Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A központosított identitásszolgáltató különösen akkor hasznos, ha olyan alkalmazásokat használ, amelyek világszerte olyan felhasználókkal rendelkeznek, akik nem feltétlenül jelentkeznek be a vállalat hálózatáról. A Microsoft Identitásplatform hitelesíti a felhasználókat, és biztonsági jogkivonatokat biztosít, például hozzáférési jogkivonatokat, frissítési jogkivonatokat és azonosító jogkivonatokat. A biztonsági jogkivonatok lehetővé teszik, hogy az ügyfélalkalmazások hozzáférjenek az erőforrás-kiszolgálón lévő védett erőforrásokhoz.
- Hozzáférési jogkivonat – A hozzáférési jogkivonat egy engedélyezési kiszolgáló által egy OAuth 2.0-folyamat részeként kiadott biztonsági jogkivonat. Információkat tartalmaz a felhasználóról és az erőforrásról, amelyhez a jogkivonatot szánják. Az információk felhasználhatók a webes API-k és más védett erőforrások eléréséhez. Az erőforrások érvényesítik a hozzáférési jogkivonatokat, hogy hozzáférést biztosítsanak egy ügyfélalkalmazáshoz. További információért lásd: Access-jogkivonatok a Microsoft identitásplatformján.
- Frissítési jogkivonat – Mivel a hozzáférési jogkivonatok csak rövid ideig érvényesek, az engedélyezési kiszolgálók néha a hozzáférési jogkivonat kiállításával egyidejűleg adnak ki frissítési jogkivonatot. Az ügyfélalkalmazás ezután szükség esetén kicserélheti ezt a frissítési jogkivonatot egy új hozzáférési jogkivonatra. További információ: Jogkivonatok frissítése a Microsoft Identitásplatform.
- Azonosító jogkivonat – Az azonosító jogkivonatokat a rendszer egy OpenID Connect-folyamat részeként küldi el az ügyfélalkalmazásnak. Ezek a hozzáférési jogkivonatok mellett vagy helyett is elküldhetők. A kliens azonosító tokeneket használ a felhasználó hitelesítéséhez. Ha többet szeretne megtudni arról, hogy a Microsoft Identitásplatform hogyan állítja ki az azonosító jogkivonatokat, tekintse meg Az azonosító jogkivonatokról a Microsoft Identitásplatformon.
Sok vállalati alkalmazás saml használatával hitelesíti a felhasználókat. Az SAML-állításokkal kapcsolatos információkért lásd a SAML token referenciát.
Tokenek érvényesítése
A jogkivonatot létrehozó alkalmazáson, a felhasználón bejelentkezett webalkalmazáson vagy a jogkivonat érvényesítéséhez meghívott webes API-ján múlik. Az engedélyezési kiszolgáló titkos kulccsal írja alá a jogkivonatot. Az engedélyezési kiszolgáló közzéteszi a megfelelő nyilvános kulcsot. A jogkivonat érvényesítéséhez az alkalmazás az engedélyezési kiszolgáló nyilvános kulcsával ellenőrzi az aláírást annak ellenőrzéséhez, hogy az aláírás a titkos kulccsal lett-e létrehozva. További információkért tekintse meg a Biztosítsa az alkalmazásokat és API-kat a jogcímek érvényesítésével című cikket.
Javasoljuk, hogy amikor csak lehetséges, használja a támogatott Microsoft Authentication Libraries (MSAL) kódtárakat. Ez megvalósítja a tokenek beszerzését, frissítését és érvényesítését. Emellett a bérlői beállítások és kulcsok szabványnak megfelelő felderítését is implementálja a bérlő OpenID jól ismert felderítési dokumentumával. Az MSAL számos különböző alkalmazásarchitektúrát és platformot támogat, például .NET, JavaScript, Java, Python, Android és iOS rendszert.
A jogkivonatok csak korlátozott ideig érvényesek, ezért az engedélyezési szerver gyakran biztosít egy pár jogkivonatot. Rendelkezésre áll egy hozzáférési jogkivonat, amely hozzáfér az alkalmazáshoz vagy a védett erőforráshoz. A rendszer egy frissítési jogkivonatot biztosít, amely a hozzáférési jogkivonat frissítésére szolgál, ha a hozzáférési jogkivonat hamarosan lejár.
A hozzáférési jogkivonatokat a rendszer a fejléc tulajdonosi jogkivonataként továbbítja egy webes API-nak Authorization . Az alkalmazások frissítési jogkivonatot biztosíthatnak az engedélyezési kiszolgálónak. Ha az alkalmazáshoz való felhasználói hozzáférést nem vonták vissza, új hozzáférési jogkivonatot és új frissítési jogkivonatot kap. Amikor az engedélyezési kiszolgáló megkapja a frissítési jogkivonatot, csak akkor ad ki egy másik hozzáférési jogkivonatot, ha a felhasználó továbbra is jogosult.
JSON webes jogkivonatok és jogcímek
A Microsoft identitásplatform a biztonsági tokeneket a jogcímeket tartalmazó JSON Web Tokenekként (JWT-ként) valósítja meg. Mivel a JWT-ket biztonsági jogkivonatként használják, ezt a hitelesítési formát néha JWT-hitelesítésnek is nevezik.
A jogcímek egy entitással, például ügyfélalkalmazással vagy erőforrás-tulajdonossal kapcsolatos állításokat biztosítanak egy másik entitásnak, például egy erőforráskiszolgálónak. A jogcímeket JWT-jogcímnek vagy JSON-webjogkivonat-jogcímnek is nevezik.
Az állítások olyan név- vagy értékpárok, amelyek a jogkivonat tárgyával kapcsolatos tényeket közvetítenek. Egy jogcím tartalmazhat például tényeket az engedélyezési kiszolgáló által hitelesített biztonsági tagról. Az adott jogkivonatban található jogcímek számos dologtól függenek, például a jogkivonat típusától, a tulajdonos hitelesítéséhez használt hitelesítő adatok típusától és az alkalmazás konfigurációjától.
Az alkalmazások a következő feladatokhoz használhatnak jogcímeket:
- A token érvényesítése
- A token alany bérlőjének azonosítása
- A felhasználó adatainak megjelenítése
- Az alany engedélyezésének meghatározása
A jogcímek kulcs-érték párokból állnak, amelyek a következő típusú információkat biztosítják:
- A jogkivonatot létrehozó biztonsági jogkivonat-kiszolgáló
- A token létrehozásának dátuma
- Tárgy (mint a felhasználó, de démonok nem)
- Célközönség, amely az az alkalmazás, amelyhez a jogkivonat létre lett hozva
- A jogkivonatot kérő alkalmazás (az ügyfél)
Token végpontok és kiadók
A Microsoft Entra ID két bérlőkonfigurációt támogat: a belső használatra szánt és az alkalmazottakat és üzleti vendégeket kezelő munkaerő-konfigurációt, valamint egy olyan ügyfélkonfigurációt , amely a korlátozott külső elérésű címtárban lévő felhasználók és partnerek elkülönítésére van optimalizálva. Bár a mögöttes identitásszolgáltatás mindkét bérlőkonfiguráció esetében azonos, a külső bérlők bejelentkezési tartományai és tokenkibocsátó hatósága eltérő. Ez lehetővé teszi az alkalmazások számára, hogy szükség esetén elkülönítve tartsák a munkaerőt és a külső azonosító munkafolyamatokat.
A Microsoft Entra munkaerő-bérlők a login.microsoftonline.com webhelyen hitelesítik magukat a sts.windows.net által kibocsátott tokenekkel. A munkaerő számára kiadott bérlői jogkivonatok átjárhatóak a bérlők és a többszörös-bérlős alkalmazások között, mindaddig, amíg a mögöttes megbízhatósági kapcsolatok lehetővé teszik ezt az interoperabilitást. A Microsoft Entra külső bérlői az űrlap {tenantname}.ciamlogin.comvégpontjait használják. A külső bérlők számára regisztrált alkalmazásoknak tisztában kell lenniük az elkülönítéssel, hogy a jogkivonatokat helyesen fogadhassák és érvényesíthessék.
Minden Microsoft Entra-bérlő közzétesz egy szabványnak megfelelő, jól ismert metaadatokat. Ez a dokumentum információkat tartalmaz a kiállító nevéről, a hitelesítési és engedélyezési végpontokról, a támogatott hatókörökről és jogcímekről. Külső bérlők esetén a dokumentum nyilvánosan elérhető a következő címen: https://{tenantname}.ciamlogin.com/{tenantid}/v2.0/.well-known/openid-configuration. Ez a végpont egy kiállítói értéket ad vissza https://{tenantid}.ciamlogin.com/{tenantid}/v2.0.
Engedélyezési folyamatok és hitelesítési kódok
Az ügyfél felépítésétől függően használhatja a Microsoft Identitásplatform által támogatott hitelesítési folyamatokat. A támogatott folyamatok különböző jogkivonatokat és engedélyezési kódokat hozhatnak létre, és különböző jogkivonatokat igényelhetnek a működésükhöz. Az alábbi táblázat áttekintést nyújt.
| Áramlás | Szükséges | Azonosító token | Hozzáférési jogkivonat | Jogkivonat frissítése | Engedélyezési kód |
|---|---|---|---|---|---|
| Engedélyezési kódfolyamat | x | x | x | x | |
| Implicit munkamenet | x | x | |||
| Hibrid OIDC-folyamat | x | x | |||
| Frissítő token beváltása | Jogkivonat frissítése | x | x | x | |
| Meghatalmazásos folyamat | Hozzáférési jogkivonat | x | x | x | |
| Ügyfél-hitelesítő adatok | x (csak alkalmazás) |
Kapcsolódó tartalom
- A hitelesítés és az engedélyezés alapfogalmaival kapcsolatban lásd : Hitelesítés és engedélyezés.
- OAuth 2.0
- OpenID csatlakozás