Uwierzytelnianie i autoryzacja

  • Artykuł

W tym artykule zdefiniowano uwierzytelnianie i autoryzację. Krótko omówiono również usługę Multi-Factor Authentication oraz sposób używania Platforma tożsamości Microsoft do uwierzytelniania i autoryzacji użytkowników w aplikacjach internetowych, internetowych interfejsach API lub aplikacjach wywołujących chronione internetowe interfejsy API. Jeśli widzisz termin, którego nie znasz, wypróbuj nasz słownik lub nasze filmy wideo Platforma tożsamości Microsoft, które obejmują podstawowe pojęcia.

Uwierzytelnianie

Uwierzytelnianie to proces potwierdzania, że jesteś tym, kim jesteś. Jest to osiągane przez weryfikację tożsamości osoby lub urządzenia. Czasami jest skracany do AuthN. Platforma tożsamości Microsoft używa protokołu OpenID Połączenie do obsługi uwierzytelniania.

Autoryzacja

Autoryzacja to czynność udzielania uwierzytelnionej osobie uprawnienia do wykonywania czegoś. Określa, do jakich danych masz dostęp i jakie czynności można wykonać za pomocą tych danych. Autoryzacja jest czasami skracana do AuthZ. Platforma tożsamości Microsoft używa protokołu OAuth 2.0 do obsługi autoryzacji.

Uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe to czynność dostarczania innego czynnika uwierzytelniania do konta. Jest to często używane do ochrony przed atakami siłowymi. Czasami skraca się do uwierzytelniania wieloskładnikowego lub 2FA. Aplikacja Microsoft Authenticator może służyć jako aplikacja do obsługi uwierzytelniania dwuskładnikowego. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie wieloskładnikowe.

Uwierzytelnianie i autoryzacja przy użyciu Platforma tożsamości Microsoft

Tworzenie aplikacji, które każda z nich utrzymuje własną nazwę użytkownika i hasło, wiąże się z dużym obciążeniem administracyjnym podczas dodawania lub usuwania użytkowników w wielu aplikacjach. Zamiast tego aplikacje mogą delegować ten obowiązek do scentralizowanego dostawcy tożsamości.

Microsoft Entra ID to scentralizowany dostawca tożsamości w chmurze. Delegowanie uwierzytelniania i autoryzacji do niego umożliwia takie scenariusze jak:

  • Zasady dostępu warunkowego, które wymagają, aby użytkownik był w określonej lokalizacji.
  • Usługa Multi-Factor Authentication, która wymaga od użytkownika posiadania określonego urządzenia.
  • Umożliwianie użytkownikowi logowania jednokrotnego, a następnie automatyczne logowanie do wszystkich aplikacji internetowych, które współużytkuje ten sam scentralizowany katalog. Ta funkcja jest nazywana logowaniem jednokrotnym.

Platforma tożsamości Microsoft upraszcza autoryzację i uwierzytelnianie dla deweloperów aplikacji, zapewniając tożsamość jako usługę. Obsługuje standardowe protokoły branżowe i biblioteki open source dla różnych platform, aby ułatwić szybkie rozpoczęcie kodowania. Umożliwia deweloperom tworzenie aplikacji, które logują się we wszystkich tożsamościach firmy Microsoft, uzyskują tokeny do wywoływania programu Microsoft Graph, uzyskiwania dostępu do interfejsów API firmy Microsoft lub uzyskiwania dostępu do innych interfejsów API utworzonych przez deweloperów.

W tym filmie wideo wyjaśniono Platforma tożsamości Microsoft i podstawy nowoczesnego uwierzytelniania:

Oto porównanie protokołów używanych przez Platforma tożsamości Microsoft:

  • OAuth a OpenID Połączenie: platforma używa protokołu OAuth do autoryzacji i interfejsu OpenID Połączenie (OIDC) na potrzeby uwierzytelniania. Połączenie OpenID jest zbudowany na podstawie protokołu OAuth 2.0, więc terminologia i przepływ są podobne między nimi. Możesz nawet uwierzytelnić użytkownika (za pośrednictwem Połączenie OpenID) i uzyskać autoryzację dostępu do chronionego zasobu, który użytkownik jest właścicielem (za pośrednictwem protokołu OAuth 2.0) w jednym żądaniu. Aby uzyskać więcej informacji, zobacz Protokoły OAuth 2.0 i OpenID Połączenie oraz protokół Połączenie OpenID.
  • OAuth a SAML: platforma używa protokołu OAuth 2.0 do autoryzacji i protokołu SAML na potrzeby uwierzytelniania. Aby uzyskać więcej informacji na temat używania tych protokołów do uwierzytelniania użytkownika i uzyskiwania autoryzacji w celu uzyskania dostępu do chronionego zasobu, zobacz Platforma tożsamości Microsoft i przepływ asercji elementu nośnego SAML 2.0.
  • OpenID Połączenie a SAML: platforma używa zarówno Połączenie OpenID, jak i SAML do uwierzytelniania użytkownika i włączania logowania jednokrotnego. Uwierzytelnianie SAML jest często używane z dostawcami tożsamości, takimi jak usługi Active Directory Federation Services (AD FS) federacyjne do identyfikatora Entra firmy Microsoft, dlatego jest często używany w aplikacjach dla przedsiębiorstw. Połączenie OpenID jest często używany w przypadku aplikacji, które znajdują się wyłącznie w chmurze, takich jak aplikacje mobilne, witryny internetowe i internetowe interfejsy API.

Następne kroki

W innych tematach, które obejmują podstawy uwierzytelniania i autoryzacji:

  • Aby dowiedzieć się, jak tokeny dostępu, tokeny odświeżania i tokeny identyfikatorów są używane w autoryzacji i uwierzytelnianiu, zobacz Tokeny zabezpieczające.
  • Aby dowiedzieć się więcej na temat procesu rejestrowania aplikacji, aby umożliwić integrację z Platforma tożsamości Microsoft, zobacz Model aplikacji.
  • Aby dowiedzieć się więcej na temat prawidłowej autoryzacji przy użyciu oświadczeń tokenów, zobacz Zabezpieczanie aplikacji i interfejsów API przez weryfikowanie oświadczeń