Autentikasi vs. otorisasi
Artikel ini mendefinisikan autentikasi dan otorisasi. Ini juga secara singkat mencakup autentikasi multifaktor dan bagaimana Anda dapat menggunakan platform identitas Microsoft untuk mengautentikasi dan mengotorisasi pengguna di aplikasi web, API web, atau aplikasi yang memanggil API web yang dilindungi. Jika Anda melihat istilah yang tidak Anda kenal, cobalah video glosarium kami atau platform identitas Microsoft kami, yang membahas konsep dasar.
Autentikasi
Autentikasi adalah proses membuktikan bahwa Anda adalah orang yang Anda katakan. Hal ini dicapai dengan verifikasi identitas seseorang atau perangkat. Ini kadang-kadang disingkat menjadi AuthN. Platform identitas Microsoft menggunakan protokol OpenID Connect untuk menangani autentikasi.
Authorization
Otorisasi adalah tindakan memberi izin kepada pihak yang diautentikasi untuk melakukan sesuatu. Otorisasi menentukan data apa yang diizinkan untuk Anda akses dan apa yang dapat Anda lakukan dengan data tersebut. Otorisasi kadang-kadang disingkat menjadi AuthZ. platform identitas Microsoft menyediakan kemampuan kepada pemilik sumber daya untuk menggunakan protokol OAuth 2.0 untuk menangani otorisasi, tetapi cloud Microsoft juga memiliki sistem otorisasi lain seperti peran bawaan Entra, Azure RBAC, dan Exchange RBAC.
Autentikasi multifaktor
Autentikasi multifaktor adalah tindakan menyediakan faktor autentikasi lain ke akun. Hal ini sering digunakan untuk melindungi dari serangan brute force. Terkadang dipersingkat menjadi MFA atau 2FA. Microsoft Authenticator dapat digunakan sebagai aplikasi untuk menangani autentikasi dua faktor. Untuk informasi selengkapnya, lihat autentikasi multifaktor.
Autentikasi dan otorisasi menggunakan platform identitas Microsoft
Membuat berbagai aplikasi yang masing-masing mempertahankan informasi nama pengguna dan kata sandi sendiri menimbulkan beban administratif yang tinggi saat menambahkan atau menghapus pengguna di beberapa aplikasi. Sebagai gantinya, aplikasi Anda dapat mendelegasikan tanggung jawab tersebut ke penyedia identitas terpusat.
ID Microsoft Entra adalah idP terpusat di cloud. Mendelegasikan autentikasi dan otorisasi untuk memungkinkan skenario seperti:
- Kebijakan Akses Bersyarat yang mengharuskan pengguna berada di lokasi tertentu.
- Autentikasi multifaktor yang mengharuskan pengguna memiliki perangkat tertentu.
- Memungkinkan pengguna untuk masuk sekali dan kemudian secara otomatis masuk ke semua aplikasi web yang memiliki direktori terpusat yang sama. Kemampuan ini disebut single sign-on (SSO).
Platform identitas Microsoft menyederhanakan otorisasi dan autentikasi untuk pengembang aplikasi dengan menyediakan identitas sebagai layanan. Ini mendukung protokol standar industri dan pustaka sumber terbuka untuk platform yang berbeda untuk membantu Anda memulai pengkodean dengan cepat. Ini memungkinkan pengembang untuk membangun aplikasi yang masuk ke semua identitas Microsoft, mendapatkan token untuk memanggil Microsoft Graph, mengakses Microsoft API, atau mengakses API lain yang telah dibangun pengembang.
Video ini menjelaskan platform identitas Microsoft dan dasar-dasar autentikasi modern:
Berikut adalah perbandingan protokol yang digunakan platform identitas Microsoft:
- OAuth versus OpenID Connect: Platform ini menggunakan OAuth untuk otorisasi dan OpenID Connect (OIDC) untuk autentikasi. OpenID Connect dibangun di atas OAuth 2.0, sehingga terminologi dan alurnya mirip di antara keduanya. Anda bahkan dapat mengautentikasi pengguna (melalui OpenID Connect) dan mendapat otorisasi untuk mengakses sumber daya milik pengguna yang dilindungi (melalui OAuth 2.0) dalam satu permintaan. Untuk informasi selengkapnya, lihat protokol OAuth 2.0 dan OpenID Connect dan protokol OpenID Connect.
- OAuth versus SAML: Platform ini menggunakan OAuth 2.0 untuk otorisasi dan SAML untuk autentikasi. Untuk informasi selengkapnya tentang cara menggunakan protokol ini bersama-sama untuk mengautentikasi pengguna dan mendapat otorisasi untuk mengakses sumber daya yang dilindungi, lihat Platform identitas Microsoft dan alur pernyataan pembawa SAML OAuth 2.0.
- OpenID Connect versus SAML: Platform ini menggunakan OpenID Connect dan SAML untuk mengautentikasi pengguna dan mengaktifkan masuk tunggal. Autentikasi SAML umumnya digunakan dengan penyedia identitas seperti Layanan Federasi Direktori Aktif (AD FS) yang digabungkan ke ID Microsoft Entra, sehingga sering digunakan dalam aplikasi perusahaan. OpenID Connect umumnya digunakan untuk aplikasi yang murni di cloud, seperti aplikasi seluler, situs web, dan API web.
Langkah berikutnya
Untuk topik lain yang mencakup dasar-dasar autentikasi dan otorisasi:
- Untuk mempelajari bagaimana token akses, token refresh, dan token ID digunakan dalam autentikasi dan otorisasi, lihat Token keamanan.
- Untuk mempelajari tentang proses pendaftaran aplikasi Anda sehingga dapat diintegrasikan dengan platform identitas Microsoft, lihat Model aplikasi.
- Untuk mempelajari tentang otorisasi yang tepat menggunakan klaim token, lihat Mengamankan aplikasi dan API dengan memvalidasi klaim