Uwierzytelnianie i autoryzacja
W tym artykule zdefiniowano uwierzytelnianie i autoryzację. Krótko obejmuje również uwierzytelnianie wieloskładnikowe i sposób używania Platforma tożsamości Microsoft do uwierzytelniania i autoryzacji użytkowników w aplikacjach internetowych, internetowych interfejsach API lub aplikacjach, które nazywają chronione internetowe interfejsy API. Jeśli widzisz termin, którego nie znasz, wypróbuj nasz słownik lub nasze filmy wideo Platforma tożsamości Microsoft, które obejmują podstawowe pojęcia.
Uwierzytelnianie
Uwierzytelnianie to proces potwierdzania, że jesteś tym, kim jesteś. Jest to osiągane przez weryfikację tożsamości osoby lub urządzenia. Czasami jest skracany do AuthN. Platforma tożsamości Microsoft używa protokołu OpenID Connect do obsługi uwierzytelniania.
Autoryzacja
Autoryzacja to czynność udzielania uwierzytelnionej osobie uprawnienia do wykonywania czegoś. Określa, do jakich danych masz dostęp i jakie czynności można wykonać za pomocą tych danych. Autoryzacja jest czasami skracana do AuthZ. Platforma tożsamości Microsoft zapewnia właścicielom zasobów możliwość używania protokołu OAuth 2.0 do obsługi autoryzacji, ale chmura firmy Microsoft ma również inne systemy autoryzacji, takie jak wbudowane role Entra, kontrola dostępu oparta na rolach platformy Azure i kontrola dostępu oparta na rolach programu Exchange.
Uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe to czynność dostarczania innego czynnika uwierzytelniania do konta. Jest to często używane do ochrony przed atakami siłowymi. Czasami skraca się do uwierzytelniania wieloskładnikowego lub 2FA. Aplikacja Microsoft Authenticator może służyć jako aplikacja do obsługi uwierzytelniania dwuskładnikowego. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie wieloskładnikowe.
Uwierzytelnianie i autoryzacja przy użyciu Platforma tożsamości Microsoft
Tworzenie aplikacji, które każda z nich utrzymuje własną nazwę użytkownika i hasło, wiąże się z dużym obciążeniem administracyjnym podczas dodawania lub usuwania użytkowników w wielu aplikacjach. Zamiast tego aplikacje mogą delegować ten obowiązek do scentralizowanego dostawcy tożsamości.
Microsoft Entra ID to scentralizowany dostawca tożsamości w chmurze. Delegowanie uwierzytelniania i autoryzacji do niego umożliwia takie scenariusze jak:
- Zasady dostępu warunkowego, które wymagają, aby użytkownik był w określonej lokalizacji.
- Uwierzytelnianie wieloskładnikowe, które wymaga od użytkownika posiadania określonego urządzenia.
- Umożliwianie użytkownikowi logowania jednokrotnego, a następnie automatyczne logowanie do wszystkich aplikacji internetowych, które współużytkuje ten sam scentralizowany katalog. Ta funkcja jest nazywana logowaniem jednokrotnym.
Platforma tożsamości Microsoft upraszcza autoryzację i uwierzytelnianie dla deweloperów aplikacji, zapewniając tożsamość jako usługę. Obsługuje standardowe protokoły branżowe i biblioteki open source dla różnych platform, aby ułatwić szybkie rozpoczęcie kodowania. Umożliwia deweloperom tworzenie aplikacji, które logują się we wszystkich tożsamościach firmy Microsoft, uzyskują tokeny do wywoływania programu Microsoft Graph, uzyskiwania dostępu do interfejsów API firmy Microsoft lub uzyskiwania dostępu do innych interfejsów API utworzonych przez deweloperów.
W tym filmie wideo wyjaśniono Platforma tożsamości Microsoft i podstawy nowoczesnego uwierzytelniania:
Oto porównanie protokołów używanych przez Platforma tożsamości Microsoft:
- OAuth a OpenID Connect: platforma używa protokołu OAuth do autoryzacji i protokołu OpenID Connect (OIDC) na potrzeby uwierzytelniania. Program OpenID Connect jest oparty na usłudze OAuth 2.0, więc terminologia i przepływ są podobne między nimi. Możesz nawet uwierzytelnić użytkownika (za pośrednictwem programu OpenID Connect) i uzyskać autoryzację w celu uzyskania dostępu do chronionego zasobu, który jest właścicielem użytkownika (za pośrednictwem protokołu OAuth 2.0) w jednym żądaniu. Aby uzyskać więcej informacji, zobacz Protokoły OAuth 2.0 i OpenID Connect oraz protokół OpenID Connect.
- OAuth a SAML: platforma używa protokołu OAuth 2.0 do autoryzacji i protokołu SAML na potrzeby uwierzytelniania. Aby uzyskać więcej informacji na temat używania tych protokołów do uwierzytelniania użytkownika i uzyskiwania autoryzacji w celu uzyskania dostępu do chronionego zasobu, zobacz Platforma tożsamości Microsoft i przepływ asercji elementu nośnego SAML 2.0.
- OpenID Connect a SAML: platforma używa zarówno protokołu OpenID Connect, jak i SAML do uwierzytelniania użytkownika i włączania logowania jednokrotnego. Uwierzytelnianie SAML jest często używane z dostawcami tożsamości, takimi jak usługi Active Directory Federation Services (AD FS) federacyjne do identyfikatora Entra firmy Microsoft, dlatego jest często używany w aplikacjach dla przedsiębiorstw. OpenID Connect jest często używany w przypadku aplikacji, które znajdują się wyłącznie w chmurze, takich jak aplikacje mobilne, witryny internetowe i internetowe interfejsy API.
Następne kroki
W innych tematach, które obejmują podstawy uwierzytelniania i autoryzacji:
- Aby dowiedzieć się, jak tokeny dostępu, tokeny odświeżania i tokeny identyfikatorów są używane w autoryzacji i uwierzytelnianiu, zobacz Tokeny zabezpieczające.
- Aby dowiedzieć się więcej na temat procesu rejestrowania aplikacji, aby umożliwić integrację z Platforma tożsamości Microsoft, zobacz Model aplikacji.
- Aby dowiedzieć się więcej na temat prawidłowej autoryzacji przy użyciu oświadczeń tokenów, zobacz Zabezpieczanie aplikacji i interfejsów API przez weryfikowanie oświadczeń