Delen via


Verificatie vs. autorisatie

In dit artikel worden verificatie en autorisatie gedefinieerd. Ook wordt kort aandacht besteed aan meervoudige verificatie en hoe u het Microsoft Identity Platform kunt gebruiken om gebruikers te verifiëren en autoriseren in uw web-apps, web-API's of apps die beveiligde web-API's aanroepen. Als u een term ziet waarmee u niet bekend bent, kunt u onze woordenlijst of onze Microsoft Identity Platform-video's proberen, waarin de basisconcepten worden behandeld.

Verificatie

Verificatie is het proces om aan te tonen dat u bent wie u zegt dat u bent. Dit wordt bereikt door verificatie van de identiteit van een persoon of apparaat. Het wordt soms ingekort tot AuthN. Het Microsoft Identity Platform maakt gebruik van het OpenID Connect-protocol voor het afhandelen van verificatie.

Autorisatie

Autorisatie is het verlenen van een geverifieerde partijmachtiging om iets te doen. Hiermee geeft u op welke gegevens u toegang hebt en wat u met die gegevens kunt doen. Autorisatie wordt soms ingekort tot AuthZ. Het Microsoft Identity Platform biedt resource-eigenaren de mogelijkheid om het OAuth 2.0-protocol te gebruiken voor het verwerken van autorisatie, maar de Microsoft-cloud heeft ook andere autorisatiesystemen, zoals ingebouwde Entra-rollen, Azure RBAC en Exchange RBAC.

Meervoudige verificatie

Meervoudige verificatie is het leveren van een andere verificatiefactor aan een account. Dit wordt vaak gebruikt om te beschermen tegen beveiligingsaanvallen. Het wordt soms ingekort tot MFA of 2FA. Microsoft Authenticator kan worden gebruikt als een app voor het verwerken van tweeledige verificatie. Zie meervoudige verificatie voor meer informatie.

Verificatie en autorisatie met behulp van het Microsoft Identity Platform

Het maken van apps die elk hun eigen gebruikersnaam en wachtwoordgegevens onderhouden, zorgt voor een hoge administratieve last bij het toevoegen of verwijderen van gebruikers in meerdere apps. In plaats daarvan kunnen uw apps die verantwoordelijkheid delegeren aan een gecentraliseerde id-provider.

Microsoft Entra ID is een gecentraliseerde id-provider in de cloud. Het delegeren van verificatie en autorisatie voor deze verificatie maakt scenario's mogelijk, zoals:

  • Beleid voor voorwaardelijke toegang waarvoor een gebruiker zich op een specifieke locatie moet bevinden.
  • Meervoudige verificatie waarvoor een gebruiker een specifiek apparaat moet hebben.
  • Als u een gebruiker in staat stelt zich eenmaal aan te melden en vervolgens automatisch wordt aangemeld bij alle web-apps die dezelfde gecentraliseerde map delen. Deze mogelijkheid wordt eenmalige aanmelding (SSO) genoemd.

Het Microsoft Identity Platform vereenvoudigt autorisatie en verificatie voor toepassingsontwikkelaars door identiteit als een service te bieden. Het ondersteunt standaardprotocollen en opensourcebibliotheken voor verschillende platforms, zodat u snel kunt beginnen met coderen. Hiermee kunnen ontwikkelaars toepassingen bouwen die zich aanmelden bij alle Microsoft-identiteiten, tokens ophalen om Microsoft Graph aan te roepen, toegang te krijgen tot Microsoft-API's of toegang krijgen tot andere API's die ontwikkelaars hebben gebouwd.

In deze video worden het Microsoft Identity Platform en de basisprincipes van moderne verificatie uitgelegd:

Hier volgt een vergelijking van de protocollen die door het Microsoft Identity Platform worden gebruikt:

  • OAuth versus OpenID Connect: het platform maakt gebruik van OAuth voor autorisatie en OpenID Connect (OIDC) voor verificatie. OpenID Connect is gebouwd op basis van OAuth 2.0, zodat de terminologie en stroom vergelijkbaar zijn tussen de twee. U kunt zelfs een gebruiker verifiëren (via OpenID Connect) en autorisatie krijgen voor toegang tot een beveiligde resource die de gebruiker in één aanvraag bezit (via OAuth 2.0). Zie OAuth 2.0- en OpenID Connect-protocollen en het OpenID Connect-protocol voor meer informatie.
  • OAuth versus SAML: het platform maakt gebruik van OAuth 2.0 voor autorisatie en SAML voor verificatie. Zie microsoft identity platform en OAuth 2.0 SAML bearer assertion flow voor meer informatie over het gebruik van deze protocollen om zowel een gebruiker te verifiëren als autorisatie voor toegang tot een beveiligde resource.
  • OpenID Connect versus SAML: het platform gebruikt zowel OpenID Connect als SAML om een gebruiker te verifiëren en eenmalige aanmelding in te schakelen. SAML-verificatie wordt vaak gebruikt met id-providers zoals Active Directory Federation Services (AD FS) die zijn gefedereerd aan Microsoft Entra-id, dus deze wordt vaak gebruikt in bedrijfstoepassingen. OpenID Connect wordt vaak gebruikt voor apps die zich uitsluitend in de cloud bevinden, zoals mobiele apps, websites en web-API's.

Volgende stappen

Voor andere onderwerpen die betrekking hebben op de basisprincipes van verificatie en autorisatie: