Explorați autentificarea

  • 3 minute

Autentificarea este validarea identității (utilizator, aplicație sau dispozitiv) care este ceea ce proclamă a fi. Apoi, oferind, de asemenea, un nivel adecvat de validare și securitate pe tot parcursul tranzacției de autentificare. Autentificarea identității oferă:

  • Autentificare flexibilă, conformă cu standardele, care se integrează în toate organizațiile
  • Integrarea unor surse, aplicații și protocoale disparate
  • Folosește multe metode standard diferite de validare și asigurare

Utilizarea unui furnizor de identitate pentru autentificare oferă o modalitate de a asigura identități sigure fără a limita capacitățile utilizatorilor. Obțineți comoditate, mai multe surse pentru validarea identității, protocoale din industrie și asigurarea identității.

Comoditate - Capacitatea de comoditate se concentrează pe experiența utilizatorului final cu modul în care li se solicită acreditările de autentificare. Accentul este aici pe experiența utilizatorului final. Dacă ceva nu este ușor, utilizatorii îl evită sau se plâng de el.

Surse - Capacitatea surse înconjoară locul de unde utilizatorul își obține tokenul de autentificare. Multe organizații au ceea ce cred că este un emitent centralizat (Microsoft Entra ID), dar în realitate majoritatea organizațiilor au și alte depozite de identitate. Identitatea federativă este cel mai comun alt furnizor de identitate.

Protocoale - Adesea, organizațiile au diverse protocoale de autentificare care provoacă o experiență deficitară atât utilizatorilor finali, cât și organizației. Un domeniu de interes al acestei capabilități este să ajute o organizație să standardizeze unul sau mai multe protocoale moderne și sigure de autentificare pentru a-și atinge obiectivele de autentificare.

Asigurare - Asigurarea autentificării este încrederea pe care o organizație o are că o persoană care accesează o resursă este cine spune că este. Această capacitate vorbește despre dacă o organizație folosește sau nu conturi partajate, dacă utilizează conturi personalizate și dacă există soluții precum autentificarea multifactor sau autentificarea bazată pe risc.

Identitate federativă

Federația este o colecție de domenii cu un trust stabil. Nivelul de încredere variază, dar include de obicei autentificarea și aproape întotdeauna include autorizarea. Această federație vă permite să aplicați identități existente din surse de încredere, cum ar fi un director activ local existent.

Protocoale comune de comunicare în identitate

Protocol Descriere și utilizare
SAML - Limbaj de marcare a aserțiunilor de securitate Standard deschis pentru schimbul de date de autentificare și autorizare între un furnizor de identitate și un furnizor de servicii. Atribute SAML comune:
Principal = în general un utilizator sau un dispozitiv
IdP = furnizor de identitate
SP = furnizor de servicii
WS-Fed - Federația Serviciilor Web O specificație de identitate din cadrul de securitate a serviciilor web pentru a oferi sign-on unic prin schimbul și autentificarea identității externe.
OIDC - OpenID Connect OIDC extinde protocolul de autorizare OAuth 2.0 pentru a fi utilizat ca protocol de autentificare, astfel încât să puteți face sign-on unic utilizând OAuth.

OpenID Connect

OpenID Connect (OIDC) este un protocol de autentificare construit pe OAuth 2.0. Acest protocol permite unui utilizator să conecteze în siguranță un utilizator la o aplicație. Atunci când utilizați implementarea OpenID Connect a platformei de identitate Microsoft, puteți adăuga acces la conectare și API la aplicațiile dvs. OpenID Connect extinde protocolul de autorizare OAuth 2.0 pentru a fi utilizat ca protocol de autentificare, astfel încât să puteți face sign-on unic utilizând OAuth. OpenID Connect introduce conceptul de token ID, care este un token de securitate care permite clientului să verifice identitatea utilizatorului. Tokenul ID primește, de asemenea, informații de profil de bază despre utilizator. De asemenea, introduce punctul final UserInfo, un API care returnează informații despre utilizator.

Identitate bazată pe revendicări în Microsoft Entra ID

Când un utilizator se conectează, Microsoft Entra ID trimite un token ID care conține un set de revendicări despre utilizator. O afirmație este pur și simplu o informație, exprimată ca o pereche cheie/valoare. De exemplu, email=bob@contoso.com. Revendicările au un emitent (în acest caz, Microsoft Entra ID), care este entitatea care autentifică utilizatorul și creează revendicările. Aveți încredere în creanțe pentru că aveți încredere în emitent. (În schimb, dacă nu aveți încredere în emitent, nu aveți încredere în revendicări!)

