Ordlista: Microsofts identitetsplattform
Du ser dessa termer när du använder vår dokumentation, administrationscentret för Microsoft Entra, våra autentiseringsbibliotek och Microsoft Graph API. Vissa termer är Microsoft-specifika medan andra är relaterade till protokoll som OAuth eller andra tekniker som du använder med Microsofts identitetsplattform.
Åtkomsttoken
En typ av säkerhetstoken som utfärdats av en auktoriseringsserver och som används av ett klientprogram för åtkomst till en skyddad resursserver. Vanligtvis i form av en JSON-webbtoken (JWT) förkroppsligar token den auktorisering som resursägaren beviljat klienten för en begärd åtkomstnivå. Token innehåller alla tillämpliga anspråk om ämnet, vilket gör att klientprogrammet kan använda det som en form av autentiseringsuppgifter vid åtkomst till en viss resurs. Detta eliminerar också behovet av att resursägaren exponerar autentiseringsuppgifter för klienten.
Åtkomsttoken är endast giltiga under en kort tidsperiod och kan inte återkallas. En auktoriseringsserver kan också utfärda en uppdateringstoken när åtkomsttoken utfärdas. Uppdateringstoken tillhandahålls vanligtvis endast för konfidentiella klientprogram.
Åtkomsttoken kallas ibland "User+App" eller "Endast app", beroende på vilka autentiseringsuppgifter som representeras. Till exempel när ett klientprogram använder:
- "Auktoriseringskod" auktorisering beviljar slutanvändaren autentiserar först som resursägare och delegerar auktorisering till klienten för att få åtkomst till resursen. Klienten autentiseras efteråt när åtkomsttoken hämtas. Token kan ibland kallas mer specifikt för en "User+App"-token, eftersom den representerar både den användare som har auktoriserat klientprogrammet och programmet.
- Auktoriseringsbeviljande av "klientautentiseringsuppgifter" ger klienten den enda autentiseringen som fungerar utan resursägarens autentisering/auktorisering, så token kan ibland kallas för en "Endast app"-token.
Mer information finns i referensen för åtkomsttoken.
Skådespelare
En annan term för klientprogrammet. Aktören är den part som agerar på uppdrag av ett ämne (resursägare).
App-ID (klient-ID)
Program-ID:t eller klient-ID:t är ett värde som Microsofts identitetsplattform tilldelar till ditt program när du registrerar det i Microsoft Entra-ID. Program-ID:t är ett GUID-värde som unikt identifierar programmet och dess konfiguration inom identitetsplattformen. Du lägger till app-ID:t i programmets kod och autentiseringsbiblioteken inkluderar värdet i deras begäranden till identitetsplattformen vid programkörning. Programmets (klientens) ID är ingen hemlighet – använd det inte som lösenord eller andra autentiseringsuppgifter.
Programmanifest
Ett programmanifest är en funktion som skapar en JSON-representation av programmets identitetskonfiguration, som används som en mekanism för att uppdatera dess associerade program- och ServicePrincipal-entiteter. Mer information finns i Förstå Microsoft Entra-programmanifestet .
Programobjekt
När du registrerar/uppdaterar ett program skapas/uppdateras både ett programobjekt och ett motsvarande objekt för tjänstens huvudnamn för den klientorganisationen. Programobjektet definierar programmets identitetskonfiguration globalt (för alla klienter där det har åtkomst) och tillhandahåller en mall från vilken motsvarande objekt för tjänstens huvudnamn härleds för användning lokalt vid körning (i en specifik klientorganisation).
Mer information finns i Program- och tjänsthuvudnamnsobjekt.
Programregistrering
För att ett program ska kunna integreras med och delegera identitets- och åtkomsthanteringsfunktioner till Microsoft Entra-ID måste det registreras med en Microsoft Entra-klientorganisation. När du registrerar ditt program med Microsoft Entra-ID tillhandahåller du en identitetskonfiguration för ditt program, så att det kan integreras med Microsoft Entra-ID och använda funktioner som:
- Robust hantering av enkel inloggning med hjälp av Microsoft Entra-identitetshantering och OpenID Anslut protokollimplementering
- Asynkron åtkomst till skyddade resurser via klientprogram via OAuth 2.0-auktoriseringsserver
- Ramverk för medgivande för hantering av klientåtkomst till skyddade resurser, baserat på resursägarens auktorisering.
Mer information finns i Integrera program med Microsoft Entra-ID .
Autentisering
Att utmana en part om legitima autentiseringsuppgifter, vilket utgör grunden för skapandet av ett säkerhetsobjekt som ska användas för identitets- och åtkomstkontroll. Under ett OAuth 2.0-auktoriseringsbidrag till exempel fyller den part som autentiserar rollen som antingen resursägare eller klientprogram, beroende på vilket beviljande som används.
Auktorisering
Att bevilja ett autentiserat säkerhetsobjekt behörighet att göra något. Det finns två primära användningsfall i Microsoft Entra-programmeringsmodellen:
- Under ett OAuth 2.0-auktoriseringsbidragsflöde : när resursägaren beviljar auktorisering till klientprogrammet så att klienten får åtkomst till resursägarens resurser.
- Under resursåtkomst av klienten: som implementerats av resursservern använder du anspråksvärdena som finns i åtkomsttoken för att fatta beslut om åtkomstkontroll baserat på dem.
Auktoriseringskod
Ett kort livslängdsvärde som tillhandahålls av auktoriseringsslutpunkten till ett klientprogram under OAuth 2.0-auktoriseringskodens beviljandeflöde, ett av de fyra OAuth 2.0-auktoriseringsbidragen. Auktoriseringskoden kallas även för en autentiseringskod och returneras till klientprogrammet som svar på autentiseringen av en resursägare. Autentiseringskoden anger att resursägaren har delegerat auktorisering till klientprogrammet för att få åtkomst till sina resurser. Som en del av flödet löses autentiseringskoden senare in för en åtkomsttoken.
Auktoriseringsslutpunkt
En av de slutpunkter som implementerats av auktoriseringsservern, som används för att interagera med resursägaren för att tillhandahålla ett auktoriseringsbidrag under ett OAuth 2.0-auktoriseringsflöde. Beroende på vilket flöde för auktoriseringsbidrag som används kan det faktiska beviljandet variera, inklusive en auktoriseringskod eller säkerhetstoken.
Mer information finns i OAuth 2.0-specifikationens avsnitt om auktoriserings bevilja och auktoriseringsslutpunkt samt OpenID Anslut-specifikationen.
Auktoriseringsbidrag
En autentiseringsuppgift som representerar resursägarens behörighet att komma åt dess skyddade resurser, som beviljatstill ett klientprogram. Ett klientprogram kan använda någon av de fyra beviljandetyperna som definierats av OAuth 2.0 Authorization Framework för att erhålla ett bidrag, beroende på klienttyp/krav: "auktoriseringskod bevilja", "bevilja klientautentiseringsuppgifter", "implicit beviljande" och "beviljande av lösenordsautentiseringsuppgifter för resursägare". Autentiseringsuppgifterna som returneras till klienten är antingen en åtkomsttoken eller en auktoriseringskod (utbyts senare för en åtkomsttoken), beroende på vilken typ av auktoriseringsbidrag som används.
Auktoriseringsserver
Enligt definitionen i OAuth 2.0 Authorization Framework, den server som ansvarar för att utfärda åtkomsttoken till klienten efter att ha autentiserat resursägaren och fått dess auktorisering. Ett klientprogram interagerar med auktoriseringsservern vid körning via dess auktoriserings- och tokenslutpunkter, i enlighet med OAuth 2.0-definierade auktoriseringsbidrag.
När det gäller Microsofts identitetsplattform programintegrering implementerar Microsofts identitetsplattform auktoriseringsserverrollen för Microsoft Entra-program och Microsoft-tjänst-API:er, till exempel Microsoft Graph-API:er.
Anspråk
Anspråk är namn/värden-par i en säkerhetstoken som tillhandahåller intyg som görs av en entitet till en annan. Dessa entiteter är vanligtvis klientprogrammet eller en resursägare som tillhandahåller intyg till en resursserver. Anspråk vidarebefordrar fakta om tokenämnet, till exempel ID:t för säkerhetsobjektet som autentiserades av auktoriseringsservern. Anspråken som finns i en token kan variera och beror på flera faktorer som typ av token, typ av autentiseringsuppgifter som används för att autentisera ämnet, programkonfigurationen och andra.
