Проверка подлинности и авторизация

В этой статье рассматриваются концепции проверки подлинности и авторизации, Он также кратко описывает многофакторную проверку подлинности и способы использования платформа удостоверений Майкрософт для проверки подлинности и авторизации пользователей в веб-приложениях, веб-API или приложениях, которые вызывают защищенные веб-API. Столкнувшись с незнакомым вам термином, обратитесь к нашему глоссарию или нашим видеороликам, посвященным платформе удостоверений Майкрософт, в которых рассматриваются основные понятия.

Проверка подлинности

Проверка подлинности — это процесс подтверждения того, что вы говорите, что вы являетесь . Это достигается путем проверки удостоверения пользователя или устройства. Иногда для этого термина используется сокращение AuthN (Authentication). Для обработки операций проверки подлинности в платформе удостоверений Майкрософт применяется протокол OpenID Connect.

Авторизация

Авторизация — это акт предоставления разрешения на выполнение какого-либо действия стороне, прошедшей проверку подлинности. Она указывает, к каким данным разрешено получить доступ и что с ними можно делать. Авторизация иногда сокращенно обозначается AuthZ (Authorization). Платформа удостоверений Майкрософт предоставляет владельцам ресурсов возможность использовать протокол OAuth 2.0 для обработки авторизации, но в облаке Майкрософт также есть другие системы авторизации, такие как встроенные роли Entra, Azure RBAC и Exchange RBAC.

Многофакторная проверка подлинности

Многофакторная проверка подлинности — это действие предоставления другого фактора проверки подлинности учетной записи. Она часто используется для защиты от атак методом подбора. Иногда это сокращено до MFA или 2FA. Microsoft Authenticator можно использовать в качестве приложения для обработки двухфакторной проверки подлинности. Дополнительные сведения см. в статье Многофакторная проверка подлинности.

Проверка подлинности и авторизация с помощью платформы удостоверений Майкрософт

Создание приложений, каждое из которых хранит свои собственные сведения об имени пользователя и пароле, повышает административную нагрузку, когда требуется добавить или удалить пользователей в нескольких приложениях. Вместо этого приложения могут делегировать такие функции централизованному поставщику удостоверений.

Идентификатор Microsoft Entra — это централизованный поставщик удостоверений в облаке. Делегирование ему проверки подлинности и авторизации позволяет использовать такие сценарии:

• Политики условного доступа, требующие, чтобы пользователь находился в определенном месте.
• Многофакторная проверка подлинности, требующая от пользователя конкретного устройства.
• Возможность для пользователя входить в систему один раз, а затем автоматически входить во все веб-приложения, которые используют один и тот же централизованный каталог. Такая возможность называется единым входом.

Платформа удостоверений Майкрософт, выступая в роли службы по предоставлению удостоверений, упрощает авторизацию и проверку подлинности для разработчиков приложений. Она поддерживает стандартные отраслевые протоколы и библиотеки с открытым исходным кодом для различных платформ, которые помогают быстро приступить к написанию соответствующего кода. С ее помощью разработчики могут создавать приложения, которые обеспечивают вход с помощью любых удостоверений Майкрософт, получают маркеры для вызова Microsoft Graph, доступа к программным интерфейсам Майкрософт и API, созданным разработчиками.

В этом видео рассматриваются платформа удостоверений Майкрософт и основы современных технологий проверки подлинности:

Вот сравнение протоколов, которые использует платформа удостоверений Майкрософт:

• OAuth и OpenID Connect: платформа использует OAuth для авторизации и OpenID Connect (OIDC) для проверки подлинности. В основе OpenID Connect лежит OAuth 2.0, поэтому терминология и последовательность операций в них аналогичные. В одном запросе можно даже проверить подлинность пользователя (с помощью OpenID Connect) и получить авторизацию для доступа к защищенному ресурсу, которым владеет пользователь (с помощью OAuth 2.0). Дополнительные сведения см. в статьях Протоколы OAuth 2.0 и OpenID Connect и Протокол OpenID Connect.
• OAuth и SAML: платформа использует протокол OAuth 2.0 для авторизации и SAML для проверки подлинности. Дополнительные сведения о том, как использовать эти протоколы для проверки подлинности пользователя и авторизации доступа к защищенному ресурсу см. в статье Платформа удостоверений Майкрософт и поток утверждения носителя OAuth 2.0 SAML.
• OpenID Connect и SAML: платформа использует для проверки подлинности пользователя и включения единого входа как OpenID Connect, так и SAML. Проверка подлинности SAML обычно используется с поставщиками удостоверений, такими как службы федерации Active Directory (AD FS) (AD FS), федеративными с идентификатором Microsoft Entra ID, поэтому часто используется в корпоративных приложениях. OpenID Connect обычно используется для приложений, которые полностью находятся в облаке (например, для мобильных приложений, веб-сайтов и веб-API).

Следующие шаги

Другие статьи по основам проверки подлинности и авторизации:

• Сведения о маркерах доступа, маркерах обновления и маркерах идентификации, используемых при проверке подлинности и авторизации, см. в статье Маркеры безопасности.
• Сведения о процессе регистрации приложения для интеграции с платформой удостоверений Майкрософт см. в статье Модель приложения.
• Сведения о надлежащей авторизации с помощью утверждений маркеров см. в статье "Безопасные приложения и API", проверяя утверждения