Поделиться через


Проверка подлинности OpenID Подключение с помощью идентификатора Microsoft Entra

OpenID Connect (OIDC) — это протокол аутентификации, основанный на протоколе OAuth2 (который используется для авторизации). Для предоставления служб удостоверений OIDC использует стандартизованные потоки сообщений от OAuth2.

Цель создания OIDC — "сделать простые вещи простыми, а сложные возможными". OIDC позволяет разработчикам выполнять аутентификацию пользователей на веб-сайтах и в приложениях без необходимости владеть файлами паролей и управлять ими. Это предоставляет создателю приложений безопасный способ проверки удостоверения лица, которое в этот момент использует браузер или собственное приложение, подключенное к созданному приложению.

Аутентификация пользователя должна выполняться в поставщике удостоверений, где будут проверяться сеанс или учетные данные пользователя. Для этого понадобится доверенный агент. Собственные приложения для этой цели обычно запускают браузер системы. Внедренные представления считаются ненадежными, так как ничто не помешает приложению перехватить пароль пользователя.

Помимо аутентификации, у пользователя может быть запрошено согласие. Согласие — это явное разрешение пользователя, позволяющее приложению получать доступ к защищенным ресурсам. Согласие отличается от аутентификации, поскольку согласие для ресурса необходимо предоставить только один раз. Согласие остается действительным, пока пользователь или администратор не отменит предоставление разрешения вручную.

Используется, если

Требуется согласие пользователя и для входа в веб-систему.

Architectural diagram

Компоненты системы

  • Пользователь: запрашивает услугу из приложения.

  • Доверенный агент: компонент, с которым взаимодействует пользователь. Этот доверенный агент обычно является веб-браузером.

  • Приложение: приложение или сервер ресурсов, где находится ресурс или данные. Он доверяет поставщику удостоверений безопасную аутентификацию и авторизацию доверенного агента.

  • Идентификатор Microsoft Entra: поставщик OIDC, также известный как поставщик удостоверений, безопасно управляет информацией пользователя, их доступом и отношениями доверия между сторонами в потоке. Он проверяет подлинность пользователя, предоставляет и отзывает доступ к ресурсам, а также выдает маркеры.

Реализация OIDC с помощью идентификатора Microsoft Entra