Microsoft Entra ID 中的身份验证和授权
Microsoft Entra ID 通过以符合标准的方式支持新式身份验证协议(如 OAuth 2.0 和 OpenID Connect)来提供身份验证和授权服务。 使用 Microsoft Entra ID,你可以使用 Microsoft 身份验证库 (MSAL) 等开放源代码库和其他符合标准的库。
在员工门户方案中,你了解到你的组织使用 Microsoft Entra ID 作为标识提供者进行身份验证和授权。
在本单元中,你将了解身份验证、授权及 Microsoft Entra ID 如何为其提供支持。
身份验证
“身份验证”是指建立和验证访问应用程序的最终用户身份的过程。
Microsoft Entra ID 使用 OpenID Connect 协议来处理身份验证。 通过 OpenID Connect,应用程序可以获取有关已验证用户和会话的基本信息。
授权
“授权”是确保经过身份验证的用户有权执行某些操作或访问某些数据的过程。
OAuth 2.0 协议用于为 Microsoft Entra ID 中的不同应用程序提供授权流。
应用程序注册
你必须先在 Microsoft Entra ID 中注册你的应用程序,然后才能使用 Microsoft Entra ID 提供的标识和访问管理服务。 注册应用程序会在应用程序和标识提供者之间建立信任关系。 可以通过 Azure 门户、使用 Azure CLI 甚至使用 Microsoft Graph API 以编程方式创建应用程序注册。
通过进行应用程序注册,你可以指定应用程序的名称、应用程序类型(Web、桌面等)和登录受众(即允许访问的用户帐户)。 登录受众包括:
- 仅该组织目录中的帐户,但前提是要构建仅供组织租户(单租户)中的用户使用的应用程序。
- 任何组织目录中的帐户,但前提是希望任何 Microsoft Entra 租户中的用户使用应用程序(多租户)。
- 任何组织目录中的帐户和 Microsoft 个人帐户,适用于最广泛的客户(也支持 Microsoft 个人帐户的多租户)。
- Microsoft 个人帐户,仅供 Microsoft 个人帐户(例如 Hotmail、Live、Skype 和 Xbox 帐户)用户使用。
还可以在应用程序注册期间配置凭据、重定向 URI 和其他身份验证设置。
应用程序注册完成后,你会收到一个应用程序(客户端)ID,它可以在 Microsoft Entra ID 中唯一标识你的应用程序。 此 ID 用于应用程序代码或身份验证库中,作为向 Microsoft Entra ID 发出的请求的一部分。