Az - Tokens & Public Applications

Basic Information

Entra ID ni jukwaa la usimamizi wa utambulisho na ufikiaji (IAM) la Microsoft linalotegemea wingu, likihudumia kama mfumo wa msingi wa uthibitishaji naidhinisha huduma kama Microsoft 365 na Azure Resource Manager. Azure AD inatekeleza mfumo wa idhini wa OAuth 2.0 na itifaki ya uthibitishaji ya OpenID Connect (OIDC) ili kusimamia ufikiaji wa rasilimali.

OAuth

Washiriki Wakuu katika OAuth 2.0:

1. Seva ya Rasilimali (RS): Inalinda rasilimali zinazomilikiwa na mmiliki wa rasilimali.

2. Mmiliki wa Rasilimali (RO): Kawaida ni mtumiaji wa mwisho ambaye anamiliki rasilimali zilizolindwa.

3. Programu ya Mteja (CA): Programu inayotafuta ufikiaji wa rasilimali kwa niaba ya mmiliki wa rasilimali.

4. Seva ya Uidhinishaji (AS): Inatoa alama za ufikiaji kwa programu za mteja baada ya kuthibitisha na kuidhinisha.

Mikondo na Idhini:

• Mikondo: Ruhusa za kina zilizofafanuliwa kwenye seva ya rasilimali ambazo zinaelezea viwango vya ufikiaji.

• Idhini: Mchakato ambao mmiliki wa rasilimali anatoa ruhusa kwa programu ya mteja kufikia rasilimali zenye mikondo maalum.

Ushirikiano wa Microsoft 365:

• Microsoft 365 inatumia Azure AD kwa IAM na inajumuisha programu nyingi za "first-party" za OAuth.

• Programu hizi zimeunganishwa kwa kina na mara nyingi zina uhusiano wa huduma zinazohusiana.

• Ili kurahisisha uzoefu wa mtumiaji na kudumisha kazi, Microsoft inatoa "idhini iliyodhaniwa" au "idhini ya awali" kwa programu hizi za first-party.

• Idhini Iliyodhaniwa: Programu fulani zinapewa ufikiaji wa mikondo maalum bila idhini wazi ya mtumiaji au msimamizi.

• Mikondo hii ya awali kwa kawaida inafichwa kutoka kwa watumiaji na wasimamizi, na kuifanya iwe na mwonekano mdogo katika interfaces za usimamizi wa kawaida.

Aina za Programu za Mteja:

1. Wateja wa Siri:

• Wana akreditif zao wenyewe (mfano, nywila au vyeti).

• Wanaweza kujithibitisha kwa usalama kwa seva ya uidhinishaji.

1. Wateja wa Umma:

• Hawana akreditif za kipekee.

• Hawawezi kujithibitisha kwa usalama kwa seva ya uidhinishaji.

• Athari za Usalama: Mshambuliaji anaweza kujifanya kuwa programu ya mteja wa umma anapohitaji alama, kwani hakuna mekanizma ya seva ya uidhinishaji kuthibitisha uhalali wa programu.

Authentication Tokens

Kuna aina tatu za alama zinazotumika katika OIDC:

• Alama za Ufikiaji: Mteja anawasilisha alama hii kwa seva ya rasilimali ili kufikia rasilimali. Inaweza kutumika tu kwa mchanganyiko maalum wa mtumiaji, mteja, na rasilimali na haiwezi kufutwa hadi ipite muda - yaani, saa 1 kwa kawaida.

• Alama za ID: Mteja anapata alama hii kutoka kwa seva ya uidhinishaji. Inajumuisha taarifa za msingi kuhusu mtumiaji. Inafungwa kwa mchanganyiko maalum wa mtumiaji na mteja.

• Alama za Kurejesha: Zinapatikana kwa mteja pamoja na alama ya ufikiaji. Zinatumika kupata alama mpya za ufikiaji na ID. Inafungwa kwa mchanganyiko maalum wa mtumiaji na mteja na inaweza kufutwa. Muda wa kawaida wa kuisha ni siku 90 kwa alama za kurejesha zisizofanya kazi na hakuna muda wa kuisha kwa alama za kazi (kutoka kwa alama ya kurejesha inawezekana kupata alama mpya za kurejesha).

• Alama ya kurejesha inapaswa kuunganishwa na aud, kwa baadhi ya mikondo, na kwa tenant na inapaswa kuwa na uwezo wa kuzalisha alama za ufikiaji kwa ajili ya aud hiyo, mikondo (na hakuna zaidi) na tenant. Hata hivyo, hii si hali kwa alama za programu za FOCI.

• Alama ya kurejesha imefichwa na ni Microsoft pekee inayoweza kuifungua.

• Kupata alama mpya ya kurejesha hakufuti alama ya kurejesha ya awali.

Access Tokens "aud"

Uwanja ulioonyeshwa katika uwanja wa "aud" ni seva ya rasilimali (programu) inayotumika kufanya kuingia.

Amri az account get-access-token --resource-type [...] inasaidia aina zifuatazo na kila moja itongeza "aud" maalum katika alama ya ufikiaji inayotokana:

Access Tokens Scopes "scp"

Mikondo ya alama ya ufikiaji imehifadhiwa ndani ya ufunguo wa scp ndani ya alama ya JWT ya ufikiaji. Mikondo hii inaelezea ni nini alama ya ufikiaji ina ufikiaji.

Ikiwa JWT inaruhusiwa kuwasiliana na API maalum lakini haina mikondo ya kufanya kitendo kilichohitajika, haitakuwa na uwezo wa kufanya kitendo hicho na JWT hiyo.

Get refresh & access token example

# Code example from https://github.com/secureworks/family-of-client-ids-research
import msal
import requests
import jwt
from pprint import pprint
from typing import Any, Dict, List


# LOGIN VIA CODE FLOW AUTHENTICATION
azure_cli_client = msal.PublicClientApplication(
"04b07795-8ddb-461a-bbee-02f9e1bf7b46" # ID for Azure CLI client
)
device_flow = azure_cli_client.initiate_device_flow(
scopes=["https://graph.microsoft.com/.default"]
)
print(device_flow["message"])

# Perform device code flow authentication

azure_cli_bearer_tokens_for_graph_api = azure_cli_client.acquire_token_by_device_flow(
device_flow
)
pprint(azure_cli_bearer_tokens_for_graph_api)



# DECODE JWT
def decode_jwt(base64_blob: str) -> Dict[str, Any]:
"""Decodes base64 encoded JWT blob"""
return jwt.decode(
base64_blob, options={"verify_signature": False, "verify_aud": False}
)
decoded_access_token = decode_jwt(
azure_cli_bearer_tokens_for_graph_api.get("access_token")
)
pprint(decoded_access_token)


# GET NEW ACCESS TOKEN AND REFRESH TOKEN
new_azure_cli_bearer_tokens_for_graph_api = (
# Same client as original authorization
azure_cli_client.acquire_token_by_refresh_token(
azure_cli_bearer_tokens_for_graph_api.get("refresh_token"),
# Same scopes as original authorization
scopes=["https://graph.microsoft.com/.default"],
)
)
pprint(new_azure_cli_bearer_tokens_for_graph_api)

FOCI Tokens Privilege Escalation

Kabla ilisemwa kwamba refresh tokens zinapaswa kuunganishwa na scopes ambazo zilitengenezwa nazo, kwa application na tenant ambazo zilitengenezwa kwao. Ikiwa mojawapo ya mipaka hii itavunjwa, inawezekana kupandisha mamlaka kwani itakuwa inawezekana kutengeneza access tokens kwa rasilimali nyingine na tenants ambazo mtumiaji anaweza kufikia na kwa scopes zaidi kuliko ilivyokusudiwa awali.

Zaidi ya hayo, hii inawezekana na refresh tokens zote katika Microsoft identity platform (Microsoft Entra accounts, Microsoft personal accounts, na akaunti za kijamii kama Facebook na Google) kwa sababu kama docs zinavyosema: "Refresh tokens zimefungwa kwa mchanganyiko wa mtumiaji na mteja, lakini hazifungwi kwa rasilimali au tenant. Mteja anaweza kutumia refresh token kupata access tokens katika mchanganyiko wowote wa rasilimali na tenant ambapo ana ruhusa kufanya hivyo. Refresh tokens zimefichwa na ni Microsoft identity platform pekee inayoweza kuzisoma."

Zaidi ya hayo, kumbuka kwamba FOCI applications ni public applications, hivyo siri yoyote haitahitajika kuthibitisha kwenye seva.

Kisha wateja wa FOCI waliotambulika waliripotiwa katika original research wanaweza kupatikana hapa.

Get different scope

Kufuata mfano wa awali wa msimbo, katika msimbo huu inahitajika token mpya kwa scope tofauti:

# Code from https://github.com/secureworks/family-of-client-ids-research
azure_cli_bearer_tokens_for_outlook_api = (
# Same client as original authorization
azure_cli_client.acquire_token_by_refresh_token(
new_azure_cli_bearer_tokens_for_graph_api.get(
"refresh_token"
),
# But different scopes than original authorization
scopes=[
"https://outlook.office.com/.default"
],
)
)
pprint(azure_cli_bearer_tokens_for_outlook_api)

Pata wateja na mipaka tofauti

# Code from https://github.com/secureworks/family-of-client-ids-research
microsoft_office_client = msal.PublicClientApplication("d3590ed6-52b3-4102-aeff-aad2292ab01c")
microsoft_office_bearer_tokens_for_graph_api = (
# This is a different client application than we used in the previous examples
microsoft_office_client.acquire_token_by_refresh_token(
# But we can use the refresh token issued to our original client application
azure_cli_bearer_tokens_for_outlook_api.get("refresh_token"),
# And request different scopes too
scopes=["https://graph.microsoft.com/.default"],
)
)
# How is this possible?
pprint(microsoft_office_bearer_tokens_for_graph_api)

References

• https://github.com/secureworks/family-of-client-ids-research