Jogkivonatok és jogcímek áttekintése
A központosított identitásszolgáltató különösen akkor hasznos, ha olyan alkalmazásokat használ, amelyek világszerte olyan felhasználókkal rendelkeznek, akik nem feltétlenül jelentkeznek be a vállalat hálózatáról. A Microsoft Identitásplatform hitelesíti a felhasználókat, és biztonsági jogkivonatokat biztosít, például hozzáférési jogkivonatokat, frissítési jogkivonatokat és azonosító jogkivonatokat. A biztonsági jogkivonatok lehetővé teszik, hogy az ügyfélalkalmazások hozzáférjenek az erőforrás-kiszolgálón lévő védett erőforrásokhoz.
- Hozzáférési jogkivonat – A hozzáférési jogkivonat egy engedélyezési kiszolgáló által egy OAuth 2.0-folyamat részeként kiadott biztonsági jogkivonat. Információkat tartalmaz a felhasználóról és az erőforrásról, amelyhez a jogkivonatot szánják. Az információk felhasználhatók a webes API-k és más védett erőforrások eléréséhez. Az erőforrások érvényesítik a hozzáférési jogkivonatokat, hogy hozzáférést biztosítsanak egy ügyfélalkalmazáshoz. További információ: Access-jogkivonatok a Microsoft Identitásplatform.
- Frissítési jogkivonat – Mivel a hozzáférési jogkivonatok csak rövid ideig érvényesek, az engedélyezési kiszolgálók néha a hozzáférési jogkivonat kiállításával egyidejűleg adnak ki frissítési jogkivonatot. Az ügyfélalkalmazás ezután szükség esetén kicserélheti ezt a frissítési jogkivonatot egy új hozzáférési jogkivonatra. További információ: Jogkivonatok frissítése a Microsoft Identitásplatform.
- Azonosító jogkivonat – Az azonosító jogkivonatokat a rendszer egy OpenID Csatlakozás folyamat részeként küldi el az ügyfélalkalmazásnak. Ezek a hozzáférési jogkivonatok mellett vagy helyett is elküldhetők. Az ügyfél azonosító jogkivonatokat használ a felhasználó hitelesítéséhez. Ha többet szeretne megtudni arról, hogy a Microsoft Identitásplatform hogyan problémákat tapasztal az azonosító jogkivonatokkal, tekintse meg az azonosító jogkivonatokat a Microsoft Identitásplatform.
Sok vállalati alkalmazás saml használatával hitelesíti a felhasználókat. Az SAML-állításokkal kapcsolatos információkért lásd az SAML-jogkivonatok hivatkozását.
Jogkivonatok érvényesítése
A jogkivonatot létrehozó alkalmazáson, a felhasználón bejelentkezett webalkalmazáson vagy a jogkivonat érvényesítéséhez meghívott webes API-ján múlik. Az engedélyezési kiszolgáló titkos kulccsal írja alá a jogkivonatot. Az engedélyezési kiszolgáló közzéteszi a megfelelő nyilvános kulcsot. A jogkivonat érvényesítéséhez az alkalmazás az engedélyezési kiszolgáló nyilvános kulcsával ellenőrzi az aláírást annak ellenőrzéséhez, hogy az aláírás a titkos kulccsal lett-e létrehozva. További információkért tekintse meg a biztonságos alkalmazásokat és API-kat a jogcímek cikkének érvényesítésével.
Javasoljuk, hogy amikor csak lehetséges, használja a támogatott Microsoft Authentication Libraries (MSAL) kódtárakat. Ez megvalósítja a jogkivonatok beszerzését, frissítését és érvényesítését. Emellett a bérlői beállítások és kulcsok szabványnak megfelelő felderítését is implementálja a bérlő OpenID jól ismert felderítési dokumentumával. Az MSAL számos különböző alkalmazásarchitektúrát és platformot támogat, például .NET, JavaScript, Java, Python, Android és iOS rendszert.
A jogkivonatok csak korlátozott ideig érvényesek, ezért az engedélyezési kiszolgáló gyakran biztosít egy pár tokent. Rendelkezésre áll egy hozzáférési jogkivonat, amely hozzáfér az alkalmazáshoz vagy a védett erőforráshoz. A rendszer egy frissítési jogkivonatot biztosít, amely a hozzáférési jogkivonat frissítésére szolgál, ha a hozzáférési jogkivonat hamarosan lejár.
A hozzáférési jogkivonatokat a rendszer a fejléc tulajdonosi jogkivonataként továbbítja egy webes API-nak Authorization . Az alkalmazások frissítési jogkivonatot biztosíthatnak az engedélyezési kiszolgálónak. Ha az alkalmazáshoz való felhasználói hozzáférést nem vonták vissza, új hozzáférési jogkivonatot és új frissítési jogkivonatot kap. Amikor az engedélyezési kiszolgáló megkapja a frissítési jogkivonatot, csak akkor ad ki egy másik hozzáférési jogkivonatot, ha a felhasználó továbbra is jogosult.
JSON webes jogkivonatok és jogcímek
A Microsoft Identitásplatform a jogcímeket tartalmazó JSON webes jogkivonatokként (JWT-ként) valósítja meg a biztonsági jogkivonatokat. Mivel a JWT-ket biztonsági jogkivonatként használják, ezt a hitelesítési formát néha JWT-hitelesítésnek is nevezik.
