  • Microsoft Entra Obsługa uwierzytelniania wieloskładnikowego i zasad dostępu warunkowego
  • Izolacja piaskownicy za pomocą kontekstów przeglądarki Playwright
  • Zgodność z Microsoft Entra zasadami okresu istnienia sesji

Architektura uwierzytelniania opartego na certyfikatach

Uwierzytelnianie oparte na certyfikatach integruje się z certyfikatami X.509 i korzysta z Dataverse nich w celu zwiększenia bezpieczeństwa i szyfrowania informacji magazynowanych.

Omówienie uwierzytelniania przy użyciu Dataverse

Dataverse Implementacja pamięci masowej

Implementacja Dataverse wykorzystuje niestandardowe repozytorium XML do bezpiecznego przechowywania kluczy ochrony:

Omówienie Dataverse przechowywania wartości

Technologia szyfrowania

W poniższych sekcjach opisano algorytmy szyfrowania i podejścia do zarządzania kluczami używane przez aparat testowy do ochrony danych uwierzytelniania w spoczynku i podczas przesyłania.

AES-256-CBC + HMACSHA256

Domyślnie wartości danych są szyfrowane za pomocą kombinacji AES-256-CBC i HMACSHA256:

Omówienie szyfrowania Dataverse za pomocą interfejsu API ochrony danych ASP.Net

Takie podejście zapewnia:

  1. Poufność dzięki szyfrowaniu AES-256
  2. Integralność dzięki weryfikacji HMAC
  3. Uwierzytelnianie źródła danych

Integracja z interfejsem API ochrony danych

Silnik testowy integruje się z ASP.NET interfejsem API ochrony danych Core w celu zarządzania kluczami i szyfrowania:

Omówienie Dataverse użycia interfejsu API ochrony danych

Implementacja niestandardowego repozytorium XML

Test Engine implementuje niestandardowe IXmlRepository do Dataverse integracji:

Omówienie niestandardowego dostawcy XML interfejsu API ochrony danych

Dostęp warunkowy i zgodność z uwierzytelnianiem wieloskładnikowym

Architektura uwierzytelniania aparatu testowego została zaprojektowana tak, aby bezproblemowo współpracować z Microsoft Entra zasadami dostępu warunkowego:

Omówienie zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego

Zaawansowane zagadnienia dotyczące zabezpieczeń

W poniższych sekcjach omówiono inne funkcje zabezpieczeń i integracje, które zwiększają ochronę danych uwierzytelniania i obsługują bezpieczne operacje w środowiskach przedsiębiorstwa.

Dataverse Integracja modelu zabezpieczeń

Test Engine korzysta Dataverse z solidnego modelu zabezpieczeń:

  • Zabezpieczenia na poziomie rekordu — kontroluje dostęp do przechowywanych danych uwierzytelniających
  • Model udostępniania — umożliwia bezpieczne udostępnianie kontekstów uwierzytelniania testowego
  • Inspekcja — śledzi dostęp do poufnych danych uwierzytelniających
  • Zabezpieczenia na poziomie kolumny — zapewnia szczegółową ochronę wrażliwych pól

Zarządzanie tokenami interfejsu wiersza polecenia platformy Azure

Na potrzeby Dataverse uwierzytelniania Test Engine bezpiecznie uzyskuje tokeny dostępu:

Omówienie uwierzytelniania opartego na wierszu polecenia platformy Azure (CLI)

Sprawdzone metody zabezpieczeń

Podczas implementowania uwierzytelniania aparatu testowego należy wziąć pod uwagę następujące najlepsze rozwiązania w zakresie zabezpieczeń:

  • Dostęp z najmniejszymi uprawnieniami — udziel minimalnych niezbędnych uprawnień do testowania kont
  • Regularna rotacja certyfikatów — okresowe aktualizowanie certyfikatów
  • Bezpieczne zmienne ciągłej integracji/ciągłego wdrażania — ochrona zmiennych potoku zawierających poufne dane
  • Inspekcja dostępu — monitorowanie dostępu do zasobów uwierzytelniania
  • Izolacja środowiska — używanie oddzielnych środowisk do testowania

Przyszłe ulepszenia zabezpieczeń

Potencjalne przyszłe ulepszenia architektury zabezpieczeń uwierzytelniania obejmują:

  • Integracja z usługą Azure Key Vault w celu rozszerzonego zarządzania wpisami tajnymi
  • Obsługa tożsamości zarządzanych w środowiskach platformy Azure
  • Ulepszone możliwości rejestrowania i monitorowania zabezpieczeń
  • Więcej dostawców ochrony dla scenariuszy międzyplatformowych

Ochrona danych w ASP.NET rdzeniu
Interfejs API ochrony danych systemu Windows
Microsoft Entra uwierzytelnianie
Dataverse Model bezpieczeństwa
Uwierzytelnianie oparte na certyfikatach X.509

  • Last updated on