Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Centralizovaný zprostředkovatel identity je zvlášť užitečný pro aplikace, které mají uživatele po celém světě, kteří se nutně nepřihlašují ze sítě podniku. Platforma Microsoft Identity Platform ověřuje uživatele a poskytuje tokeny zabezpečení, jako jsou přístupové tokeny, obnovovací tokeny a tokeny ID. Tokeny zabezpečení umožňují klientské aplikaci přistupovat k chráněným prostředkům na serveru prostředků.
- Přístupový token – Přístupový token je token zabezpečení vydaný autorizačním serverem jako součást toku OAuth 2.0. Obsahuje informace o uživateli a prostředku, pro který je token zamýšlen. Informace lze použít pro přístup k webovým rozhraním API a dalším chráněným prostředkům. Prostředky ověřují přístupové tokeny, aby udělily přístup klientské aplikaci. Další informace najdete v tématu Přístupové tokeny na platformě Microsoft Identity Platform.
- Obnovovací token – protože přístupové tokeny jsou platné jenom krátce, autorizační servery někdy vydávají obnovovací token současně s přístupovým tokenem. Klientská aplikace pak může tento obnovovací token v případě potřeby vyměnit za nový přístupový token. Další informace najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform.
- ID token – ID tokeny se odesílají do klientské aplikace jako součást procesu OpenID Connect. Je možné je odeslat společně s přístupovým tokenem nebo místo něj. Tokeny ID používají klient k ověření uživatele. Další informace o tom, jak platforma Microsoft Identity Platform vydává tokeny ID, najdete v tématu Tokeny ID na platformě Microsoft Identity Platform.
Mnoho podnikových aplikací používá k ověřování uživatelů SAML. Informace o tvrzeních SAML najdete v referenční příručce pro tokeny SAML.
Ověření tokenů
Záleží na aplikaci, pro kterou byl token vygenerován, na webové aplikaci, kde se uživatel přihlásil, nebo na webovém rozhraní API, které je voláno pro ověření tokenu. Autorizační server podepíše token privátním klíčem. Autorizační server publikuje odpovídající veřejný klíč. K ověření tokenu aplikace ověří podpis pomocí veřejného klíče autorizačního serveru a ověří, že podpis byl vytvořen pomocí privátního klíče. Další informace najdete v článku o ověřování deklarací identity v zabezpečených aplikacích a rozhraních API.
Pokud je to možné, doporučujeme používat podporované Microsoft Authentication Libraries (MSAL). Tím se implementuje získání, aktualizace a ověření tokenů za vás. Implementuje také zjišťování nastavení a klíčů tenanta vyhovující standardům pomocí dobře známého dokumentu zjišťování OpenID tenanta. MSAL podporuje mnoho různých aplikačních architektur a platforem, včetně .NET, JavaScriptu, Javy, Pythonu, Androidu a iOS.
Tokeny jsou platné pouze po omezenou dobu, takže autorizační server často poskytuje pár tokenů. Poskytuje se přístupový token, který přistupuje k aplikaci nebo chráněnému prostředku. Poskytuje se obnovovací token, který slouží k aktualizaci přístupového tokenu, když je přístupový token blízko vypršení platnosti.
Přístupové tokeny se předávají webovému rozhraní API jako nosný token v Authorization
hlavičce. Aplikace může autorizačnímu serveru poskytnout obnovovací token. Pokud uživatel k aplikaci neodvolal přístup, obdrží nový přístupový token a nový obnovovací token. Když autorizační server obdrží obnovovací token, vydá jiný přístupový token jenom v případě, že je uživatel stále autorizovaný.
Webové tokeny JSON a nároky
Platforma Microsoft Identity Platform implementuje tokeny zabezpečení jako webové tokeny JSON (JWT), které obsahují deklarace identity. Vzhledem k tomu, že se JWT používají jako tokeny zabezpečení, tato forma ověřování se někdy nazývá ověřování JWT.
Nárok poskytuje tvrzení o jedné entitě, jako je klientská aplikace nebo vlastník prostředku, k jiné entitě, jako je například server prostředků. Deklarace identity může být také označována jako deklarace identity JWT nebo deklarace identity webového tokenu JSON.
Deklarace jsou dvojice názvů nebo hodnot, které sdělují fakta o předmětu tokenu. Deklarace může například obsahovat fakta o bezpečnostním subjektu, který autorizační server ověřil. Nároky v rámci specifického tokenu závisejí na mnoha faktorech, jako je typ tokenu, typ přihlašovacích údajů použitých k ověření subjektu, a konfigurace aplikace.
Aplikace můžou používat deklarace identity pro následující různé úlohy:
- Ověření tokenu
- Identifikovat nájemce subjektu tokenu
- Zobrazení informací o uživateli
- Určení autorizace subjektu
Nárok se skládá z párů klíč-hodnota, které poskytují následující typy informací:
- Server tokenů zabezpečení, který token vygeneroval
- Datum vygenerování tokenu
- Předmět (například uživatel, ale ne démon)
- Cílová skupina, což je aplikace, pro kterou se token vygeneroval
- Aplikace (klient), která požádala o token
Koncové body a vystavitele tokenů
Microsoft Entra ID podporuje dvě konfigurace tenantů: konfigurace pracovních sil, která je určená pro interní použití a spravuje zaměstnance a obchodní hosty, a konfiguraci zákazníka, která je optimalizovaná pro izolování uživatelů a partnerů v omezeném externím adresáři. I když je základní služba identit stejná pro obě konfigurace tenantů, přihlašovací domény a autorita pro vystavování tokenů pro externí tenanty se liší. To umožňuje aplikacím, aby pracovní postupy pracovních sil a externích ID byly v případě potřeby oddělené.
Tenanti Microsoft Entra se ověřují na login.microsoftonline.com pomocí tokenů vydaných sts.windows.net. Tokeny tenantů pracovních sil se dají mezi tenanty a víceklientské aplikace zaměnit, pokud tato interoperabilita umožňuje základní vztahy důvěryhodnosti. Externí tenanti Microsoft Entra používají koncové body formuláře {tenantname}.ciamlogin.com
. Aplikace registrované externími nájemci si musí být vědomy tohoto oddělení, aby správně přijímaly a ověřovaly tokeny.
Každý tenant Microsoft Entra publikuje dobře známá metadata vyhovující standardům. Tento dokument obsahuje informace o názvu vystavitele, autentizačních a autorizačních koncových bodech, podporovaných rozsazích a nárocích. Pro externí tenanty je dokument veřejně dostupný na adrese: https://{tenantname}.ciamlogin.com/{tenantid}/v2.0/.well-known/openid-configuration
. Tento koncový bod vrátí hodnotu vystavitele https://{tenantid}.ciamlogin.com/{tenantid}/v2.0
.
Autorizační toky a ověřovací kódy
V závislosti na tom, jak je váš klient sestavený, může používat jeden nebo několik toků ověřování podporovaných platformou Microsoft Identity Platform. Podporované toky můžou vytvářet různé tokeny a autorizační kódy a vyžadovat různé tokeny, aby fungovaly. Následující tabulka obsahuje přehled.
Tok | Vyžaduje | Identifikační token | Token přístupu | Obnovovací token | Autorizační kód |
---|---|---|---|---|---|
Tok autorizačního kódu | x | x | x | x | |
Implicitní tok | x | x | |||
Hybridní tok OIDC | x | x | |||
Obnovení uplatnění tokenu | Obnovovací token | x | x | x | |
Tok jménem někoho jiného | Token přístupu | x | x | x | |
Přihlašovací údaje klienta | x (jenom aplikace) |
Související obsah
- Informace o základních konceptech ověřování a autorizace najdete v tématu Ověřování a autorizace.
- OAuth 2.0
- OpenID Connect