使用 Microsoft Entra ID 進行 OpenID 連線 驗證
OpenID 連線 (OIDC) 是以 OAuth2 通訊協定為基礎的驗證通訊協定(用於授權)。 OIDC 會使用來自 OAuth2 的標準化訊息流程來提供識別服務。
OIDC 的設計目標是「使簡單的東西變得簡單且複雜」。 OIDC 可讓開發人員跨網站和應用程式驗證其使用者,而不需要擁有和管理密碼檔案。 這可讓應用程式建置者安全地驗證目前使用連線至應用程式的瀏覽器或原生應用程式的人員身分識別。
使用者的驗證必須在要檢查用戶會話或認證的識別提供者進行。 若要這樣做,您需要受信任的代理程式。 原生應用程式通常會針對該用途啟動系統瀏覽器。 內嵌檢視被視為不受信任,因為沒有任何專案可防止應用程式窺探用戶密碼。
除了驗證之外,還可以要求使用者同意。 同意是使用者的明確許可權,可讓應用程式存取受保護的資源。 同意與驗證不同,因為只有資源需要提供一次同意。 同意會維持有效狀態,直到使用者或系統管理員手動撤銷授與為止。
使用時機
需要使用者同意和 Web 登入。
系統元件
使用者:從應用程式要求服務。
信任的代理程式: 使用者與其互動的元件。 此受信任的代理程式通常是網頁瀏覽器。
應用程式: 應用程式或資源伺服器是資源或數據所在的位置。 它會信任識別提供者,以安全地驗證並授權受信任的代理程式。
Microsoft Entra ID: OIDC 提供者,也稱為識別提供者,可安全地管理與使用者資訊、其存取權,以及流程中合作對象之間的信任關係。 它會驗證使用者的身分識別、授與和撤銷資源存取權,以及發出令牌。