Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a hitelesítést és az engedélyezést határozza meg. Röviden bemutatja a többtényezős hitelesítést, valamint azt is, hogyan használhatja a Microsoft Identitásplatform a webalkalmazások, webes API-k vagy védett webes API-kat hívó alkalmazások felhasználóinak hitelesítésére és engedélyezésére. Ha olyan kifejezést lát, amelyet nem ismer, próbálja ki szószedetünket vagy Microsoft Identitásplatform videóinkat, amelyek alapfogalmakat fednek le.
Hitelesítés
A hitelesítés annak bizonyítása, hogy Ön az, akinek mondja magát. Ez egy személy vagy eszköz személyazonosságának ellenőrzésével érhető el. Néha rövidítik AuthN-re. A Microsoft Identitásplatform az OpenID Connect protokollt használja a hitelesítés kezeléséhez.
Engedélyezés
Az engedélyezés egy hitelesített fél engedélyének megadása valamilyen művelethez. Meghatározza, hogy milyen adatokhoz férhet hozzá, és mit tehet az adatokkal. Az engedélyezést néha rövidítve AuthZ-ként jelölik. A Microsoft identitásplatformja lehetővé teszi az erőforrás-tulajdonosok számára, hogy az OAuth 2.0 protokollt használják az engedélyezés kezeléséhez, de a Microsoft-felhő más engedélyezési rendszerekkel is rendelkezik, például a Microsoft Entra beépített szerepköreivel, az Azure RBAC-vel és az Exchange RBAC-vel.
Többtényezős hitelesítés
A többtényezős hitelesítés a fiók hitelesítésének másik tényezője. Ezt gyakran használják a brute force támadások elleni védelemre. Néha MFA-ra vagy 2FA-rarövidül. A Microsoft Authenticator alkalmazásként használható a kéttényezős hitelesítés kezeléséhez. További információ: többtényezős hitelesítés.
Hitelesítés és engedélyezés a Microsoft Identity Platform használatával
Az olyan alkalmazások létrehozása, amelyek mindegyike saját felhasználónevet és jelszót tartalmaz, nagy adminisztrációs terhet jelent a felhasználók több alkalmazáson belüli hozzáadásakor vagy eltávolításakor. Ehelyett az alkalmazások delegálhatják ezt a felelősséget egy központosított identitásszolgáltatónak.
A Microsoft Entra ID egy központi identitásszolgáltató a felhőben. A hitelesítés és az engedélyezés delegálása olyan forgatókönyveket tesz lehetővé, mint például:
- Feltételes hozzáférési szabályzatok, amelyek megkövetelik, hogy egy felhasználó egy adott helyen legyen.
- Többtényezős hitelesítés, amelyhez a felhasználónak egy adott eszközre van szüksége.
- Lehetővé teszi, hogy egy felhasználó egyszer jelentkezzen be, majd automatikusan bejelentkezjen az összes olyan webalkalmazásba, amely ugyanazt a központi könyvtárat használja. Ezt a képességet egyszeri bejelentkezésnek (SSO) nevezzük.
A Microsoft identitásplatform az identitás szolgáltatásként történő biztosításával leegyszerűsíti az alkalmazásfejlesztők számára az engedélyezést és a hitelesítést. Támogatja az iparági szabványoknak megfelelő protokollokat és nyílt forráskódú kódtárakat a különböző platformokhoz, hogy gyorsan elkezdhesse a kódolást. Lehetővé teszi, hogy a fejlesztők olyan alkalmazásokat építsenek, amelyek minden Microsoft-identitásba bejelentkeznek, jogkivonatokat kapnak a Microsoft Graph meghívásához, a Microsoft API-khoz való hozzáféréshez vagy más, a fejlesztők által létrehozott API-khoz való hozzáféréshez.
Ez a videó a modern hitelesítés Microsoft Identitásplatform és alapjait ismerteti:
Íme a Microsoft Identitásplatform által használt protokollok összehasonlítása:
- OAuth és OpenID Connect: A platform az OAuthot használja az engedélyezéshez, az OpenID Connectet (OIDC) pedig a hitelesítéshez. Az OpenID Connect az OAuth 2.0-ra épül, így a terminológia és a folyamat hasonló a kettő között. Akár hitelesítheti is a felhasználót (az OpenID Connecten keresztül), és egy kérelemben engedélyt kérhet a felhasználó által birtokolt védett erőforrás elérésére (az OAuth 2.0-n keresztül). További információ: OAuth 2.0 és OpenID Connect protokollok és OpenID Connect protokoll.
- OAuth és SAML: A platform az OAuth 2.0-t használja az engedélyezéshez, az SAML-t pedig a hitelesítéshez. Ha többet szeretne tudni arról, hogyan használhatja együtt ezeket a protokollokat a felhasználók hitelesítéséhez és a védett erőforrásokhoz való hozzáférés engedélyezéséhez, tekintse meg a Microsoft Identitásplatform és az OAuth 2.0 SAML-tulajdonosi érvényesítési folyamatot.
- OpenID Connect és SAML: A platform az OpenID Connect és az SAML használatával hitelesít egy felhasználót, és engedélyezi az egyszeri bejelentkezést. Az SAML-hitelesítést gyakran használják olyan identitásszolgáltatóknál, mint például az Active Directory Federation Services (AD FS), mely a Microsoft Entra ID-vel van összekapcsolva, ezért gyakran alkalmazzák nagyvállalati alkalmazásokban. Az OpenID Connectet gyakran használják kizárólag a felhőben található alkalmazásokhoz, például mobilalkalmazásokhoz, webhelyekhez és webes API-khoz.
Kapcsolódó tartalom
A hitelesítés és az engedélyezés alapjait ismertető egyéb cikkek:
- A hozzáférési jogkivonatok, a frissítési jogkivonatok és az azonosító jogkivonatok hitelesítésben és hitelesítésben való használatáról a Biztonsági jogkivonatok című témakörben olvashat.
- Az alkalmazás regisztrálásának folyamatáról, hogy az integrálódhasson a Microsoft Identitásplatformmal, az alkalmazásmodell részben olvashat.
- A tokenekkel történő megfelelő engedélyezésről további információt a Jogcímek érvényesítésével biztonságos alkalmazások és API-k című témakörben talál.