Ověřování vs. autorizace

Tento článek definuje ověřování a autorizaci. Stručně se také věnuje vícefaktorovému ověřování a způsobu použití Microsoft identity platform k ověřování a autorizaci uživatelů ve webových aplikacích, webových rozhraních API nebo aplikacích, které volají chráněná webová rozhraní API. Pokud uvidíte termín, který neznáte, vyzkoušejte náš glosář nebo naše Microsoft identity platform videa, která popisují základní pojmy.

Authentication

Ověřování je proces prokázání, že jste tím, za koho říkáte, že jste. Toho se dosahuje ověřením identity osoby nebo zařízení. Někdy se zkracuje na AuthN. Microsoft identity platform používá ke zpracování ověřování protokol OpenID Connect.

Autorizace

Autorizace je udělení oprávnění k nějaké akci ověřené straně. Určuje, k jakým datům máte povolený přístup a co s daty můžete dělat. Autorizace se někdy zkracuje na AuthZ. Microsoft identity platform používá ke zpracování autorizace protokol OAuth 2.0.

Vícefaktorové ověřování

Vícefaktorové ověřování je poskytnutí dalšího faktoru ověřování účtu. Často se používá k ochraně před útoky hrubou silou. Někdy se zkracuje na MFA nebo 2FA. Microsoft Authenticator se dá použít jako aplikace pro zpracování dvojúrovňového ověřování. Další informace najdete v tématu vícefaktorové ověřování.

Ověřování a autorizace pomocí Microsoft identity platform

Vytváření aplikací, které mají vlastní uživatelské jméno a heslo, představuje vysokou administrativní zátěž při přidávání nebo odebírání uživatelů ve více aplikacích. Místo toho můžou aplikace delegovat odpovědnost na centralizovaného zprostředkovatele identity.

Azure Active Directory (Azure AD) je centralizovaný zprostředkovatel identity v cloudu. Delegování ověřování a autorizace na tuto službu umožňuje například následující scénáře:

  • Zásady podmíněného přístupu, které vyžadují, aby byl uživatel v určitém umístění.
  • Vícefaktorové ověřování, které vyžaduje, aby měl uživatel konkrétní zařízení.
  • Umožňuje uživateli přihlásit se jednou a pak se automaticky přihlásit ke všem webovým aplikacím, které sdílejí stejný centralizovaný adresář. Tato funkce se nazývá jednotné přihlašování (SSO).

Microsoft identity platform zjednodušuje autorizaci a ověřování pro vývojáře aplikací tím, že poskytuje identitu jako službu. Podporuje standardní oborové protokoly a opensourcové knihovny pro různé platformy, které vám pomůžou rychle začít psát kód. Umožňuje vývojářům vytvářet aplikace, které přihlašují všechny identity Microsoft, získávají tokeny pro volání Microsoft Graph, přistupují k Microsoft rozhraní API nebo k jiným rozhraním API, která vytvořili vývojáři.

Toto video vysvětluje Microsoft identity platform a základy moderního ověřování:

Tady je porovnání protokolů, které Microsoft identity platform používá:

  • OAuth versus OpenID Connect: Platforma používá OAuth pro autorizaci a OpenID Connect (OIDC) pro ověřování. OpenID Connect je založený na OAuth 2.0, takže terminologie a tok jsou mezi nimi podobné. V jednom požadavku můžete dokonce ověřit uživatele (prostřednictvím OpenID Connect) a získat autorizaci pro přístup k chráněnému prostředku, který uživatel vlastní (prostřednictvím OAuth 2.0). Další informace najdete v tématech Protokoly OAuth 2.0 a OpenID Connect a Protokol OpenID Connect.
  • OAuth versus SAML: Platforma používá OAuth 2.0 pro autorizaci a SAML pro ověřování. Další informace o tom, jak tyto protokoly používat společně k ověření uživatele a získání autorizace pro přístup k chráněnému prostředku, najdete v tématu tok kontrolních výrazů Microsoft identity platform a OAuth 2.0 SAML.
  • OpenID Connect versus SAML: Platforma k ověření uživatele a povolení jednotného přihlašování používá OpenID Connect i SAML. Ověřování SAML se běžně používá u zprostředkovatelů identit, jako je služba Active Directory Federation Services (AD FS) (AD FS) federovaná do Azure AD, takže se často používá v podnikových aplikacích. OpenID Connect se běžně používá pro aplikace, které jsou čistě v cloudu, jako jsou mobilní aplikace, weby a webová rozhraní API.

Další kroky

Další témata týkající se základů ověřování a autorizace:

  • Informace o tom, jak se při autorizaci a ověřování používají přístupové tokeny, obnovovací tokeny a tokeny ID, najdete v tématu Tokeny zabezpečení.
  • Další informace o procesu registrace aplikace, aby se integrovali s Microsoft identity platform, najdete v tématu Model aplikace.