Ověřování vs. autorizace

  • Článek

Tento článek definuje ověřování a autorizaci. Stručně se také věnuje službě Multi-Factor Authentication a o tom, jak můžete pomocí platformy Microsoft Identity Platform ověřovat a autorizovat uživatele ve webových aplikacích, webových rozhraních API nebo aplikacích, které volají chráněná webová rozhraní API. Pokud vidíte termín, který neznáte, vyzkoušejte naše glosář nebo videa platformy Microsoft Identity Platform, která se týkají základních konceptů.

Ověřování

Ověřování je proces prokázání toho, že jste tím, kdo říkáte. Toho dosáhnete ověřením identity osoby nebo zařízení. Někdy se zkracuje na AuthN. Platforma Microsoft Identity Platform používá pro zpracování ověřování protokol OpenID Připojení.

Autorizace

Autorizace je udělení oprávnění ověřené strany k něčemu. Určuje, k jakým datům máte povolený přístup a co můžete s daty dělat. Autorizace se někdy zkracuje na AuthZ. Platforma Microsoft Identity Platform používá protokol OAuth 2.0 ke zpracování autorizace.

Vícefaktorové ověřování

Vícefaktorové ověřování je poskytnutí dalšího faktoru ověřování účtu. Často se používá k ochraně před útoky hrubou silou. Někdy se zkracuje na vícefaktorové ověřování nebo 2FA. Microsoft Authenticator se dá použít jako aplikace pro zpracování dvojúrovňového ověřování. Další informace najdete v tématu vícefaktorové ověřování.

Ověřování a autorizace pomocí platformy Microsoft Identity Platform

Vytváření aplikací, které každý udržuje vlastní uživatelské jméno a heslo, způsobuje vysoké administrativní zatížení při přidávání nebo odebírání uživatelů napříč více aplikacemi. Místo toho můžou vaše aplikace tuto odpovědnost delegovat na centralizovaného zprostředkovatele identity.

Microsoft Entra ID je centralizovaným zprostředkovatelem identity v cloudu. Delegování ověřování a autorizace na něj umožňuje scénáře, jako jsou:

  • Zásady podmíněného přístupu, které vyžadují, aby byl uživatel v určitém umístění.
  • Multi-Factor Authentication, které vyžaduje, aby měl uživatel konkrétní zařízení.
  • Umožňuje uživateli přihlásit se jednou a pak se automaticky přihlásit ke všem webovým aplikacím, které sdílejí stejný centralizovaný adresář. Tato funkce se nazývá jednotné přihlašování (SSO).

Platforma Microsoft Identity Platform zjednodušuje autorizaci a ověřování pro vývojáře aplikací tím, že poskytuje identitu jako službu. Podporuje standardní protokoly a opensourcové knihovny pro různé platformy, které vám pomůžou rychle začít psát kód. Umožňuje vývojářům vytvářet aplikace, které se přihlašují ke všem identitám Microsoftu, získávají tokeny pro volání Microsoft Graphu, přístupu k rozhraním Microsoft API nebo přístupu k jiným rozhraním API, která vytvořili vývojáři.

Toto video vysvětluje platformu Microsoft Identity Platform a základy moderního ověřování:

Tady je porovnání protokolů, které platforma Microsoft Identity Platform používá:

  • OAuth versus OpenID Připojení: Platforma pro ověřování používá ověřování pomocí OAuth a openID Připojení (OIDC). OpenID Připojení je založený na OAuth 2.0, takže terminologie a tok jsou mezi nimi podobné. Můžete dokonce ověřit uživatele (prostřednictvím OpenID Připojení) a získat autorizaci pro přístup k chráněnému prostředku, který uživatel vlastní (prostřednictvím OAuth 2.0) v jedné žádosti. Další informace najdete v tématech OAuth 2.0 a OpenID Připojení protokoly a protokol OpenID Připojení.
  • OAuth versus SAML: Platforma k autorizaci a SAML k ověřování používá OAuth 2.0. Další informace o tom, jak tyto protokoly používat společně k ověřování uživatele a získání autorizace pro přístup k chráněnému prostředku, najdete v tématu Microsoft Identity Platform a OAuth 2.0 SAML nosný kontrolní tok.
  • OpenID Připojení versus SAML: Platforma používá openID Připojení i SAML k ověření uživatele a povolení jednotného přihlašování. Ověřování SAML se běžně používá u zprostředkovatelů identity, jako jsou Active Directory Federation Services (AD FS) (AD FS) federované s Microsoft Entra ID, takže se často používá v podnikových aplikacích. OpenID Připojení se běžně používá pro aplikace, které jsou čistě v cloudu, jako jsou mobilní aplikace, weby a webová rozhraní API.

Další kroky

Další témata, která se týkají základů ověřování a autorizace: