Megosztás a következőn keresztül:


Hitelesítés és engedélyezés

Ez a cikk a hitelesítést és az engedélyezést határozza meg. Röviden bemutatja a többtényezős hitelesítést, valamint azt is, hogyan használhatja a Microsoft Identitásplatform a webalkalmazások, webes API-k vagy védett webes API-kat hívó alkalmazások felhasználóinak hitelesítésére és engedélyezésére. Ha olyan kifejezést lát, amelyet nem ismer, próbálja ki szószedetünket vagy Microsoft Identitásplatform videóinkat, amelyek alapfogalmakat fednek le.

Hitelesítés

A hitelesítés annak bizonyítása, hogy Ön az, akinek mondja magát. Ez egy személy vagy eszköz személyazonosságának ellenőrzésével érhető el. Néha rövidítve van AuthN-ra. A Microsoft Identitásplatform az OpenID Connect protokollt használja a hitelesítés kezeléséhez.

Engedélyezés

Az engedélyezés egy hitelesített fél engedélyének megadása valamilyen művelethez. Meghatározza, hogy milyen adatokhoz férhet hozzá, és mit tehet az adatokkal. Az engedélyezés néha rövidítve van az AuthZ-hez. A Microsoft Identitásplatform lehetővé teszi az erőforrás-tulajdonosok számára, hogy az OAuth 2.0 protokollt használják az engedélyezés kezeléséhez, de a Microsoft-felhő más engedélyezési rendszerekkel is rendelkezik, például az Entra beépített szerepköreivel, az Azure RBAC-vel és az Exchange RBAC-vel.

Többtényezős hitelesítés

A többtényezős hitelesítés a fiók hitelesítésének másik tényezője. Ezt gyakran használják a találgatásos támadások elleni védelemre. Néha MFA-ra vagy 2FA-ra rövidül. A Microsoft Authenticator alkalmazásként használható a kéttényezős hitelesítés kezeléséhez. További információ: többtényezős hitelesítés.

Hitelesítés és engedélyezés a Microsoft Identitásplatform

Az olyan alkalmazások létrehozása, amelyek mindegyike saját felhasználónevet és jelszót tartalmaz, nagy adminisztrációs terhet jelent a felhasználók több alkalmazáson belüli hozzáadásakor vagy eltávolításakor. Ehelyett az alkalmazások delegálhatják ezt a felelősséget egy központosított identitásszolgáltatónak.

A Microsoft Entra ID egy központi identitásszolgáltató a felhőben. A hitelesítés és az engedélyezés delegálása olyan forgatókönyveket tesz lehetővé, mint például:

  • Feltételes hozzáférési szabályzatok, amelyek megkövetelik, hogy egy felhasználó egy adott helyen legyen.
  • Többtényezős hitelesítés, amelyhez a felhasználónak egy adott eszközre van szüksége.
  • Lehetővé teszi, hogy egy felhasználó egyszer jelentkezzen be, majd automatikusan bejelentkezjen az összes olyan webalkalmazásba, amely ugyanazt a központi könyvtárat használja. Ezt a képességet egyszeri bejelentkezésnek (SSO) nevezzük.

A Microsoft Identitásplatform az identitás szolgáltatásként való biztosításával leegyszerűsíti az alkalmazásfejlesztők hitelesítését és hitelesítését. Támogatja az iparági szabványoknak megfelelő protokollokat és nyílt forráskódú kódtárakat a különböző platformokhoz, hogy gyorsan elkezdhesse a kódolást. Lehetővé teszi, hogy a fejlesztők olyan alkalmazásokat építsenek, amelyek minden Microsoft-identitásba bejelentkeznek, jogkivonatokat kapnak a Microsoft Graph meghívásához, a Microsoft API-khoz való hozzáféréshez vagy más, a fejlesztők által létrehozott API-khoz való hozzáféréshez.

Ez a videó a modern hitelesítés Microsoft Identitásplatform és alapjait ismerteti:

Íme a Microsoft Identitásplatform által használt protokollok összehasonlítása:

  • OAuth és OpenID Connect: A platform az OAuthot használja az engedélyezéshez, az OpenID Connectet (OIDC) pedig a hitelesítéshez. Az OpenID Connect az OAuth 2.0-ra épül, így a terminológia és a folyamat hasonló a kettő között. Akár hitelesítheti is a felhasználót (az OpenID Connecten keresztül), és egy kérelemben engedélyt kérhet a felhasználó által birtokolt védett erőforrás elérésére (az OAuth 2.0-n keresztül). További információ: OAuth 2.0 és OpenID Connect protokollok és OpenID Connect protokoll.
  • OAuth és SAML: A platform az OAuth 2.0-t használja az engedélyezéshez, az SAML-t pedig a hitelesítéshez. Ha többet szeretne tudni arról, hogyan használhatja együtt ezeket a protokollokat a felhasználók hitelesítéséhez és a védett erőforrásokhoz való hozzáférés engedélyezéséhez, tekintse meg a Microsoft Identitásplatform és az OAuth 2.0 SAML-tulajdonosi érvényesítési folyamatot.
  • OpenID Connect és SAML: A platform az OpenID Connect és az SAML használatával hitelesít egy felhasználót, és engedélyezi az egyszeri bejelentkezést. Az SAML-hitelesítést gyakran használják olyan identitásszolgáltatóknál, mint például Active Directory összevonási szolgáltatások (AD FS) (AD FS) a Microsoft Entra ID-hez összevonva, ezért gyakran használják nagyvállalati alkalmazásokban. Az OpenID Connectet gyakran használják kizárólag a felhőben található alkalmazásokhoz, például mobilalkalmazásokhoz, webhelyekhez és webes API-khoz.

Következő lépések

A hitelesítés és az engedélyezés alapjait ismertető egyéb témakörök:

  • A hozzáférési jogkivonatok, a frissítési jogkivonatok és az azonosító jogkivonatok hitelesítésben és hitelesítésben való használatáról a Biztonsági jogkivonatok című témakörben olvashat.
  • Az alkalmazás regisztrálásának folyamatáról az Microsoft Identitásplatform integrálható alkalmazásmodellben olvashat.
  • A jogkivonat-jogcímek használatával történő megfelelő engedélyezésről további információt a jogcímek érvényesítésével kapcsolatos biztonságos alkalmazások és API-k című témakörben talál .