Verificatie en autorisatie in Microsoft Entra-id
Microsoft Entra ID biedt verificatie- en autorisatieservice door moderne verificatieprotocollen, zoals OAuth 2.0 en OpenID Connect, op een standaardenconforme manier te ondersteunen. U kunt opensourcebibliotheken zoals Microsoft Authentication Library (MSAL) en andere standaardbibliotheken gebruiken met Microsoft Entra ID.
In het scenario voor werknemersportal leert u dat uw organisatie Microsoft Entra-id gebruikt als id-provider voor verificatie en autorisatie.
In deze les leert u meer over verificatie, autorisatie en hoe deze worden ondersteund in Microsoft Entra-id.
Verificatie
Verificatie verwijst naar het proces voor het tot stand brengen en verifiëren van de identiteit van de eindgebruiker die toegang heeft tot een toepassing.
Microsoft Entra ID maakt gebruik van het OpenID Connect-protocol voor het afhandelen van verificatie. Met OpenID Connect kunnen toepassingen basisinformatie verkrijgen over de geverifieerde gebruiker en sessie.
Autorisatie
Autorisatie is het proces om ervoor te zorgen dat een geverifieerde gebruiker de machtiging heeft om een bepaalde bewerking uit te voeren of toegang te krijgen tot bepaalde gegevens.
Het OAuth 2.0-protocol wordt gebruikt om autorisatiestromen te bieden voor verschillende toepassingen in Microsoft Entra-id.
Toepassingsregistratie
Voor De Microsoft Entra-id moet u uw toepassing registreren voordat deze identiteits- en toegangsbeheerservices kan bieden. Het registreren van uw toepassing brengt een vertrouwensrelatie tot stand tussen de toepassing en de id-provider. U kunt een toepassingsregistratie maken via Azure Portal, met behulp van de Azure CLI en zelfs programmatisch met behulp van Microsoft Graph-API's.
Met de toepassingsregistratie kunt u de naam van uw toepassing, het toepassingstype (web, desktop, enzovoort) en de aanmeldingsdoelgroep opgeven. Dit zijn de gebruikersaccounts waarvoor u toegang wilt toestaan. De aanmeldingsdoelgroep omvat:
- Accounts in deze organisatiemap alleen als u een toepassing bouwt voor alleen gebruik door gebruikers in de organisatietenant (één tenant).
- Accounts in een organisatiedirectory als u wilt dat gebruikers in een Microsoft Entra-tenant uw toepassing gebruiken (meerdere tenants).
- Accounts in elke organisatiedirectory en persoonlijke Microsoft-accounts voor de breedste set klanten (multitenant die ook persoonlijke Microsoft-accounts ondersteunt).
- Persoonlijke Microsoft-accounts voor alleen gebruik door gebruikers van persoonlijke Microsoft-accounts (bijvoorbeeld Hotmail-, Live-, Skype- en Xbox-accounts).
U kunt ook referenties, omleidings-URI's en andere verificatie-instellingen configureren voor de registratie van de toepassing.
Wanneer een toepassingsregistratie is voltooid, ontvangt u een toepassings-id (client) die uw toepassing uniek identificeert in Microsoft Entra-id. Deze id wordt gebruikt in uw toepassingscode of in de verificatiebibliotheek als onderdeel van de aanvragen voor Microsoft Entra-id.