Freigeben über


OpenID Connect-Authentifizierung mit Microsoft Entra ID

OpenID Connect (OIDC) ist ein Authentifizierungsprotokoll, das auf dem OAuth2-Protokoll basiert (dieses wird für die Autorisierung verwendet). OIDC verwendet die standardisierten Nachrichtenflows von OAuth2 zum Bereitstellen von Identitätsdiensten.

Das Entwurfsziel von OIDC lautet „einfache Dinge einfach und komplizierte Dinge möglich machen“. OIDC ermöglicht es Entwicklern, ihre Benutzer über Websites und App hinweg zu authentifizieren, ohne Kennwortdateien anlegen und verwalten zu müssen. Damit erhalten App-Entwickler eine sichere Möglichkeit, die Identität einer Person zu überprüfen, die eine mit der Anwendung verbundene browserbasierte oder native App verwendet.

Die Authentifizierung des Benutzers muss bei einem Identitätsanbieter erfolgen, der die Sitzungs- bzw. Anmeldeinformationen des Benutzers überprüft. Zu diesem Zweck benötigen Sie einen vertrauenswürdigen Agent. Native Apps starten hierzu in der Regel den Systembrowser. Eingebettete Sichten werden als nicht vertrauenswürdig eingestuft, weil es keine Möglichkeit gibt, die App daran zu hindern, das Benutzerkennwort auszuspionieren.

Zusätzlich zur Authentifizierung kann der Benutzer zu einer Einwilligung aufgefordert werden. Eine Einwilligung ist die explizite Zustimmung des Benutzers, einer Anwendung den Zugriff auf geschützte Ressourcen zu gestatten. Die Einwilligung unterscheidet sich von der Authentifizierung, weil die Einwilligung nur einmal für eine Ressource erteilt werden muss. Eine Einwilligung bleibt so lange gültig, bis der Benutzer oder Administrator sie manuell widerruft.

Wenn folgende Bedingungen vorliegen

Benutzereinwilligung und Webanmeldung sind erforderlich.

Architectural diagram

Komponenten des Systems

  • Benutzer: Der Benutzer fordert einen Dienst von der Anwendung an.

  • Vertrauenswürdiger Agent: Die Komponente, mit der der Benutzer interagiert. Dieser vertrauenswürdige Agent ist in der Regel ein Webbrowser.

  • Anwendung: Die Anwendung – der Ressourcenserver – ist der Ort, an dem die Ressource oder die Daten abgelegt sind. Die Anwendung vertraut darauf, dass der Identitätsanbieter den vertrauenswürdigen Agent sicher authentifiziert und autorisiert.

  • Microsoft Entra ID: Der OIDC-Anbieter – auch als Identitätsanbieter bezeichnet – verarbeitet auf sichere Weise sämtliche Vorgänge im Zusammenhang mit den Informationen des Benutzers bzw. der Benutzerin, dessen bzw. deren Zugriff und den Vertrauensstellungen zwischen den Beteiligten in einem Flow. Der Anbieter authentifiziert die Identität des Benutzers, gewährt und widerruft Zugriff auf Ressourcen und stellt Token aus.

Implementieren von OIDC mit Microsoft Entra ID