Hitelesítés és engedélyezés
Ez a cikk a hitelesítést és az engedélyezést határozza meg. Röviden bemutatja a többtényezős hitelesítést, valamint azt is, hogyan használhatja a Microsoft Identitásplatform a webalkalmazások, webes API-k vagy védett webes API-kat hívó alkalmazások felhasználóinak hitelesítésére és engedélyezésére. Ha olyan kifejezést lát, amelyet nem ismer, próbálja ki szószedetünket vagy Microsoft Identitásplatform videóinkat, amelyek alapfogalmakat fednek le.
Hitelesítés
A hitelesítés annak bizonyítása, hogy Ön az, akinek mondja magát. Ez egy személy vagy eszköz személyazonosságának ellenőrzésével érhető el. Néha rövidítve van AuthN-ra. A Microsoft Identitásplatform az OpenID Connect protokollt használja a hitelesítés kezeléséhez.
Engedélyezés
Az engedélyezés egy hitelesített fél engedélyének megadása valamilyen művelethez. Meghatározza, hogy milyen adatokhoz férhet hozzá, és mit tehet az adatokkal. Az engedélyezés néha rövidítve van az AuthZ-hez. A Microsoft Identitásplatform lehetővé teszi az erőforrás-tulajdonosok számára, hogy az OAuth 2.0 protokollt használják az engedélyezés kezeléséhez, de a Microsoft-felhő más engedélyezési rendszerekkel is rendelkezik, például az Entra beépített szerepköreivel, az Azure RBAC-vel és az Exchange RBAC-vel.
Többtényezős hitelesítés
A többtényezős hitelesítés a fiók hitelesítésének másik tényezője. Ezt gyakran használják a találgatásos támadások elleni védelemre. Néha MFA-ra vagy 2FA-ra rövidül. A Microsoft Authenticator alkalmazásként használható a kéttényezős hitelesítés kezeléséhez. További információ: többtényezős hitelesítés.
Hitelesítés és engedélyezés a Microsoft Identitásplatform
Az olyan alkalmazások létrehozása, amelyek mindegyike saját felhasználónevet és jelszót tartalmaz, nagy adminisztrációs terhet jelent a felhasználók több alkalmazáson belüli hozzáadásakor vagy eltávolításakor. Ehelyett az alkalmazások delegálhatják ezt a felelősséget egy központosított identitásszolgáltatónak.
A Microsoft Entra ID egy központi identitásszolgáltató a felhőben. A hitelesítés és az engedélyezés delegálása olyan forgatókönyveket tesz lehetővé, mint például:
- Feltételes hozzáférési szabályzatok, amelyek megkövetelik, hogy egy felhasználó egy adott helyen legyen.
- Többtényezős hitelesítés, amelyhez a felhasználónak egy adott eszközre van szüksége.
- Lehetővé teszi, hogy egy felhasználó egyszer jelentkezzen be, majd automatikusan bejelentkezjen az összes olyan webalkalmazásba, amely ugyanazt a központi könyvtárat használja. Ezt a képességet egyszeri bejelentkezésnek (SSO) nevezzük.
A Microsoft Identitásplatform az identitás szolgáltatásként való biztosításával leegyszerűsíti az alkalmazásfejlesztők hitelesítését és hitelesítését. Támogatja az iparági szabványoknak megfelelő protokollokat és nyílt forráskódú kódtárakat a különböző platformokhoz, hogy gyorsan elkezdhesse a kódolást. Lehetővé teszi, hogy a fejlesztők olyan alkalmazásokat építsenek, amelyek minden Microsoft-identitásba bejelentkeznek, jogkivonatokat kapnak a Microsoft Graph meghívásához, a Microsoft API-khoz való hozzáféréshez vagy más, a fejlesztők által létrehozott API-khoz való hozzáféréshez.
Ez a videó a modern hitelesítés Microsoft Identitásplatform és alapjait ismerteti:
Íme a Microsoft Identitásplatform által használt protokollok összehasonlítása:
- OAuth és OpenID Connect: A platform az OAuthot használja az engedélyezéshez, az OpenID Connectet (OIDC) pedig a hitelesítéshez. Az OpenID Connect az OAuth 2.0-ra épül, így a terminológia és a folyamat hasonló a kettő között. Akár hitelesítheti is a felhasználót (az OpenID Connecten keresztül), és egy kérelemben engedélyt kérhet a felhasználó által birtokolt védett erőforrás elérésére (az OAuth 2.0-n keresztül). További információ: OAuth 2.0 és OpenID Connect protokollok és OpenID Connect protokoll.
- OAuth és SAML: A platform az OAuth 2.0-t használja az engedélyezéshez, az SAML-t pedig a hitelesítéshez. Ha többet szeretne tudni arról, hogyan használhatja együtt ezeket a protokollokat a felhasználók hitelesítéséhez és a védett erőforrásokhoz való hozzáférés engedélyezéséhez, tekintse meg a Microsoft Identitásplatform és az OAuth 2.0 SAML-tulajdonosi érvényesítési folyamatot.
- OpenID Connect és SAML: A platform az OpenID Connect és az SAML használatával hitelesít egy felhasználót, és engedélyezi az egyszeri bejelentkezést. Az SAML-hitelesítést gyakran használják olyan identitásszolgáltatóknál, mint például Active Directory összevonási szolgáltatások (AD FS) (AD FS) a Microsoft Entra ID-hez összevonva, ezért gyakran használják nagyvállalati alkalmazásokban. Az OpenID Connectet gyakran használják kizárólag a felhőben található alkalmazásokhoz, például mobilalkalmazásokhoz, webhelyekhez és webes API-khoz.
Következő lépések
A hitelesítés és az engedélyezés alapjait ismertető egyéb témakörök:
- A hozzáférési jogkivonatok, a frissítési jogkivonatok és az azonosító jogkivonatok hitelesítésben és hitelesítésben való használatáról a Biztonsági jogkivonatok című témakörben olvashat.
- Az alkalmazás regisztrálásának folyamatáról az Microsoft Identitásplatform integrálható alkalmazásmodellben olvashat.
- A jogkivonat-jogcímek használatával történő megfelelő engedélyezésről további információt a jogcímek érvényesítésével kapcsolatos biztonságos alkalmazások és API-k című témakörben talál .
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: