การรับรองความถูกต้องและการอนุญาตใน Microsoft Entra ID
Microsoft Entra ID ให้บริการการรับรองความถูกต้องและการอนุญาตใช้งานโดยการสนับสนุนโพรโทคอลการรับรองความถูกต้องที่ทันสมัย เช่น OAuth 2.0 และ OpenID Connect ในลักษณะที่เป็นไปตามมาตรฐาน คุณสามารถใช้ไลบรารีโอเพนซอร์ส เช่น ไลบรารีการรับรองความถูกต้องของ Microsoft (MSAL) และไลบรารีที่สอดคล้องกับมาตรฐานอื่น ๆ ด้วย รหัส Microsoft Entra
ในสถานการณ์พอร์ทัลพนักงาน คุณเรียนรู้ว่าองค์กรของคุณใช้ Microsoft Entra ID เป็นผู้ให้บริการข้อมูลประจําตัวสําหรับการรับรองความถูกต้องและการอนุญาตใช้งาน
ในหน่วยนี้ คุณจะได้เรียนรู้เกี่ยวกับการรับรองความถูกต้อง การอนุญาต และวิธีการที่ได้รับการสนับสนุนใน Microsoft Entra ID
ตรวจ สอบ
Authentication อ้างอิงถึงกระบวนการสร้างและตรวจสอบข้อมูลประจําตัวของผู้ใช้ปลายทางที่กําลังเข้าถึงแอปพลิเคชัน
Microsoft Entra ID ใช้โพรโทคอล OpenID Connect เพื่อจัดการการรับรองความถูกต้อง OpenID Connect อนุญาตให้แอปพลิเคชันรับข้อมูลพื้นฐานเกี่ยวกับผู้ใช้ที่ได้รับการรับรองความถูกต้องและเซสชัน
การอนุญาต
การตรวจสอบ เป็นกระบวนการตรวจสอบว่าผู้ใช้ที่ได้รับการรับรองความถูกต้องมีสิทธิ์ในการดําเนินการบางอย่างหรือเข้าถึงข้อมูลบางอย่าง
โพรโทคอล OAuth 2.0 ถูกใช้เพื่อให้โฟลว์การตรวจสอบสําหรับแอปพลิเคชันที่แตกต่างกันในรหัส Microsoft Entra
การลงทะเบียนแอปพลิเคชัน
Microsoft Entra ID ต้องการให้คุณลงทะเบียนแอปพลิเคชันของคุณก่อนที่จะสามารถให้ข้อมูลประจําตัวและเข้าถึงบริการการจัดการ การลงทะเบียนแอปพลิเคชันของคุณจะสร้างความสัมพันธ์ที่เชื่อถือได้ระหว่างแอปพลิเคชันและผู้ให้บริการข้อมูลประจําตัว คุณสามารถสร้างการลงทะเบียนแอปพลิเคชันผ่านพอร์ทัล Azure โดยใช้ Azure CLI และแม้แต่การใช้ API ของ Microsoft Graph ทางโปรแกรม
การลงทะเบียนแอปพลิเคชันช่วยให้คุณสามารถระบุชื่อของแอปพลิเคชัน ประเภทแอปพลิเคชัน (เว็บ เดสก์ท็อป และอื่นๆ) และผู้ชมที่ลงชื่อเข้าใช้ ซึ่งเป็นบัญชีผู้ใช้ที่คุณต้องการอนุญาตการเข้าถึง ผู้ชมที่ลงชื่อเข้าใช้ประกอบด้วย:
- บัญชีในไดเรกทอรีขององค์กรนี้ได้ เฉพาะถ้าคุณกําลังสร้างแอปพลิเคชันสําหรับผู้ใช้ในผู้เช่าขององค์กรเท่านั้น (ผู้เช่าเดียว )
- บัญชีในไดเรกทอรีองค์กร หากคุณต้องการให้ผู้ใช้ในผู้เช่า Microsoft Entra ใด ๆ ใช้แอปพลิเคชันของคุณ (แบบหลายผู้เช่า )
- บัญชีในไดเรกทอรีองค์กรและบัญชี Microsoft ส่วนบุคคลใด ๆ สําหรับลูกค้าจํานวนมากที่สุด ( แบบหลายผู้เช่าที่ยังสนับสนุนบัญชีส่วนบุคคลของ Microsoft)
- บัญชี Microsoft ส่วนบุคคล สําหรับใช้เฉพาะผู้ใช้บัญชี Microsoft ส่วนบุคคล (ตัวอย่างเช่น บัญชีผู้ใช้ Hotmail, Live, Skype และ Xbox)
คุณยังสามารถกําหนดค่าข้อมูลประจําตัว เปลี่ยนเส้นทาง URI และการตั้งค่าการรับรองความถูกต้องอื่น ๆ บนการลงทะเบียนแอปพลิเคชันได้
เมื่อการลงทะเบียนแอปพลิเคชันเสร็จสมบูรณ์ คุณจะได้รับ ID แอปพลิเคชัน (ไคลเอนต์) ที่ระบุแอปพลิเคชันของคุณโดยเฉพาะใน ID Microsoft Entra ID นี้ถูกใช้ในรหัสแอปพลิเคชันของคุณหรือในไลบรารีการรับรองความถูกต้องเป็นส่วนหนึ่งของคําขอที่ทํากับรหัส Microsoft Entra