詞彙:Microsoft 身分識別平台

  • 文章

當您使用我們的檔、Microsoft Entra 系統管理中心、我們的驗證連結庫和 Microsoft Graph API 時,您會看到這些詞彙。 有些字詞是 Microsoft 特定的,有些則與 OAuth 之類的通訊協定或其他您搭配 Microsoft 身分識別平台 使用的技術相關。

存取權杖

授權伺服器所發出的安全性令牌類型,並由用戶端應用程式用來存取受保護的資源伺服器。 令牌通常以 JSON Web 令牌 (JWT) 的形式呈現資源擁有者與給用戶端的授權,以要求存取層級。 令牌包含有關主體的所有適用 宣告 ,可讓用戶端應用程式在存取指定資源時將其當做認證形式使用。 這也不需要資源擁有者向客戶端公開認證。

存取令牌只有在短時間內才有效,且無法撤銷。 授權伺服器也可能在發出存取令牌時發出 重新整理令牌 。 重新整理令牌通常只提供給機密用戶端應用程式。

存取令牌有時稱為「使用者+應用程式」或「僅限應用程式」,視所代表的認證而定。 例如,當用戶端應用程式使用下列專案時:

  • 「授權碼」授權授與,使用者會先驗證為資源擁有者,將授權委派給用戶端以存取資源。 用戶端會在取得存取令牌時進行驗證。 令牌有時可以更具體地稱為「使用者+應用程式」令牌,因為它代表授權用戶端應用程式的用戶和應用程式。
  • 「客戶端認證」授權授與,用戶端會提供唯一的驗證,在沒有資源擁有者的驗證/授權的情況下運作,因此令牌有時可以稱為「僅限應用程式」令牌。

如需詳細資訊, 請參閱存取令牌參考

演員

用戶端應用程式的另一個字詞。 動作專案是代表主體(資源擁有者)行事的一方。

應用程式 (用戶端) 識別碼

應用程式識別碼或用戶端標識碼是當您在 Microsoft Entra ID 中註冊應用程式時,Microsoft 身分識別平台 指派給應用程式的值。 應用程式標識碼是 GUID 值,可唯一識別應用程式及其身分識別平臺內的組態。 您會將應用程式識別碼新增至應用程式的程式碼,而驗證連結庫會在應用程式執行時間將值包含在對身分識別平臺的要求中。 應用程式 (用戶端) 識別碼不是秘密 - 請勿將它當做密碼或其他認證使用。

應用程式資訊清單

應用程式指令清單是一項功能,其會產生應用程式的身分識別組態 JSON 表示法,用來作為更新其相關聯 ApplicationServicePrincipal 實體的機制。 如需詳細資訊,請參閱 瞭解 Microsoft Entra 應用程式指令清單

應用程式物件

當您註冊/更新應用程式時,會為該租使用者建立/更新應用程式對象和對應的 服務主體物件 。 應用程式物件會全域定義應用程式的身分識別組態(在其可存取的所有租使用者中),提供範本,其對應的服務主體物件衍生自該範本,以在運行時間(在特定租使用者中)在本機使用。

如需詳細資訊,請參閱 應用程式和服務主體物件

應用程式註冊

若要允許應用程式與 Microsoft Entra 識別元整合並委派身分識別和存取管理功能,則必須向 Microsoft Entra 用戶註冊。 當您使用 Microsoft Entra ID 註冊應用程式時,您會為應用程式提供身分識別設定,讓它與 Microsoft Entra ID 整合,並使用下列功能:

如需詳細資訊,請參閱 整合應用程式與 Microsoft Entra ID

驗證

針對合法認證挑戰合作對象的行為,提供建立要用於身分識別和訪問控制之安全性主體的基礎。 例如,在 OAuth 2.0 授權授與期間,驗證的一方會根據所使用的授與,填滿資源擁有者用戶端應用程式的角色。

授權

授與已驗證安全性主體許可權以執行某些動作的行為。 Microsoft Entra 程序設計模型中有兩個主要使用案例:

授權碼

在 OAuth 2.0 授權碼授與流程期間,授權端點提供給用戶端應用程式的短期值,這是四個 OAuth 2.0 授權授與流程之一。 也稱為驗證碼,授權碼會傳回用戶端應用程式,以響應資源擁有者的驗證。 驗證碼表示資源擁有者已將授權委派給用戶端應用程式以存取其資源。 在流程中,驗證碼稍後會兌換為 存取令牌

授權端點

授權伺服器實作的其中一個端點,用來與資源擁有者互動,在 OAuth 2.0 授權授與流程期間提供授權授與。 根據所使用的授權授與流程,所提供的實際授與可能會有所不同,包括 授權碼安全性令牌

如需詳細資訊,請參閱 OAuth 2.0 規格的授權授與類型和授權端點小節和 OpenID 連線 規格

授權授與

認證,表示資源擁有者存取其受保護資源的授權,授與客戶端應用程式。 用戶端應用程式可以使用 OAuth 2.0 授權架構所定義的四種授與類型之一來取得授與,視用戶端類型/需求而定:「授權碼授與」、「客戶端認證授與」、「隱含授與」和「資源擁有者密碼認證授與」。 傳回給客戶端的認證是 存取令牌,或 授權碼 (稍後針對存取令牌交換),視所使用的授權授與類型而定。

授權伺服器

如 OAuth 2.0 授權架構所定義,負責在成功驗證資源擁有者並取得其授權之後,向用戶端發出存取令牌的伺服器。 用戶端應用程式會根據 OAuth 2.0 定義的授權授與,透過其授權令牌端點,在運行時間與授權伺服器互動。

在 Microsoft 身分識別平台 應用程式整合的情況下,Microsoft 身分識別平台 會實作 Microsoft Entra 應用程式和 Microsoft 服務 API 的授權伺服器角色,例如 Microsoft Graph API

索賠

宣告是安全性令牌的名稱/值組,可提供一個實體對另一個實體所做的判斷提示。 這些實體通常是用戶端應用程式或資源擁有者提供判斷提示給資源伺服器。 宣告會轉送令牌主體的相關事實,例如授權伺服器所驗證之安全性主體的標識符。 令牌中存在的宣告可能會有所不同,並取決於數個因素,例如令牌類型、用於驗證主體的認證類型、應用程式組態及其他。

如需詳細資訊,請參閱 Microsoft 身分識別平台 令牌參考

用戶端應用程式

也稱為「動作專案」。 如 OAuth 2.0 授權架構所定義,應用程式代表資源擁有者提出受保護的資源要求。 他們會以範圍的形式接收資源擁有者的許可權。 「用戶端」一詞並不表示任何特定的硬體實作特性(例如,應用程式是在伺服器、桌面或其他裝置上執行)。

用戶端應用程式會向資源擁有者要求 授權 ,以參與 OAuth 2.0 授權授 與流程,並可代表資源擁有者存取 API/數據。 OAuth 2.0 授權架構 會根據客戶端維護認證機密性的能力,定義兩種類型的用戶端「機密」和「公用」。 應用程式可以實作 Web 用戶端(機密),其會在網頁伺服器上執行、安裝在裝置上的原生用戶端(公用),或是在裝置瀏覽器中執行的使用者代理程式型用戶端(公用)。

資源擁有者將授權授與用戶端應用程式的程式,代表資源擁有者存取特定許可權下的受保護資源。 根據用戶端要求的許可權,系統會要求系統管理員或使用者同意,以允許個別存取其組織/個人資料。 請注意,在 多租使用者 案例中,應用程式 的服務主體 也會記錄在同意使用者的租使用者中。

如需詳細資訊,請參閱 同意架構

標識元令牌

授權伺服器授權端點所提供的 OpenID 連線 安全性令牌,其中包含與使用者資源擁有者驗證相關的宣告。 如同存取令牌,標識元令牌也會以數字簽署 的 JSON Web 令牌 (JWT) 表示。 不過,不同於存取令牌,標識符令牌的宣告不會用於與資源存取相關的用途,特別是訪問控制。

如需詳細資訊,請參閱標識符 令牌參考

受控識別

不需要開發人員管理認證。 受控識別可為應用程式提供身分識別,以便在連線至支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft 身分識別平台 令牌。 例如,應用程式可以使用受控識別來存取 Azure Key Vault 之類的資源,讓開發人員以安全的方式儲存認證或存取儲存體帳戶。 如需詳細資訊,請參閱 受控識別概觀

Microsoft 身分識別平台

Microsoft 身分識別平台 是 Microsoft Entra 身分識別服務和開發人員平臺的演進。 這可讓開發人員建置可登入所有 Microsoft 身分識別的應用程式,並取得權杖以呼叫 Microsoft Graph、其他 Microsoft API,或開發人員所建置的 API。 這是一個功能完整的平臺,其中包含驗證服務、連結庫、應用程式註冊和設定、完整的開發人員檔、程式代碼範例和其他開發人員內容。 Microsoft 身分識別平台 支援業界標準通訊協定,例如 OAuth 2.0 和 OpenID 連線。

多租用戶應用程式

應用程式類別,可讓任何 Microsoft Entra 使用者中布建的使用者登入和同意,包括客戶端註冊所在的租使用者以外的租使用者。 原生用戶端應用程式 預設為多租使用者,而 Web 用戶端Web 資源/API 應用程式則能夠選取單一或多租使用者。 相較之下,註冊為單一租使用者的 Web 應用程式,只允許在與註冊應用程式所在的相同租使用者中布建的用戶帳戶登入。

如需詳細資訊,請參閱 如何使用多租用戶應用程式模式 登入任何 Microsoft Entra 使用者。

原生用戶端

原生安裝在裝置上的用戶端應用程式類型。 由於所有程式代碼都會在裝置上執行,因此由於無法私下/機密儲存認證,因此會將其視為「公用」用戶端。 如需詳細資訊,請參閱 OAuth 2.0 用戶端類型和配置檔

權限

用戶端應用程式藉由宣告許可權要求來取得資源伺服器的存取權。 有兩種類型可用:

它們也會在同意程式期間浮出水面,讓系統管理員或資源擁有者有機會授與/拒絕其租用戶中資源的用戶端存取權。

許可權要求是在應用程式的 API 許可權頁面上設定,方法是選取所需的「委派許可權」和「應用程式許可權」(後者需要全域 管理員 istrator 角色的成員資格)。 由於公用客戶端無法安全地維護認證,因此它只能要求委派的許可權,而機密用戶端則能夠同時要求委派和應用程式許可權。 用戶端 的應用程式物件 會將宣告的許可權儲存在其 requiredResourceAccess 屬性中。

重新整理令牌

授權伺服器簽發的安全性令牌類型。 在存取令牌到期之前, 用戶端應用程式 會在向授權伺服器要求新的 存取令牌時,包含其相關聯的重新整理令牌 。 重新整理令牌通常會格式化為 JSON Web 令牌 (JWT)。

不同於存取令牌,可以撤銷重新整理令牌。 授權伺服器會拒絕用戶端應用程式的任何要求,其中包含已撤銷的重新整理令牌。 當授權伺服器拒絕包含撤銷的重新整理令牌的要求時,用戶端應用程式會失去代表資源擁有者存取資源伺服器的許可權。

如需詳細資訊,請參閱重新 整理令牌

資源擁有者

如 OAuth 2.0 授權架構所定義,此實體能夠授與受保護資源的存取權。 當資源擁有者是人員時,即稱為使用者。 例如,當用戶端應用程式想要透過 Microsoft Graph API 存取使用者的信箱時,它需要信箱資源擁有者的許可權。 「資源擁有者」有時 也稱為主旨

每個 安全性令牌 都代表資源擁有者。 資源擁有者是令牌中主體 宣告、物件標識符宣告和個人資料所代表的內容。 資源擁有者是一方,會以範圍的形式,將委派的許可權授與客戶端應用程式。 資源擁有者也是角色的 收件者,這些角色 表示租使用者或應用程式內已擴充的許可權。