Mer information finns i referensen för Microsofts identitetsplattform token.
Klientprogram
Även känd som "skådespelaren". Enligt definitionen i OAuth 2.0 Authorization Framework, ett program som gör skyddade resursbegäranden för resursägarens räkning. De får behörigheter från resursägaren i form av omfång. Termen "klient" innebär inte några särskilda maskinvaruimplementeringsegenskaper (till exempel om programmet körs på en server, ett skrivbord eller andra enheter).
Ett klientprogram begär auktorisering från en resursägare för att delta i ett OAuth 2.0-auktoriseringsbidragsflöde och kan komma åt API:er/data för resursägarens räkning. OAuth 2.0 Authorization Framework definierar två typer av klienter, "konfidentiella" och "offentliga", baserat på klientens förmåga att upprätthålla konfidentialiteten för sina autentiseringsuppgifter. Program kan implementera en webbklient (konfidentiell) som körs på en webbserver, en intern klient (offentlig) installerad på en enhet eller en användaragentbaserad klient (offentlig) som körs i en enhets webbläsare.
Samtycke
Processen för en resursägare som beviljar auktorisering till ett klientprogram, för att få åtkomst till skyddade resurser under specifika behörigheter, för resursägarens räkning. Beroende på vilka behörigheter som begärs av klienten uppmanas en administratör eller användare att ge sitt medgivande för att tillåta åtkomst till deras organisation/enskilda data. Observera att i ett scenario med flera klientorganisationer registreras även programmets tjänsthuvudnamn i klientorganisationen för den medgivande användaren.
Mer information finns i ramverket för medgivande.
ID-token
En OpenID-Anslut säkerhetstoken som tillhandahålls av en auktoriseringsservers auktoriseringsslutpunkt, som innehåller anspråk som rör autentisering av en slutanvändares resursägare. Precis som en åtkomsttoken representeras ID-token också som en digitalt signerad JSON-webbtoken (JWT).. Till skillnad från en åtkomsttoken används dock inte en ID-tokens anspråk för ändamål som rör resursåtkomst och specifikt åtkomstkontroll.
Mer information finns i referensen för ID-token.
Hanterade identiteter
Eliminera behovet av att utvecklare hanterar autentiseringsuppgifter. Hanterade identiteter tillhandahåller en identitet som program kan använda när de ansluter till resurser som stöder Microsoft Entra-autentisering. Program kan använda den hanterade identiteten för att hämta Microsofts identitetsplattform token. Ett program kan till exempel använda en hanterad identitet för att komma åt resurser som Azure Key Vault där utvecklare kan lagra autentiseringsuppgifter på ett säkert sätt eller för att få åtkomst till lagringskonton. Mer information finns i Översikt över hanterade identiteter.
Microsoft-identitetsplattform
Microsofts identitetsplattform är en utveckling av Microsoft Entra-identitetstjänsten och utvecklarplattformen. Den hjälper utvecklare att bygga program som loggar in alla Microsoft-identiteter, får tokens för att anropa Microsoft Graph, andra Microsoft API:er eller API:er som utvecklare har byggt. Det är en komplett plattform som består av en autentiseringstjänst, bibliotek, programregistrering och konfiguration, fullständig utvecklardokumentation, kodexempel och annat utvecklarinnehåll. Microsoft Identity-plattformen stöder branschstandardprotokoll som OAuth 2.0 och OpenID Connect.
Program för flera klientorganisationer
En programklass som möjliggör inloggning och medgivande av användare som etablerats i alla Microsoft Entra-klienter, inklusive andra klienter än den där klienten är registrerad. Interna klientprogram är som standard flera klientorganisationer, medan webbklient - och webbresurs-/API-program har möjlighet att välja mellan enstaka eller flera klientorganisationer. Däremot skulle ett webbprogram som registrerats som en klientorganisation endast tillåta inloggningar från användarkonton som etablerats i samma klientorganisation som den där programmet är registrerat.
