رموز الأمان المميزة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يُعد موفر الهوية المركزي مفيدًا بشكل خاص للتطبيقات التي يوجد بها مستخدمون موجودون في جميع أنحاء العالم ولا يسجلون الدخول بالضرورة من شبكة المؤسسة. يصادق النظام الأساسي للهوية من Microsoft المستخدمين ويوفر رموز الأمان، مثل رموز الوصول و رموز التحديث و رموز المعرف المميزة. تسمح رموز الأمان لتطبيق العميل بالوصول إلى الموارد المحمية على خادم موارد.

رمز الوصول: رمز الوصول هو رمز أمان تم إصداره بواسطة خادم التفويض كجزء من تدفق OAuth 2.0. يحتوي على معلومات حول المستخدم والمورد الذي تم تخصيص الرمز له. يمكن استخدام المعلومات للوصول إلى واجهات برمجة تطبيقات الويب والموارد المحمية الأخرى. يتم التحقق من صحة رموز الوصول من خلال الموارد لمنح الوصول إلى تطبيق العميل. لمعرفة المزيد حول كيفية إصدار نظام هوية Microsoft لرموز الوصول، راجع رموز الوصول.

رمز التحديث: نظرًا لأن رموز الوصول صالحة لفترة قصيرة فقط، فإن خوادم التفويض ستصدر أحيانًا رمز تحديث في نفس الوقت الذي يتم فيه إصدار رمز الوصول. يمكن لتطبيق العميل بعد ذلك استبدال رمز التحديث المميز هذا برمز وصول جديد عند الحاجة. لمعرفة المزيد حول كيفية استخدام النظام الأساسي للهوية لـ Microsoft رموز التحديث المميزة لإبطال الأذونات، راجع تحديث الرموز المميزة .

رمز المعرف المميز: يتم إرسال الرموز المميزة للمعرف إلى تطبيق العميل كجزء من تدفق OpenID Connect. يمكن إرسالها جنبًا إلى جنب مع رمز الوصول أو بدلاً منه. يستخدم العميل الرموز المميزة للمعرف لمصادقة المستخدم. لمعرفة المزيد حول كيفية إصدار نظام هوية Microsoft للرموز المميزة للمعرف، راجع الرموز المميزة للمعرف.

ملاحظة

تتناول هذه المقالة الرموز المميزة للأمان المستخدمة بواسطة بروتوكولي OAuth2 و OpenID Connect. تستخدم العديد من تطبيقات المؤسسة SAML لمصادقة المستخدمين. للحصول على معلومات حول تأكيدات SAML، راجع مرجع رمز Azure Active Directory SAML المميز .

التحقق من صحة الرموز الأمنية

يعود الأمر إلى التطبيق الذي تم إنشاء الرمز المميز له، أو تطبيق الويب الذي سجل دخول المستخدم، أو واجهة برمجة تطبيقات الويب التي يتم استدعاؤها للتحقق من الرمز المميز. تم توقيع الرمز المميز بواسطة خادم التفويض بمفتاح خاص. ينشر خادم التفويض المفتاح العمومي المقابل. للتحقق من صحة رمز مميز، يتحقق التطبيق من التوقيع باستخدام المفتاح العام لخادم التفويض للتحقق من أن التوقيع قد تم إنشاؤه باستخدام المفتاح الخاص.

الرموز صالحة لفترة محدودة فقط من الوقت. عادةً ما يوفر خادم التفويض زوجًا من الرموز المميزة، مثل:

• رمز وصول يصل إلى التطبيق أو المورد المحمي.
• رمز التحديث، والذي يتم استخدامه لتحديث رمز الوصول عند اقتراب انتهاء صلاحية رمز الوصول.

يتم تمرير رموز الوصول إلى واجهة برمجة تطبيقات الويب كرمز لحاملها في رأس Authorization. يمكن أن يوفر التطبيق رمزًا مميزًا للتحديث لخادم التفويض. إذا لم يتم إبطال وصول المستخدم إلى التطبيق، فسوف يستعيد رمز وصول جديد ورمزًا مميزًا جديدًا للتحديث. هذه هي الطريقة التي يتم بها التعامل مع سيناريو شخص يغادر المؤسسة. عندما يتلقى خادم التفويض رمز التحديث المميز، فلن يصدر رمز وصول صالح آخر إذا لم يعد المستخدم مصرحًا له.

رموز الويب JSON والمطالبات

ينفذ النظام الأساسي للهوية من Microsoft رموز الأمان كرموز ويب JSON (JWTs) التي تحتوي على مطالبات. نظرًا لاستخدام JWTs كرموز أمان، يُطلق على هذا النوع من المصادقة أحيانًا اسم مصادقة JWT.

توفر المطالبة تأكيدات حول كيان واحد، مثل تطبيق العميل أو مالك المورد، إلى كيان آخر، مثل كخادم موارد. يمكن أيضًا الإشارة إلى المطالبة على أنها مطالبة JWT أو مطالبة JSON Web Token.

المطالبات هي أزواج من الاسم أو القيمة تنقل الحقائق حول موضوع الرمز المميز. على سبيل المثال، قد تحتوي المطالبة على حقائق حول مبدأ الأمان الذي تمت مصادقته بواسطة خادم التفويض. تعتمد المطالبات الموجودة في رمز معين على العديد من الأشياء، مثل نوع الرمز المميز ونوع بيانات الاعتماد المستخدمة لمصادقة الموضوع وتكوين التطبيق.

يمكن للتطبيقات استخدام المطالبات للقيام بمهام مختلفة، مثل:

• تحقق من صحة الرمز المميز.
• حدد مستأجر موضوع الرمز المميز.
• اعرض معلومات المستخدم.
• تحديد إذن الموضوع.

تتكون المطالبة من أزواج ذات قيمة رئيسية توفر معلومات مثل:

• خادم رمز الأمان الذي أنشأ الرمز المميز.
• التاريخ الذي تم فيه إنشاء الرمز المميز.
• الموضوع (مثل المستخدم - باستثناء الشياطين).
• الجمهور، وهو التطبيق الذي تم إنشاء الرمز المميز من أجله.
• التطبيق (العميل) الذي طلب الرمز المميز. في حالة تطبيقات الويب، قد يكون هذا التطبيق هو نفسه الجمهور.

لمعرفة المزيد حول كيفية تنفيذ النظام الأساسي للهوية من Microsoft الرموز المميزة ومعلومات المطالبة، راجع رموز الوصول و الرموز المميزة للمعرف.

كيف يصدر كل تدفق الرموز المميزة والرموز

اعتمادًا على كيفية بناء عميلك، يمكنه استخدام واحد (أو عدة) من تدفقات المصادقة التي يدعمها نظام هوية Microsoft. يمكن أن تنتج هذه التدفقات رموزًا متنوعة (رموز معرف، رموز تحديث، رموز وصول) وأكواد تفويض. إنها تتطلب رموزًا مختلفة لجعلها تعمل. يقدم هذا الجدول نظرة عامة.

تدفق	يتطلب	رمز الهوية	رمز وصول	تحديث الرمز	التعليمة البرمجية للتخويل
تدفق رمز التفويض		x	x	x	x
التدفق الضمني		x	x
تدفق OIDC المختلط		x			x
تحديث استرداد الرمز المميز	تحديث الرمز	x	x	x
نيابة عن التدفق	رمز وصول	x	x	x
بيانات اعتماد العميل			x (التطبيق فقط)

الرموز التي يتم إصدارها من خلال الوضع الضمني لها قيود على الطول لأنها يتم تمريرها مرة أخرى إلى المتصفح عبر عنوان URL، حيث يكون response_mode هو query أو fragment. تحتوي بعض المتصفحات على حدود لحجم عنوان URL يمكن وضعها في شريط المتصفح وتفشل عندما تكون طويلة جدًا. نتيجة لذلك، لا تحتوي هذه الرموز المميزة على مطالبات groups أو wids.

الخطوات التالية

لمزيد من المعلومات حول المصادقة والترخيص في النظام الأساسي للهوية من Microsoft، راجع المقالات التالية:

• للتعرف على المفاهيم الأساسية للمصادقة والتفويض، راجع المصادقة مقابل التفويض .
• لمعرفة المزيد حول تسجيل طلبك للتكامل، راجع نموذج التطبيق.
• للتعرف على تدفق تسجيل الدخول لتطبيقات الويب وسطح المكتب والجوال، راجع تدفق تسجيل الدخول إلى التطبيق.