分享方式:


使用 Microsoft Entra ID 進行 OpenID Connect 驗證

OpenID Connect (OIDC) 是一種驗證通訊協定,以用於驗證的 OAuth2 通訊協定為基礎。 OIDC 會使用來自 OAuth2 的標準化訊息流程來提供識別服務。

OIDC 的設計目標是「化繁為簡、使不可能變成可能」。 OIDC 可讓開發人員在網站和應用程式之間驗證使用者,而不需要保留和管理密碼檔案。 這可以讓應用程式建立器透過安全的方式,驗證目前使用瀏覽器或原生應用程式連線至應用程式的人員身分。

使用者的驗證必須在將檢查使用者工作階段或認證的識別提供者上進行。 若要這樣做,您需要受信任的代理程式。 針對此目的,原生應用程式通常會啟動系統瀏覽器。 由於內嵌檢視無法防止應用程式窺探使用者密碼,因此不受信任。

除了驗證之外,還可以要求使用者同意。 同意是使用者允許應用程式存取受保護資源的明確權限。 同意與驗證不同,因為同意只需要針對資源提供一次即可。 同意會保持有效,直到使用者或系統管理員手動撤銷授與為止。

使用時機

需要使用者同意和網頁登入時。

架構圖表

系統元件

  • 使用者:從應用程式要求服務。

  • 受信任的代理程式:使用者與其互動的元件。 這個受信任的代理程式通常是網頁瀏覽器。

  • 應用程式:應用程式或資源伺服器是資源或資料的所在位置。 應用程式會信任識別提供者,以安全地驗證及授權受信任的代理程式。

  • Microsoft Entra ID:OIDC 提供者也稱為識別提供者,可安全地處理與使用者資訊、使用者存取權,以及流程中合作對象彼此間信任關係有關的任何項目。 識別提供者會驗證使用者的身分識別、授與及撤銷資源的存取權,以及發行權杖。

使用 Microsoft Entra ID 實作 OIDC