A jogcímek egy entitással, például ügyfélalkalmazással vagy erőforrás-tulajdonossal kapcsolatos állításokat biztosítanak egy másik entitásnak, például egy erőforráskiszolgálónak. A jogcímeket JWT-jogcímnek vagy JSON-webjogkivonat-jogcímnek is nevezik.
A jogcímek olyan név- vagy értékpárok, amelyek a jogkivonat tárgyával kapcsolatos tényeket továbbítják. Egy jogcím tartalmazhat például tényeket az engedélyezési kiszolgáló által hitelesített biztonsági tagról. Az adott jogkivonatban található jogcímek számos dologtól függenek, például a jogkivonat típusától, a tulajdonos hitelesítéséhez használt hitelesítő adatok típusától és az alkalmazás konfigurációjától.
Az alkalmazások a következő feladatokhoz használhatnak jogcímeket:
- A jogkivonat érvényesítése
- A jogkivonat tulajdonosának bérlőjének azonosítása
- A felhasználó adatainak megjelenítése
- Az alany engedélyezésének meghatározása
A jogcímek kulcs-érték párokból állnak, amelyek a következő típusú információkat biztosítják:
- A jogkivonatot létrehozó biztonsági jogkivonat-kiszolgáló
- A jogkivonat létrehozásának dátuma
- Tárgy (mint a felhasználó, de démonok nem)
- Célközönség, amely az az alkalmazás, amelyhez a jogkivonat létre lett hozva
- A jogkivonatot kérő alkalmazás (az ügyfél)
Jogkivonatvégpontok és -kiállítók
A Microsoft Entra ID két bérlőkonfigurációt támogat: a belső használatra szánt és az alkalmazottakat és üzleti vendégeket kezelő munkaerő-konfigurációt, valamint egy olyan ügyfélkonfigurációt , amely a korlátozott külső elérésű címtárban lévő felhasználók és partnerek elkülönítésére van optimalizálva. Bár a mögöttes identitásszolgáltatás mindkét bérlőkonfiguráció esetében azonos, a külső bérlők bejelentkezési tartományai és tokenkibocsátó szolgáltatói eltérőek. Ez lehetővé teszi az alkalmazások számára, hogy szükség esetén elkülönítve tartsák a munkaerőt és a külső azonosító munkafolyamatokat.
A Microsoft Entra munkaerő-bérlői login.microsoftonline.com hitelesítik a sts.windows.net által kibocsátott jogkivonatokkal. A munkaerő-bérlői jogkivonatok általában felcserélhetők bérlők és több-bérlős alkalmazások között mindaddig, amíg a mögöttes megbízhatósági kapcsolatok lehetővé teszik ezt az együttműködést. A Külső Microsoft Entra-bérlők a(z) {tenantname}.ciamlogin.com űrlap bérlői végpontjait használják. A jogkivonatok helyes fogadásához és érvényesítéséhez a külső bérlőknek regisztrált alkalmazásoknak tisztában kell lenniük ezzel a szétválasztási folyamattal.
Minden Microsoft Entra-bérlő közzétesz egy szabványnak megfelelő, jól ismert metaadatokat. Ez a dokumentum információkat tartalmaz a kiállító nevéről, a hitelesítési és engedélyezési végpontokról, a támogatott hatókörökről és jogcímekről. Külső bérlők esetén a dokumentum nyilvánosan elérhető a következő címen: https://{tenantname}.ciamlogin.com/{tenantid}/v2.0/.well-known/openid-configuration. Ez a végpont egy kiállítói értéket ad vissza https://{tenantid}.ciamlogin.com/{tenantid}/v2.0.
Engedélyezési folyamatok és hitelesítési kódok
Az ügyfél felépítésétől függően használhatja a Microsoft Identitásplatform által támogatott hitelesítési folyamatokat. A támogatott folyamatok különböző jogkivonatokat és engedélyezési kódokat hozhatnak létre, és különböző jogkivonatokat igényelhetnek a működésükhöz. Az alábbi táblázat áttekintést nyújt.
| Folyamat | Szükséges | Azonosító jogkivonata | Hozzáférési jogkivonat | Jogkivonat frissítése | Engedélyezési kód |
|---|---|---|---|---|---|
| Engedélyezési kódfolyamat | x | x | x | x | |
| Implicit folyamat | x | x | |||
| Hibrid OIDC-folyamat | x | x | |||
| Jogkivonat beváltásának frissítése | Jogkivonat frissítése | x | x | x | |
| Meghatalmazásos folyamat | Hozzáférési jogkivonat | x | x | x | |
| Ügyfél-hitelesítő adatok | x (csak alkalmazás) |
Az implicit folyamat használatával kibocsátott jogkivonatok hossza korlátozott, mert az URL-cím, a hol response_mode vagy queryfragmenta . Egyes böngészőkben korlátozva van az URL-cím mérete, amely a böngészősávon helyezhető el, és túl hosszú idő esetén meghiúsul. Ennek eredményeképpen ezek a jogkivonatok nem rendelkeznek groups vagy wids jogcímek.
Lásd még
Következő lépések
- A hitelesítés és az engedélyezés alapfogalmaival kapcsolatban lásd : Hitelesítés és engedélyezés.