Mer information finns i Logga in alla Microsoft Entra-användare med hjälp av programmönstret för flera klientorganisationer.
Inbyggd klient
En typ av klientprogram som installeras internt på en enhet. Eftersom all kod körs på en enhet betraktas den som en "offentlig" klient på grund av att den inte kan lagra autentiseringsuppgifter privat/konfidentiellt. Mer information finns i OAuth 2.0-klienttyper och -profiler .
Behörigheter
Ett klientprogram får åtkomst till en resursserver genom att deklarera behörighetsbegäranden. Det finns två typer:
- "Delegerade" behörigheter, som anger omfångsbaserad åtkomst med delegerad auktorisering från den inloggade resursägaren, visas för resursen vid körning som "scp"-anspråk i klientens åtkomsttoken. Dessa anger behörigheten som tilldelats aktören av ämnet.
- "Programbehörigheter", som anger rollbaserad åtkomst med klientprogrammets autentiseringsuppgifter/identitet, visas för resursen vid körning som "roller"-anspråk i klientens åtkomsttoken. Dessa anger behörigheter som beviljats till ämnet av klientorganisationen.
De visas också under medgivandeprocessen , vilket ger administratören eller resursägaren möjlighet att bevilja/neka klienten åtkomst till resurser i klientorganisationen.
Behörighetsbegäranden konfigureras på sidan API-behörigheter för ett program genom att välja önskad "Delegerade behörigheter" och "Programbehörigheter" (den senare kräver medlemskap i rollen Global administratör). Eftersom en offentlig klient inte kan underhålla autentiseringsuppgifter på ett säkert sätt kan den bara begära delegerade behörigheter, medan en konfidentiell klient har möjlighet att begära både delegerade behörigheter och programbehörigheter. Klientens programobjekt lagrar de deklarerade behörigheterna i den nödvändiga egenskapenResourceAccess.
Uppdateringstoken
En typ av säkerhetstoken som utfärdats av en auktoriseringsserver. Innan en åtkomsttoken upphör att gälla innehåller ett klientprogram dess associerade uppdateringstoken när den begär en ny åtkomsttoken från auktoriseringsservern. Uppdateringstoken formateras vanligtvis som en JSON-webbtoken (JWT).
Till skillnad från åtkomsttoken kan uppdateringstoken återkallas. En auktoriseringsserver nekar alla begäranden från ett klientprogram som innehåller en uppdateringstoken som har återkallats. När auktoriseringsservern nekar en begäran som innehåller en återkallad uppdateringstoken förlorar klientprogrammet behörigheten att komma åt resursservern åt resursägaren.
Mer information finns i uppdateringstoken .
Resursägare
Enligt definitionen i OAuth 2.0 Authorization Framework kan en entitet bevilja åtkomst till en skyddad resurs. När resursägaren är en person kallas den för en slutanvändare. När ett klientprogram till exempel vill komma åt en användares postlåda via Microsoft Graph API kräver det behörighet från resursägaren för postlådan. "Resursägaren" kallas även ibland för ämnet.
Varje säkerhetstoken representerar en resursägare. Resursägaren är vad ämnesanspråket, objekt-ID-anspråket och personliga data i token representerar. Resursägare är den part som beviljar delegerade behörigheter till ett klientprogram i form av omfång. Resursägare är också mottagare av roller som anger utökade behörigheter i en klientorganisation eller i ett program.
Resursserver
Enligt definitionen i OAuth 2.0 Authorization Framework kan en server som är värd för skyddade resurser acceptera och svara på skyddade resursbegäranden från klientprogram som presenterar en åtkomsttoken. Kallas även för en skyddad resursserver eller ett resursprogram.
En resursserver exponerar API:er och framtvingar åtkomst till sina skyddade resurser via omfång och roller med hjälp av OAuth 2.0 Authorization Framework. Exempel är Microsoft Graph API, som ger åtkomst till Microsoft Entra-klientdata, och Microsoft 365-API:er som ger åtkomst till data som e-post och kalender.
Precis som ett klientprogram upprättas resursprogrammets identitetskonfiguration via registrering i en Microsoft Entra-klientorganisation, vilket tillhandahåller både programmets och tjänstens huvudnamnsobjekt. Vissa API:er som tillhandahålls av Microsoft, till exempel Microsoft Graph API, har förregistrerade tjänstens huvudnamn tillgängliga i alla klienter under etableringen.
Roller
Precis som omfång ger approller ett sätt för en resursserver att styra åtkomsten till sina skyddade resurser. Till skillnad från omfattningar representerar roller privilegier som ämnet har beviljats utanför baslinjen – det är därför det är en roll att läsa din egen e-post, samtidigt som du är e-postadministratör som kan läsa allas e-post.
Approller kan ha stöd för två tilldelningstyper: "användartilldelning" implementerar rollbaserad åtkomstkontroll för användare/grupper som kräver åtkomst till resursen, medan "programtilldelningen" implementerar samma för klientprogram som kräver åtkomst. En approll kan definieras som användartilldelningsbar, app-assignabnle eller båda.
Roller är resursdefinierade strängar (till exempel "Utgiftsgodkännare", "Skrivskyddad", "Directory.ReadWrite.All"), som hanteras via resursens programmanifest och lagras i resursens appRoles-egenskap. Användare kan tilldelas till "användar" tilldelningsbara roller och klientprogrambehörigheter kan konfigureras för att begära "program" tilldelningsbara roller.
En detaljerad beskrivning av de programroller som exponeras av Microsoft Graph API finns i Behörighetsomfång för Graph API. Ett steg-för-steg-implementeringsexempel finns i Lägga till eller ta bort Azure-rolltilldelningar.
Omfattningar
Precis som roller är omfång ett sätt för en resursserver att styra åtkomsten till sina skyddade resurser. Omfång används för att implementera omfångsbaserad åtkomstkontroll för ett klientprogram som har fått delegerad åtkomst till resursen av ägaren.
Omfång är resursdefinierade strängar (till exempel "Mail.Read", "Directory.ReadWrite.All"), som hanteras via resursens programmanifest och lagras i resursens egenskap oauth2Permissions. Delegerade behörigheter för klientprogram kan konfigureras för åtkomst till ett omfång.
En namngivningskonvention för bästa praxis är att använda formatet "resource.operation.constraint". En detaljerad beskrivning av de omfång som exponeras av Microsoft Graph API finns i Behörighetsomfång för Graph API. Omfång som exponeras av Microsoft 365-tjänster finns i Referens för Microsoft 365 API-behörigheter.
Säkerhetstoken
Ett signerat dokument som innehåller anspråk, till exempel en OAuth 2.0-token eller SAML 2.0-försäkran. För en OAuth 2.0-auktoriseringsbeviljande är en åtkomsttoken (OAuth2), uppdateringstoken och en ID-token typer av säkerhetstoken, som alla implementeras som en JSON-webbtoken (JWT).
Objekt för tjänstens huvudnamn
När du registrerar/uppdaterar ett program skapas/uppdateras både ett programobjekt och ett motsvarande objekt för tjänstens huvudnamn för den klientorganisationen. Programobjektet definierar programmets identitetskonfiguration globalt (för alla klienter där det associerade programmet har beviljats åtkomst) och är mallen från vilken motsvarande objekt för tjänstens huvudnamn härleds för användning lokalt vid körning (i en specifik klientorganisation).
Mer information finns i Program- och tjänsthuvudnamnsobjekt.
Logga in
Processen för ett klientprogram som initierar slutanvändarautentisering och samlar in relaterat tillstånd för att begära en säkerhetstoken och omfångsbearbeta programsessionen till det tillståndet. Tillståndet kan innehålla artefakter som användarprofilinformation och information som härleds från tokenanspråk.
Inloggningsfunktionen för ett program används vanligtvis för att implementera enkel inloggning (SSO). Det kan också föregås av en "registreringsfunktion" som startpunkt för en slutanvändare att få åtkomst till ett program (vid första inloggningen). Registreringsfunktionen används för att samla in och bevara ytterligare tillstånd som är specifikt för användaren och kan kräva användarens medgivande.
Logga ut
Processen för att avautentisera en slutanvändare, koppla från användartillståndet som är associerat med klientprogramsessionen under inloggningen
Ämne
Klientorganisation
En instans av en Microsoft Entra-katalog kallas för en Microsoft Entra-klientorganisation. Den innehåller flera funktioner, bland annat:
- en registertjänst för integrerade program
- autentisering av användarkonton och registrerade program
- REST-slutpunkter som krävs för att stödja olika protokoll, inklusive OAuth 2.0 och SAML, inklusive auktoriseringsslutpunkten, tokenslutpunkten och den "vanliga" slutpunkten som används av program med flera klientorganisationer.
Microsoft Entra-klienter skapas/associeras med Azure- och Microsoft 365-prenumerationer under registreringen, vilket ger identitets- och åtkomsthanteringsfunktioner för prenumerationen. Azure-prenumerationsadministratörer kan också skapa ytterligare Microsoft Entra-klienter. Mer information om olika sätt att få åtkomst till en klientorganisation finns i Hämta en Microsoft Entra-klientorganisation . Mer information om relationen mellan prenumerationer och en Microsoft Entra-klientorganisation finns i Associera eller lägga till en Azure-prenumeration till din Microsoft Entra-klientorganisation och anvisningar om hur du associerar eller lägger till en prenumeration i en Microsoft Entra-klientorganisation.
Tokenslutpunkt
En av slutpunkterna som implementeras av auktoriseringsservern för att stödja OAuth 2.0-auktoriseringsbidrag. Beroende på beviljandet kan det användas för att hämta en åtkomsttoken (och relaterad "uppdateringstoken") till en klient eller ID-token när den används med OpenID Anslut-protokollet.
Användaragentbaserad klient
En typ av klientprogram som laddar ned kod från en webbserver och körs inom en användaragent (till exempel en webbläsare), till exempel ett ensidesprogram (SPA). Eftersom all kod körs på en enhet betraktas den som en "offentlig" klient på grund av att den inte kan lagra autentiseringsuppgifter privat/konfidentiellt. Mer information finns i OAuth 2.0-klienttyper och -profiler.
Användarens huvudnamn
På samma sätt som ett objekt för tjänstens huvudnamn används för att representera en programinstans är ett objekt med användarens huvudnamn en annan typ av säkerhetsobjekt, som representerar en användare. Resurstypen Microsoft Graph User definierar schemat för ett användarobjekt, inklusive användarrelaterade egenskaper som för- och efternamn, användarens huvudnamn, katalogrollmedlemskap osv. Detta tillhandahåller användaridentitetskonfigurationen för Microsoft Entra-ID för att upprätta ett användarhuvudnamn vid körning. Användarens huvudnamn används för att representera en autentiserad användare för enkel inloggning, registrera medgivandedelegering , fatta beslut om åtkomstkontroll osv.
Webbklient
En typ av klientprogram som kör all kod på en webbserver och fungerar som en konfidentiell klient eftersom den på ett säkert sätt kan lagra sina autentiseringsuppgifter på servern. Mer information finns i OAuth 2.0-klienttyper och -profiler.
Arbetsbelastningsidentitet
En identitet som används av en programvaruarbetsbelastning som ett program, en tjänst, ett skript eller en container för att autentisera och komma åt andra tjänster och resurser. I Microsoft Entra-ID är arbetsbelastningsidentiteter appar, tjänstens huvudnamn och hanterade identiteter. Mer information finns i Översikt över arbetsbelastningsidentitet.
Identitetsfederation för arbetsbelastning
Gör att du på ett säkert sätt kan komma åt Microsoft Entra-skyddade resurser från externa appar och tjänster utan att behöva hantera hemligheter (för scenarier som stöds). Mer information finns i arbetsbelastningsidentitetsfederation.
Nästa steg
Många av termerna i den här ordlistan är relaterade till protokollen OAuth 2.0 och OpenID Anslut. Även om du inte behöver veta hur protokollen fungerar "på tråden" för att använda identitetsplattformen, kan vissa protokollgrunder hjälpa dig att enklare skapa och felsöka autentisering och auktorisering i dina appar: