Autenticação vs. autorização

  • Artigo

Este artigo define autenticação e autorização. Ele também aborda brevemente a Autenticação Multifator e como você pode usar a plataforma de identidade da Microsoft para autenticar e autorizar usuários em seus aplicativos Web, APIs da Web ou aplicativos que chamam APIs da Web protegidas. Se vir um termo com o qual não está familiarizado, experimente o nosso glossário ou os nossos vídeos da plataforma de identidade da Microsoft, que abordam conceitos básicos.

Autenticação

A autenticação é o processo de provar que você é quem diz ser. Isto é conseguido através da verificação da identidade de uma pessoa ou dispositivo. Às vezes é encurtado para AuthN. A plataforma de identidade da Microsoft usa o protocolo OpenID Connect para lidar com a autenticação.

Autorização

Autorização é o ato de conceder a uma parte autenticada permissão para fazer algo. Ele especifica quais dados você tem permissão para acessar e o que você pode fazer com esses dados. A autorização às vezes é encurtada para AuthZ. A plataforma de identidade da Microsoft usa o protocolo OAuth 2.0 para lidar com a autorização.

Autenticação multifator

A autenticação multifator é o ato de fornecer outro fator de autenticação a uma conta. Isso é frequentemente usado para proteger contra ataques de força bruta. Às vezes é encurtado para MFA ou 2FA. O Microsoft Authenticator pode ser usado como um aplicativo para lidar com a autenticação de dois fatores. Para obter mais informações, consulte Autenticação multifator.

Autenticação e autorização usando a plataforma de identidade da Microsoft

A criação de aplicativos que mantêm suas próprias informações de nome de usuário e senha incorre em uma alta carga administrativa ao adicionar ou remover usuários em vários aplicativos. Em vez disso, seus aplicativos podem delegar essa responsabilidade a um provedor de identidade centralizado.

O Microsoft Entra ID é um provedor de identidade centralizado na nuvem. Delegar autenticação e autorização a ele permite cenários como:

  • Políticas de acesso condicional que exigem que um usuário esteja em um local específico.
  • Multi-Factor Authentication que requer que um usuário tenha um dispositivo específico.
  • Permitir que um utilizador inicie sessão uma vez e, em seguida, inicie sessão automaticamente em todas as aplicações Web que partilham o mesmo diretório centralizado. Esse recurso é chamado de logon único (SSO).

A plataforma de identidade da Microsoft simplifica a autorização e a autenticação para desenvolvedores de aplicativos, fornecendo identidade como um serviço. Ele suporta protocolos padrão do setor e bibliotecas de código aberto para diferentes plataformas para ajudá-lo a começar a codificar rapidamente. Ele permite que os desenvolvedores criem aplicativos que entram em todas as identidades da Microsoft, obtenham tokens para chamar o Microsoft Graph, acessem APIs da Microsoft ou acessem outras APIs criadas pelos desenvolvedores.

Este vídeo explica a plataforma de identidade da Microsoft e os conceitos básicos da autenticação moderna:

Aqui está uma comparação dos protocolos que a plataforma de identidade da Microsoft usa:

  • OAuth versus OpenID Connect: A plataforma usa OAuth para autorização e OpenID Connect (OIDC) para autenticação. O OpenID Connect é construído sobre o OAuth 2.0, portanto, a terminologia e o fluxo são semelhantes entre os dois. Você pode até mesmo autenticar um usuário (através do OpenID Connect) e obter autorização para acessar um recurso protegido que o usuário possui (através do OAuth 2.0) em uma solicitação. Para obter mais informações, consulte Protocolos OAuth 2.0 e OpenID Connect e Protocolo OpenID Connect.
  • OAuth versus SAML: A plataforma usa OAuth 2.0 para autorização e SAML para autenticação. Para obter mais informações sobre como usar esses protocolos juntos para autenticar um usuário e obter autorização para acessar um recurso protegido, consulte Plataforma de identidade da Microsoft e fluxo de asserção do portador do SAML OAuth 2.0.
  • OpenID Connect versus SAML: A plataforma usa o OpenID Connect e o SAML para autenticar um usuário e habilitar o logon único. A autenticação SAML é normalmente usada com provedores de identidade, como os Serviços de Federação do Ative Directory (AD FS) federados ao Microsoft Entra ID, por isso é frequentemente usada em aplicativos corporativos. O OpenID Connect é comumente usado para aplicativos que estão puramente na nuvem, como aplicativos móveis, sites e APIs da Web.

Próximos passos

Para outros tópicos que abordam noções básicas de autenticação e autorização:

  • Para saber como os tokens de acesso, os tokens de atualização e os tokens de ID são usados na autorização e autenticação, consulte Tokens de segurança.
  • Para saber mais sobre o processo de registro de seu aplicativo para que ele possa se integrar à plataforma de identidade da Microsoft, consulte Modelo de aplicativo.
  • Para saber mais sobre a autorização adequada usando declarações de token, consulte Proteger aplicativos e APIs validando declarações