Odnajdywanie dostępu warunkowego

  • 3 min

Funkcja dostępu warunkowego w usłudze Microsoft Entra ID oferuje jeden z kilku sposobów, za pomocą których można zabezpieczyć aplikację i chronić usługę. Dostęp warunkowy umożliwia deweloperom i klientom korporacyjnym ochronę usług na wiele sposobów, w tym:

  • Uwierzytelnianie wieloskładnikowe
  • Zezwalanie tylko zarejestrowanym urządzeniom usługi Intune na dostęp do określonych usług
  • Ograniczanie lokalizacji użytkowników i zakresów adresów IP

Jak dostęp warunkowy wpływa na aplikację?

W większości typowych przypadków dostęp warunkowy nie zmienia zachowania aplikacji ani nie wymaga żadnych zmian od dewelopera. Tylko w niektórych przypadkach, gdy aplikacja pośrednio lub dyskretnie żąda tokenu dla usługi, aplikacja wymaga zmian kodu, aby sprostać wyzwaniom związanym z dostępem warunkowym. Może to być tak proste, jak wykonywanie interakcyjnego żądania logowania.

W szczególności następujące scenariusze wymagają kodu do obsługi wyzwań związanych z dostępem warunkowym:

  • Aplikacje wykonujące przepływ w imieniu
  • Aplikacje, które uzyskują dostęp do wielu usług/zasobów
  • Aplikacje jednostronicowe korzystające z MSAL.js
  • Aplikacje internetowe wywołujące zasób

Zasady dostępu warunkowego można zastosować do aplikacji oraz do internetowego interfejsu API, z którego korzysta aplikacja. W zależności od scenariusza klient przedsiębiorstwa może w dowolnym momencie zastosować i usunąć zasady dostępu warunkowego. Aby aplikacja nadal działała po zastosowaniu nowych zasad, zaimplementuj obsługę wyzwań.

Przykłady dostępu warunkowego

Niektóre scenariusze wymagają zmian kodu w celu obsługi dostępu warunkowego, podczas gdy inne działają tak, jak to jest. Poniżej przedstawiono kilka scenariuszy korzystających z dostępu warunkowego do uwierzytelniania wieloskładnikowego, które zapewnia pewien wgląd w różnicę.

  • Tworzysz jednoustową aplikację dla systemu iOS i stosujesz politykę dostępu warunkowego. Aplikacja loguje użytkownika i nie żąda dostępu do interfejsu API. Gdy użytkownik się zaloguje, zasady są wywoływane automatycznie, a użytkownik musi przeprowadzić uwierzytelnianie wieloskładnikowe.

  • Tworzysz aplikację, która używa usługi warstwy środkowej do uzyskiwania dostępu do podrzędnego interfejsu API. Klient przedsiębiorstwa w firmie korzystającej z tej aplikacji stosuje zasady do interfejsu API podrzędnego. Gdy użytkownik końcowy się zaloguje, aplikacja żąda dostępu do warstwy środkowej i wysyła token. Warstwa środkowa wykonuje przepływ w imieniu użytkownika, aby zażądać dostępu do interfejsu API znajdującego się niżej w hierarchii. W tym momencie roszczenie "zadanie" jest przedstawiane do warstwy pośredniej. Warstwa środkowa wysyła wyzwanie z powrotem do aplikacji, która musi być zgodna z zasadami dostępu warunkowego.