Verificatie vs. autorisatie

In dit artikel worden verificatie en autorisatie gedefinieerd. Het behandelt ook kort Multi-Factor Authentication en hoe u de Microsoft identity platform kunt gebruiken om gebruikers te verifiëren en autoriseren in uw web-apps, web-API's of apps die beveiligde web-API's aanroepen. Als u een term ziet waarmee u niet bekend bent, kunt u onze woordenlijst of onze Microsoft identity platform video's proberen, die betrekking hebben op basisconcepten.

Verificatie

Verificatie is het proces van bewijzen dat u bent wie u zegt dat u bent. Dit wordt bereikt door verificatie van de identiteit van een persoon of apparaat. Het wordt soms ingekort tot AuthN. De Microsoft identity platform maakt gebruik van het OpenID Connect-protocol voor het verwerken van verificatie.

Autorisatie

Autorisatie is het verlenen van een geverifieerde partijmachtiging om iets te doen. Hiermee wordt aangegeven welke gegevens u mag openen en wat u met die gegevens kunt doen. Autorisatie wordt soms ingekort tot AuthZ. De Microsoft identity platform gebruikt het OAuth 2.0-protocol voor het verwerken van autorisatie.

Meervoudige verificatie

Meervoudige verificatie is het leveren van een extra verificatiefactor aan een account. Dit wordt vaak gebruikt om te beschermen tegen beveiligingsaanvallen. Het wordt soms ingekort tot MFA of 2FA. De Microsoft Authenticator kan worden gebruikt als een app voor het afhandelen van tweeledige verificatie. Zie meervoudige verificatie voor meer informatie.

Verificatie en autorisatie met behulp van de Microsoft identity platform

Het maken van apps die elk hun eigen gebruikersnaam- en wachtwoordgegevens onderhouden, zorgt voor een hoge administratieve last bij het toevoegen of verwijderen van gebruikers in meerdere apps. In plaats daarvan kunnen uw apps die verantwoordelijkheid delegeren aan een gecentraliseerde id-provider.

Azure Active Directory (Azure AD) is een gecentraliseerde id-provider in de cloud. Het delegeren van verificatie en autorisatie voor de verificatie maakt scenario's mogelijk, zoals:

  • Beleid voor voorwaardelijke toegang waarvoor een gebruiker zich op een specifieke locatie moet bevinden.
  • Multi-Factor Authentication waarvoor een gebruiker een specifiek apparaat moet hebben.
  • Als u een gebruiker in staat stelt zich eenmaal aan te melden en vervolgens automatisch wordt aangemeld bij alle web-apps die dezelfde gecentraliseerde map delen. Deze mogelijkheid wordt eenmalige aanmelding (SSO) genoemd.

De Microsoft identity platform vereenvoudigt autorisatie en verificatie voor toepassingsontwikkelaars door identiteit als een service te bieden. Het ondersteunt standaardprotocollen en opensourcebibliotheken voor verschillende platforms, zodat u snel kunt beginnen met coderen. Hiermee kunnen ontwikkelaars toepassingen bouwen die zich aanmelden bij alle Microsoft-identiteiten, tokens ophalen om Microsoft Graph aan te roepen, toegang te krijgen tot Microsoft API's of toegang te krijgen tot andere API's die ontwikkelaars hebben gebouwd.

In deze video worden de Microsoft identity platform en de basisprincipes van moderne verificatie uitgelegd:

Hier volgt een vergelijking van de protocollen die door de Microsoft identity platform worden gebruikt:

  • OAuth versus OpenID Connect: het platform maakt gebruik van OAuth voor autorisatie en OpenID Connect (OIDC) voor verificatie. OpenID Connect is gebouwd op OAuth 2.0, dus de terminologie en stroom zijn vergelijkbaar tussen de twee. U kunt zelfs een gebruiker verifiëren (via OpenID Connect) en autorisatie krijgen voor toegang tot een beveiligde resource die de gebruiker in één aanvraag bezit (via OAuth 2.0). Zie OAuth 2.0- en OpenID Connect-protocollen en het OpenID Connect-protocol voor meer informatie.
  • OAuth versus SAML: het platform gebruikt OAuth 2.0 voor autorisatie en SAML voor verificatie. Zie Microsoft identity platform- en OAuth 2.0 SAML Bearer-assertiestroom voor meer informatie over het gebruik van deze protocollen om een gebruiker te verifiëren en autorisatie op te halen voor toegang tot een beveiligde resource.
  • OpenID Connect versus SAML: het platform gebruikt zowel OpenID Connect als SAML om een gebruiker te verifiëren en eenmalige aanmelding in te schakelen. SAML-verificatie wordt vaak gebruikt met id-providers, zoals Active Directory Federation Services (AD FS) die zijn gefedereerd aan Azure AD, dus wordt deze vaak gebruikt in bedrijfstoepassingen. OpenID Connect wordt vaak gebruikt voor apps die zich uitsluitend in de cloud bevinden, zoals mobiele apps, websites en web-API's.

Volgende stappen

Voor andere onderwerpen met betrekking tot de basisprincipes van verificatie en autorisatie:

  • Zie Beveiligingstokens voor meer informatie over hoe toegangstokens, vernieuwingstokens en id-tokens worden gebruikt in autorisatie en verificatie.
  • Zie het toepassingsmodel voor meer informatie over het proces van het registreren van uw toepassing, zodat deze kan worden geïntegreerd met de Microsoft identity platform.