Az - Tokens & Public Applications

Temel Bilgiler

Entra ID, Microsoft'un bulut tabanlı kimlik ve erişim yönetimi (IAM) platformudur ve Microsoft 365 ve Azure Resource Manager gibi hizmetler için temel kimlik doğrulama ve yetkilendirme sistemi olarak hizmet vermektedir. Azure AD, kaynaklara erişimi yönetmek için OAuth 2.0 yetkilendirme çerçevesini ve OpenID Connect (OIDC) kimlik doğrulama protokolünü uygular.

OAuth

OAuth 2.0'da Anahtar Katılımcılar:

1. Kaynak Sunucusu (RS): Kaynak sahibine ait kaynakları korur.

2. Kaynak Sahibi (RO): Genellikle korunan kaynaklara sahip olan son kullanıcıdır.

3. İstemci Uygulaması (CA): Kaynak sahibinin adına kaynaklara erişim talep eden bir uygulamadır.

4. Yetkilendirme Sunucusu (AS): İstemci uygulamalarına erişim belirteçleri verir, bunları kimlik doğrulama ve yetkilendirme işlemlerinden sonra.

Kapsamlar ve Onay:

• Kapsamlar: Erişim seviyelerini belirten, kaynak sunucusunda tanımlanan ayrıntılı izinlerdir.

• Onay: Bir kaynak sahibinin, belirli kapsamlarla kaynaklara erişim izni verdiği süreçtir.

Microsoft 365 Entegrasyonu:

• Microsoft 365, IAM için Azure AD'yi kullanır ve birden fazla "birinci taraf" OAuth uygulamasından oluşur.

• Bu uygulamalar derinlemesine entegre edilmiştir ve genellikle karşılıklı hizmet ilişkilerine sahiptir.

• Kullanıcı deneyimini basitleştirmek ve işlevselliği korumak için Microsoft, bu birinci taraf uygulamalarına "örtük onay" veya "ön onay" verir.

• Örtük Onay: Belirli uygulamalar, açık kullanıcı veya yönetici onayı olmadan belirli kapsamlar için erişim izni alır.

• Bu ön onaylı kapsamlar genellikle hem kullanıcılar hem de yöneticiler için gizlidir, bu da standart yönetim arayüzlerinde daha az görünür hale getirir.

İstemci Uygulama Türleri:

1. Gizli İstemciler:

• Kendi kimlik bilgilerine (örneğin, parolalar veya sertifikalar) sahiptir.

• Yetkilendirme sunucusuna güvenli bir şekilde kimlik doğrulaması yapabilirler.

1. Açık İstemciler:

• Benzersiz kimlik bilgilerine sahip değildir.

• Yetkilendirme sunucusuna güvenli bir şekilde kimlik doğrulaması yapamazlar.

• Güvenlik Etkisi: Bir saldırgan, belirteç talep ederken bir açık istemci uygulamasını taklit edebilir, çünkü yetkilendirme sunucusunun uygulamanın meşruiyetini doğrulamak için bir mekanizması yoktur.

Kimlik Doğrulama Belirteçleri

OIDC'de kullanılan üç tür belirteç vardır:

• Erişim Belirteçleri: İstemci, bu belirteci kaynak sunucusuna kaynaklara erişim için sunar. Sadece belirli bir kullanıcı, istemci ve kaynak kombinasyonu için kullanılabilir ve iptal edilemez; süresi dolana kadar - bu varsayılan olarak 1 saattir.

• ID Belirteçleri: İstemci, bu belirteci yetkilendirme sunucusundan alır. Kullanıcı hakkında temel bilgileri içerir. Belirli bir kullanıcı ve istemci kombinasyonuna bağlıdır.

• Yenileme Belirteçleri: Erişim belirteci ile birlikte istemciye verilir. Yeni erişim ve ID belirteçleri almak için kullanılır. Belirli bir kullanıcı ve istemci kombinasyonuna bağlıdır ve iptal edilebilir. Varsayılan süresi dolmuş yenileme belirteçleri için 90 gündür ve aktif belirteçler için süresi yoktur (bir yenileme belirteci ile yeni yenileme belirteçleri almak mümkündür).

• Bir yenileme belirteci, bir aud ile, bazı kapsamlarla ve bir kiracıyla ilişkilendirilmelidir ve yalnızca o aud, kapsamlar (ve daha fazlası değil) ve kiracı için erişim belirteçleri üretebilmelidir. Ancak, bu FOCI uygulama belirteçleri için geçerli değildir.

• Bir yenileme belirteci şifrelenmiştir ve yalnızca Microsoft bunu çözebilir.

• Yeni bir yenileme belirteci almak, önceki yenileme belirtecini iptal etmez.

Erişim Belirteçleri "aud"

"aud" alanında belirtilen alan, giriş yapmak için kullanılan kaynak sunucusudur (uygulama).

az account get-access-token --resource-type [...] komutu, aşağıdaki türleri destekler ve her biri sonuçta oluşan erişim belirtecinde belirli bir "aud" ekleyecektir:

Erişim Belirteçleri Kapsamları "scp"

Bir erişim belirtecinin kapsamı, erişim belirteci JWT'si içindeki scp anahtarında saklanır. Bu kapsamlar, erişim belirtecinin erişim sağladığı şeyleri tanımlar.

Eğer bir JWT belirli bir API ile iletişim kurmasına izin verilirse ancak istenen eylemi gerçekleştirmek için kapsamı yoksa, o eylemi gerçekleştiremeyecektir.

Yenileme ve erişim belirteci alma örneği

# Code example from https://github.com/secureworks/family-of-client-ids-research
import msal
import requests
import jwt
from pprint import pprint
from typing import Any, Dict, List


# LOGIN VIA CODE FLOW AUTHENTICATION
azure_cli_client = msal.PublicClientApplication(
"04b07795-8ddb-461a-bbee-02f9e1bf7b46" # ID for Azure CLI client
)
device_flow = azure_cli_client.initiate_device_flow(
scopes=["https://graph.microsoft.com/.default"]
)
print(device_flow["message"])

# Perform device code flow authentication

azure_cli_bearer_tokens_for_graph_api = azure_cli_client.acquire_token_by_device_flow(
device_flow
)
pprint(azure_cli_bearer_tokens_for_graph_api)



# DECODE JWT
def decode_jwt(base64_blob: str) -> Dict[str, Any]:
"""Decodes base64 encoded JWT blob"""
return jwt.decode(
base64_blob, options={"verify_signature": False, "verify_aud": False}
)
decoded_access_token = decode_jwt(
azure_cli_bearer_tokens_for_graph_api.get("access_token")
)
pprint(decoded_access_token)


# GET NEW ACCESS TOKEN AND REFRESH TOKEN
new_azure_cli_bearer_tokens_for_graph_api = (
# Same client as original authorization
azure_cli_client.acquire_token_by_refresh_token(
azure_cli_bearer_tokens_for_graph_api.get("refresh_token"),
# Same scopes as original authorization
scopes=["https://graph.microsoft.com/.default"],
)
)
pprint(new_azure_cli_bearer_tokens_for_graph_api)

FOCI Tokenları Yetki Yükseltme

Daha önce, yenileme tokenlarının oluşturulduğu kapsamlar, uygulama ve kiracı ile ilişkilendirilmesi gerektiği belirtilmişti. Bu sınırlardan herhangi biri ihlal edilirse, kullanıcının erişim iznine sahip olduğu diğer kaynaklar ve kiracılar için erişim tokenları oluşturmak mümkün olacağından yetki yükseltmek mümkündür ve bu, başlangıçta amaçlandığından daha fazla kapsam ile yapılabilir.

Ayrıca, bu, Microsoft kimlik platformu (Microsoft Entra hesapları, Microsoft kişisel hesapları ve Facebook ve Google gibi sosyal hesaplar) ile tüm yenileme tokenları için mümkündür çünkü belgelerde belirtildiği gibi: "Yenileme tokenları, kullanıcı ve istemci kombinasyonuna bağlıdır, ancak bir kaynak veya kiracıya bağlı değildir. Bir istemci, izin verildiği herhangi bir kaynak ve kiracı kombinasyonu üzerinden erişim tokenları almak için bir yenileme tokenı kullanabilir. Yenileme tokenları şifrelenmiştir ve yalnızca Microsoft kimlik platformu bunları okuyabilir."

Ayrıca, FOCI uygulamalarının kamuya açık uygulamalar olduğunu ve bu nedenle sunucuya kimlik doğrulamak için hiçbir sır gerekmediğini unutmayın.

Daha sonra, orijinal araştırmada bildirilen bilinen FOCI istemcileri burada bulunabilir.

Farklı Kapsam Al

Önceki örnek koduna devam ederek, bu kodda farklı bir kapsam için yeni bir token talep edilmektedir:

# Code from https://github.com/secureworks/family-of-client-ids-research
azure_cli_bearer_tokens_for_outlook_api = (
# Same client as original authorization
azure_cli_client.acquire_token_by_refresh_token(
new_azure_cli_bearer_tokens_for_graph_api.get(
"refresh_token"
),
# But different scopes than original authorization
scopes=[
"https://outlook.office.com/.default"
],
)
)
pprint(azure_cli_bearer_tokens_for_outlook_api)

Farklı istemci ve kapsamlar al

# Code from https://github.com/secureworks/family-of-client-ids-research
microsoft_office_client = msal.PublicClientApplication("d3590ed6-52b3-4102-aeff-aad2292ab01c")
microsoft_office_bearer_tokens_for_graph_api = (
# This is a different client application than we used in the previous examples
microsoft_office_client.acquire_token_by_refresh_token(
# But we can use the refresh token issued to our original client application
azure_cli_bearer_tokens_for_outlook_api.get("refresh_token"),
# And request different scopes too
scopes=["https://graph.microsoft.com/.default"],
)
)
# How is this possible?
pprint(microsoft_office_bearer_tokens_for_graph_api)

Referanslar

• https://github.com/secureworks/family-of-client-ids-research