La un nivel înalt:

  1. Utilizatorul se autentifică.
  2. Furnizorul de identitate (IDP) trimite un set de cereri.
  3. Aplicația normalizează sau mărește revendicările (opțional).
  4. Aplicația folosește revendicările pentru a lua decizii de autorizare.

În OpenID Connect, setul de revendicări pe care le primești este controlat de un parametru de scop al cererii de autentificare. Cu toate acestea, Microsoft Entra ID emite un set limitat de revendicări prin OpenID Connect printr-un token de securitate; folosind în principal JSON Web Tokens. Dacă doriți mai multe informații despre utilizator, trebuie să utilizați API-ul Graph cu Microsoft Entra ID.

Tokenuri de securitate

Platforma de identitate Microsoft autentifică utilizatorii și furnizează tokenuri de securitate, cum ar fi tokenuri de acces, tokenuri de reîmprospătare și tokenuri ID. Tokenurile de securitate permit unei aplicații client să acceseze resurse protejate pe un server de resurse. Există trei tipuri comune de tokenuri, tokenuri de acces, tokenuri de reîmprospătare și tokenuri de ID.

  • Token de acces - Un token de acces este un token de securitate emis de un server de autorizare ca parte a unui flux OAuth 2.0. Conține informații despre utilizator și resursa pentru care este destinat tokenul. Informațiile pot fi utilizate pentru a accesa API-uri web și alte resurse protejate. Jetoanele de acces sunt resurse validate pentru a acorda acces la o aplicație client. Pentru a afla mai multe despre modul în care platforma de identitate Microsoft emite jetoane de acces, consultați Jetoane de acces.
  • Token de reîmprospătare - Deoarece jetoanele de acces sunt valabile doar pentru o perioadă scurtă de timp, serverele de autorizare emit un token de reîmprospătare în același timp cu emiterea tokenului de acces. Aplicația client poate schimba apoi acest token de reîmprospătare cu un nou token de acces atunci când este necesar. Pentru a afla mai multe despre modul în care platforma de identitate Microsoft utilizează tokenuri de reîmprospătare pentru a revoca permisiunile, consultați Reîmprospătarea tokenurilor.
  • Token ID - Tokenurile ID sunt trimise către aplicația client ca parte a unui flux OpenID Connect. Acestea pot fi trimise împreună sau în locul unui token de acces. Tokenurile de identificare sunt utilizate de client pentru a autentifica utilizatorul. Pentru a afla mai multe despre modul în care platforma de identitate Microsoft emite tokenuri de ID, consultați Tokenuri de ID.

Ce este un JSON Web Token (JWT)?

JSON Web Token (JWT) este un standard deschis (RFC 7519) care definește o modalitate compactă și autonomă de a transmite în siguranță informații între părți ca obiect JSON. Aceste informații pot fi verificate și de încredere deoarece sunt semnate digital. JWT-urile pot fi semnate folosind o pereche de chei secrete sau publice/private. Deși JWT-urile pot fi criptate pentru a oferi și secretul între părți, ne concentrăm pe token-urile semnate. Tokenurile semnate pot verifica integritatea revendicărilor conținute în ele, în timp ce tokenurile criptate ascund aceste revendicări de alte părți. Când tokenurile sunt semnate folosind perechi de chei publice/private, semnătura certifică, de asemenea, că numai partea care deține cheia privată este cea care a semnat-o.

Notă

Informații furnizate de site-ul JWT - https://jwt.io/.

Definiții în identitatea bazată pe revendicări

Există câțiva termeni obișnuiți utilizați atunci când discutăm despre identitatea bazată pe revendicări în Microsoft Entra ID.

  • Revendicare - o pereche de date de valoare dintr-un token de securitate. Există mai multe revendicări transferate în cadrul tokenului de la revendicarea care definește tipul tokenului la metoda de criptare. Iată un exemplu: 
       Header
   {
     "alg": "HS256",
     "typ": "JWT"
   }
   Content payload
   {
     "sub": "1234567890",
     "name": "John Doe",
     "aud": "https://jwt.io"
   }
  • Afirmație - un pachet de date, de obicei sub forma unui token, care împărtășește identitatea și informațiile de securitate despre un utilizator sau cont în diverse domenii de securitate.
  • Atribut - o pereche de valori de date dintr-un token.
  • Augmentare - procesul de adăugare a altor revendicări la tokenul utilizatorului pentru a oferi detalii suplimentare despre utilizator. Augmentarea poate include date din sistemele de resurse umane (HR), dintr-o aplicație precum SharePoint sau alte sisteme.