Hitelesítés és engedélyezés a Microsoft Entra-azonosítóban
A Microsoft Entra ID olyan modern hitelesítési protokollok támogatásával biztosít hitelesítési és engedélyezési szolgáltatást, mint az OAuth 2.0 és az OpenID Connect, szabványoknak megfelelő módon. A Microsoft Entra-azonosítóval használhat nyílt forráskódú kódtárakat, például a Microsoft Authentication Libraryt (MSAL) és más szabványnak megfelelő kódtárakat.
Az alkalmazotti portál forgatókönyvében megtudhatja, hogy a szervezet a Microsoft Entra-azonosítót használja identitásszolgáltatóként a hitelesítéshez és engedélyezéshez.
Ebben a leckében megismerheti a hitelesítést, az engedélyezést és azok Microsoft Entra-azonosítóban való használatát.
Hitelesítés
A hitelesítés az alkalmazáshoz hozzáférő végfelhasználó személyazonosságának megállapítására és ellenőrzésére irányuló folyamat.
A Microsoft Entra ID az OpenID Connect protokollt használja a hitelesítés kezeléséhez. Az OpenID Connect lehetővé teszi az alkalmazások számára, hogy alapvető információkat szerezzenek be a hitelesített felhasználóról és munkamenetről.
Engedélyezés
Az engedélyezés annak biztosítása, hogy egy hitelesített felhasználó rendelkezik engedéllyel bizonyos műveletek végrehajtására vagy bizonyos adatok elérésére.
Az OAuth 2.0 protokoll a Különböző alkalmazások engedélyezési folyamatainak biztosítására szolgál a Microsoft Entra ID-ban.
Alkalmazásregisztráció
A Microsoft Entra ID használatához regisztrálnia kell az alkalmazást, mielőtt identitás- és hozzáférés-kezelési szolgáltatásokat biztosíthat. Az alkalmazás regisztrálása megbízhatósági kapcsolatot hoz létre az alkalmazás és az identitásszolgáltató között. Alkalmazásregisztrációt az Azure Portalon hozhat létre az Azure CLI használatával, és akár programozott módon is használhatja a Microsoft Graph API-kat.
Az alkalmazásregisztráció lehetővé teszi az alkalmazás nevének, az alkalmazás típusának (webes, asztali stb.) és a bejelentkezési célközönségnek a megadását, amely azokat a felhasználói fiókokat tartalmazza, amelyekhez engedélyezni szeretné a hozzáférést. A bejelentkezési célközönség a következőket tartalmazza:
- Ebben a szervezeti címtárban csak akkor vannak fiókok, ha csak a szervezeti bérlő (egybérlős) felhasználói számára hoz létre alkalmazásokat.
- Bármely szervezeti címtárban lévő fiókok, ha azt szeretné, hogy bármely Microsoft Entra-bérlő felhasználói használják az alkalmazást (több-bérlős).
- Bármely szervezeti címtárban és személyes Microsoft-fiókban található fiókok a legszélesebb ügyfélkészlethez (több-bérlős , amely a Microsoft személyes fiókjait is támogatja).
- Személyes Microsoft-fiókok csak személyes Microsoft-fiókok (például Hotmail, Live, Skype és Xbox-fiókok) felhasználói számára.
Emellett konfigurálhatja a hitelesítő adatokat, átirányíthatja az URI-kat és más hitelesítési beállításokat az alkalmazásregisztrációban.
Amikor egy alkalmazásregisztráció befejeződött, megkapja az alkalmazás (ügyfél) azonosítóját , amely egyedileg azonosítja az alkalmazást a Microsoft Entra-azonosítóban. Ezt az azonosítót az alkalmazáskódban vagy a hitelesítési kódtárban használja a Microsoft Entra ID-nak küldött kérések részeként.