資源伺服器

如 OAuth 2.0 授權架構所定義,這是裝載受保護資源的伺服器,能夠接受和回應用戶端應用程式提出存取令牌的受保護資源要求。 也稱為受保護的資源伺服器或資源應用程式。

資源伺服器會公開 API,並使用 OAuth 2.0 授權架構,透過 範圍角色強制執行其受保護資源的存取權。 範例包括 Microsoft Graph API,可存取 Microsoft Entra 租用戶數據,以及提供郵件和行事歷等數據的存取權的 Microsoft 365 API。

就像用戶端應用程式一樣,資源應用程式的身分識別設定是透過 在 Microsoft Entra 租使用者中註冊 來建立,同時提供應用程式和服務主體物件。 某些 Microsoft 提供的 API,例如 Microsoft Graph API,在布建期間,已在所有租使用者中預先註冊的服務主體可供使用。

角色

如同 範圍,應用程式角色提供一種方式,讓 資源伺服器 控管其受保護資源的存取權。 不同於範圍,角色代表主題已授與超出基準的許可權-這就是為什麼讀取您自己的電子郵件是一個範圍,而是可以讀取每個人電子郵件的電子郵件管理員是一個角色。

應用程式角色可以支援兩種指派類型:「使用者」指派會針對需要存取資源的使用者/群組實作角色型訪問控制,而「應用程式」指派會針對 需要存取權的用戶端應用程式 實作相同的角色型訪問控制。 應用程式角色可以定義為用戶可指派、app-assignabnle 或兩者。

角色是資源定義的字串(例如「費用核准者」、「只讀」、「Directory.ReadWrite.All」)、透過資源的 應用程式指令清單管理,並儲存在資源的 appRoles 屬性中。 使用者可以指派給「使用者」可指派的角色,而用戶端應用程式 許可權 可以設定為要求「應用程式」可指派的角色。

如需 Microsoft Graph API 所公開之應用程式角色的詳細討論,請參閱 圖形 API 許可權範圍。 如需逐步實作範例,請參閱新增或移除 Azure 角色指派。

範圍

與角色一樣,範圍會提供資源伺服器控管其受保護資源的存取權的方式。 範圍是用來實 作以範圍為基礎的 訪問控制,而 用戶端應用程式 已由其擁有者授與資源的委派存取權。

範圍是資源定義的字串(例如 “Mail.Read”、“Directory.ReadWrite.All”),可透過資源的應用程式指令清單進行管理,並儲存在資源的 oauth2Permissions 屬性中。 用戶端應用程式 委派的許可權 可以設定為存取範圍。

最佳做法命名慣例是使用 「resource.operation.constraint」 格式。 如需 Microsoft Graph API 所公開範圍的詳細討論,請參閱 圖形 API 許可權範圍。 如需 Microsoft 365 服務公開的範圍,請參閱 Microsoft 365 API 許可權參考

安全性權杖

包含宣告的已簽署檔,例如 OAuth 2.0 令牌或 SAML 2.0 判斷提示。 針對 OAuth 2.0 授權授與,存取令牌 (OAuth2)、重新整理令牌和標識元令牌是安全性令牌的類型,這些令牌全都實作為 JSON Web 令牌 (JWT)

服務主體物件

當您註冊/更新應用程式時, 會為該租使用者建立/更新應用程式對象 和對應的服務主體物件。 應用程式物件會全域定義應用程式的身分識別組態(在已授與相關聯應用程式存取權的所有租使用者中),而且是衍生其對應服務主體對象在運行時間(在特定租使用者中)本機使用的範本。

如需詳細資訊,請參閱 應用程式和服務主體物件

登入

用戶端應用程式起始使用者驗證並擷取相關狀態的程式,以要求安全性令牌,並將應用程式會話的範圍設定為該狀態。 狀態可以包含使用者配置檔資訊之類的成品,以及衍生自令牌宣告的資訊。

應用程式的登入函式通常用於實作單一登錄 (SSO)。 它可能前面也可能是「註冊」函式,做為使用者取得應用程式存取權的進入點(在第一次登入時)。 註冊函式是用來收集並保存使用者特定的其他狀態,而且可能需要 使用者同意

登出

取消驗證終端使用者的程式,在登入期間中斷與用戶端應用程式會話相關聯的用戶狀態

主旨

也稱為資源擁有者

租用戶

Microsoft Entra 目錄的實例稱為 Microsoft Entra 租使用者。 它提供數個功能,包括:

  • 整合式應用程式的登錄服務
  • 驗證用戶帳戶和已註冊的應用程式
  • 支援各種通訊協定所需的 REST 端點,包括 OAuth 2.0 和 SAML,包括授權端點、令牌端點和多租使用者應用程式所使用的「通用」端點。

註冊期間會建立/相關聯的 Microsoft Entra 租使用者與 Azure 和 Microsoft 365 訂用帳戶,並提供訂用帳戶的身分識別與存取管理功能。 Azure 訂用帳戶系統管理員也可以建立其他 Microsoft Entra 租使用者。 如需如何取得租使用者存取權的各種方式的詳細資訊,請參閱 如何取得 Microsoft Entra 租 使用者。 如需訂用帳戶與 Microsoft Entra 租使用者之間關聯性的詳細數據,請參閱 將 Azure 訂用帳戶關聯或新增至 Microsoft Entra 租 使用者,以及有關如何將訂用帳戶關聯或新增至 Microsoft Entra 租使用者的指示。

令牌端點

授權伺服器實作的其中一個端點,以支援 OAuth 2.0 授權授與。 視授與而定,它可用來取得用戶端的存取令牌(和相關「重新整理」令牌,或搭配 OpenID 連線 通訊協定使用時的標識碼令牌。

以使用者代理程式為基礎的用戶端

用戶端應用程式類型,從網頁伺服器下載程序代碼,並在使用者代理程式內執行,例如網頁瀏覽器,例如單頁應用程式 (SPA)。 由於所有程式代碼都會在裝置上執行,因此由於無法私下/機密儲存認證,因此會將其視為「公用」用戶端。 如需詳細資訊,請參閱 OAuth 2.0 用戶端類型和配置檔

用戶主體

類似於服務主體對象用來代表應用程式實例的方式,用戶主體物件是另一種安全性主體類型,代表使用者。 Microsoft Graph User 資源類型 會定義使用者對象的架構,包括使用者相關屬性,例如名字和姓氏、用戶主體名稱、目錄角色成員資格等等。這會提供 Microsoft Entra ID 的使用者身分識別組態,以在運行時間建立用戶主體。 用戶主體用來代表已驗證的使用者以進行單一登錄、錄製 同意 委派、進行訪問控制決策等。

Web 用戶端

在網頁伺服器上執行所有程式碼的 用戶端應用程式 類型,可作為 機密客戶端 運作,因為它可以安全地將其認證儲存在伺服器上。 如需詳細資訊,請參閱 OAuth 2.0 用戶端類型和配置檔

工作負載身分識別

軟體工作負載所使用的身分識別,例如應用程式、服務、腳本或容器,用來驗證及存取其他服務和資源。 在 Microsoft Entra 識別碼中,工作負載身分識別是應用程式、服務主體和受控識別。 如需詳細資訊,請參閱 工作負載身分識別概觀

工作負載身分識別同盟

可讓您從外部應用程式和服務安全地存取受 Microsoft Entra 保護的資源,而不需要管理秘密(針對支援的案例)。 如需詳細資訊,請參閱 工作負載身分識別同盟

下一步

此詞彙中的許多詞彙都與 OAuth 2.0 和 OpenID 連線 通訊協議相關。 雖然您不需要知道通訊協定如何「連線」使用身分識別平臺,但瞭解某些通訊協定基本概念可協助您更輕鬆地在應用程式中建置和偵錯驗證和授權: