Este artigo define autenticação e autorização. Ele também aborda brevemente a autenticação multifator e como você pode usar a plataforma de identidade da Microsoft para autenticar e autorizar usuários em seus aplicativos Web, APIs da Web ou aplicativos que chamam APIs da Web protegidas. Se vir um termo com o qual não está familiarizado, experimente o nosso glossário ou os nossos vídeos da plataforma de identidade da Microsoft, que abordam conceitos básicos.
Autenticação
A autenticação é o processo de provar que você é quem diz ser. Isto é conseguido através da verificação da identidade de uma pessoa ou dispositivo. Às vezes é encurtado para AuthN. A plataforma de identidade da Microsoft usa o protocolo OpenID Connect para lidar com a autenticação.
Autorização
Autorização é o ato de conceder a uma parte autenticada permissão para fazer algo. Ele especifica quais dados você tem permissão para acessar e o que você pode fazer com esses dados. A autorização às vezes é encurtada para AuthZ. A plataforma de identidade da Microsoft fornece aos proprietários de recursos a capacidade de usar o protocolo OAuth 2.0 para lidar com a autorização, mas a nuvem da Microsoft também tem outros sistemas de autorização, como funções internas do Entra, RBAC do Azure e RBAC do Exchange.
Autenticação multifator
A autenticação multifator é o ato de fornecer outro fator de autenticação a uma conta. Isso é frequentemente usado para proteger contra ataques de força bruta. Às vezes é encurtado para MFA ou 2FA. O Microsoft Authenticator pode ser usado como um aplicativo para lidar com a autenticação de dois fatores. Para obter mais informações, consulte Autenticação multifator.
Autenticação e autorização usando a plataforma de identidade da Microsoft
A criação de aplicativos que mantêm suas próprias informações de nome de usuário e senha incorre em uma alta carga administrativa ao adicionar ou remover usuários em vários aplicativos. Em vez disso, seus aplicativos podem delegar essa responsabilidade a um provedor de identidade centralizado.
O Microsoft Entra ID é um provedor de identidade centralizado na nuvem. Delegar autenticação e autorização a ele permite cenários como:
Políticas de acesso condicional que exigem que um usuário esteja em um local específico.
Autenticação multifator, que requer que um usuário tenha um dispositivo específico.
Permitir que um utilizador inicie sessão uma vez e, em seguida, inicie sessão automaticamente em todas as aplicações Web que partilham o mesmo diretório centralizado. Esse recurso é chamado de logon único (SSO).
A plataforma de identidade da Microsoft simplifica a autorização e a autenticação para desenvolvedores de aplicativos, fornecendo identidade como um serviço. Ele suporta protocolos padrão do setor e bibliotecas de código aberto para diferentes plataformas para ajudá-lo a começar a codificar rapidamente. Ele permite que os desenvolvedores criem aplicativos que entram em todas as identidades da Microsoft, obtenham tokens para chamar o Microsoft Graph, acessem APIs da Microsoft ou acessem outras APIs criadas pelos desenvolvedores.
Este vídeo explica a plataforma de identidade da Microsoft e os conceitos básicos da autenticação moderna:
Aqui está uma comparação dos protocolos que a plataforma de identidade da Microsoft usa:
OAuth versus OpenID Connect: A plataforma usa OAuth para autorização e OpenID Connect (OIDC) para autenticação. O OpenID Connect é construído sobre o OAuth 2.0, portanto, a terminologia e o fluxo são semelhantes entre os dois. Você pode até mesmo autenticar um usuário (através do OpenID Connect) e obter autorização para acessar um recurso protegido que o usuário possui (através do OAuth 2.0) em uma solicitação. Para obter mais informações, consulte Protocolos OAuth 2.0 e OpenID Connect e Protocolo OpenID Connect.
OAuth versus SAML: A plataforma usa OAuth 2.0 para autorização e SAML para autenticação. Para obter mais informações sobre como usar esses protocolos juntos para autenticar um usuário e obter autorização para acessar um recurso protegido, consulte Plataforma de identidade da Microsoft e fluxo de asserção do portador do SAML OAuth 2.0.
OpenID Connect versus SAML: A plataforma usa o OpenID Connect e o SAML para autenticar um usuário e habilitar o logon único. A autenticação SAML é normalmente usada com provedores de identidade, como os Serviços de Federação do Ative Directory (AD FS) federados ao Microsoft Entra ID, por isso é frequentemente usada em aplicativos corporativos. O OpenID Connect é comumente usado para aplicativos que estão puramente na nuvem, como aplicativos móveis, sites e APIs da Web.
Próximos passos
Para outros tópicos que abordam noções básicas de autenticação e autorização:
Para saber como os tokens de acesso, os tokens de atualização e os tokens de ID são usados na autorização e autenticação, consulte Tokens de segurança.
Para saber mais sobre o processo de registro de seu aplicativo para que ele possa se integrar à plataforma de identidade da Microsoft, consulte Modelo de aplicativo.
Demonstre os recursos do Microsoft Entra ID para modernizar soluções de identidade, implementar soluções híbridas e implementar governança de identidade.