Ověřování vs. autorizace
Tento článek definuje ověřování a autorizaci. Stručně také popisuje vícefaktorové ověřování a způsob použití platformy Microsoft Identity Platform k ověřování a autorizaci uživatelů ve webových aplikacích, webových rozhraních API nebo aplikacích, které volají chráněná webová rozhraní API. Pokud vidíte termín, který neznáte, vyzkoušejte naše glosář nebo videa platformy Microsoft Identity Platform, která se týkají základních konceptů.
Ověřování
Ověřování je proces prokázání toho, že jste tím, kdo říkáte. Toho dosáhnete ověřením identity osoby nebo zařízení. Někdy se zkracuje na AuthN. Platforma Microsoft Identity Platform používá k ověřování protokol OpenID Connect .
Autorizace
Autorizace je udělení oprávnění ověřené strany k něčemu. Určuje, k jakým datům máte povolený přístup a co můžete s daty dělat. Autorizace se někdy zkracuje na AuthZ. Platforma Microsoft Identity Platform poskytuje vlastníkům prostředků možnost používat protokol OAuth 2.0 pro zpracování autorizace, ale cloud Microsoftu má také další autorizační systémy, jako jsou předdefinované role Entra, Azure RBAC a Exchange RBAC.
Vícefaktorové ověřování
Vícefaktorové ověřování je poskytnutí dalšího faktoru ověřování účtu. Často se používá k ochraně před útoky hrubou silou. Někdy se zkracuje na vícefaktorové ověřování nebo 2FA. Microsoft Authenticator se dá použít jako aplikace pro zpracování dvojúrovňového ověřování. Další informace najdete v tématu vícefaktorové ověřování.
Ověřování a autorizace pomocí platformy Microsoft Identity Platform
Vytváření aplikací, které každý udržuje vlastní uživatelské jméno a heslo, způsobuje vysoké administrativní zatížení při přidávání nebo odebírání uživatelů napříč více aplikacemi. Místo toho můžou vaše aplikace tuto odpovědnost delegovat na centralizovaného zprostředkovatele identity.
Microsoft Entra ID je centralizovaným zprostředkovatelem identity v cloudu. Delegování ověřování a autorizace na něj umožňuje scénáře, jako jsou:
- Zásady podmíněného přístupu, které vyžadují, aby byl uživatel v určitém umístění.
- Vícefaktorové ověřování, které vyžaduje, aby měl uživatel konkrétní zařízení.
- Umožňuje uživateli přihlásit se jednou a pak se automaticky přihlásit ke všem webovým aplikacím, které sdílejí stejný centralizovaný adresář. Tato funkce se nazývá jednotné přihlašování (SSO).
Platforma Microsoft Identity Platform zjednodušuje autorizaci a ověřování pro vývojáře aplikací tím, že poskytuje identitu jako službu. Podporuje standardní protokoly a opensourcové knihovny pro různé platformy, které vám pomůžou rychle začít psát kód. Umožňuje vývojářům vytvářet aplikace, které se přihlašují ke všem identitám Microsoftu, získávají tokeny pro volání Microsoft Graphu, přístupu k rozhraním Microsoft API nebo přístupu k jiným rozhraním API, která vytvořili vývojáři.
Toto video vysvětluje platformu Microsoft Identity Platform a základy moderního ověřování:
Tady je porovnání protokolů, které platforma Microsoft Identity Platform používá:
- OAuth versus OpenID Connect: Platforma k ověřování používá OAuth pro autorizaci a OpenID Connect (OIDC). OpenID Connect je postaven na OAuth 2.0, takže terminologie a tok jsou podobné mezi těmito dvěma. Můžete dokonce ověřit uživatele (prostřednictvím OpenID Connect) a získat autorizaci pro přístup k chráněnému prostředku, který uživatel vlastní (prostřednictvím OAuth 2.0) v jedné žádosti. Další informace najdete v tématech OAuth 2.0 a OpenID Connect protokoly a protokol OpenID Connect.
- OAuth versus SAML: Platforma k autorizaci a SAML k ověřování používá OAuth 2.0. Další informace o tom, jak tyto protokoly používat společně k ověřování uživatele a získání autorizace pro přístup k chráněnému prostředku, najdete v tématu Microsoft Identity Platform a OAuth 2.0 SAML nosný kontrolní tok.
- OpenID Connect versus SAML: Platforma používá OpenID Connect i SAML k ověření uživatele a povolení jednotného přihlašování. Ověřování SAML se běžně používá u zprostředkovatelů identity, jako jsou Active Directory Federation Services (AD FS) (AD FS) federované s Microsoft Entra ID, takže se často používá v podnikových aplikacích. OpenID Connect se běžně používá pro aplikace, které jsou čistě v cloudu, jako jsou mobilní aplikace, weby a webová rozhraní API.
Další kroky
Další témata, která se týkají základů ověřování a autorizace:
- Informace o použití přístupových tokenů, obnovovacích tokenů a tokenů ID při autorizaci a ověřování najdete v tématu Tokeny zabezpečení.
- Další informace o procesu registrace aplikace, aby se mohl integrovat s platformou Microsoft Identity Platform, najdete v tématu Aplikační model.
- Informace o správné autorizaci pomocí deklarací identity tokenů najdete v tématu Zabezpečené aplikace a rozhraní API ověřováním deklarací identity.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro