BeveiligingstokensSecurity tokens

Een gecentraliseerde ID-provider is vooral nuttig voor apps met gebruikers die zich op de hele wereld bevinden en zich niet hoeven aan te melden bij het bedrijfs netwerk.A centralized identity provider is especially useful for apps that have users located around the globe who don't necessarily sign in from the enterprise's network. Het micro soft Identity-platform verifieert gebruikers en biedt beveiligings tokens, zoals toegangs tokens, vernieuwings tokensen id-tokens.The Microsoft identity platform authenticates users and provides security tokens, such as access tokens, refresh tokens, and ID tokens. Met beveiligings tokens kan een client toepassing toegang krijgen tot beveiligde bronnen op een bron server.Security tokens allow a client application to access protected resources on a resource server.

Toegangs token: een toegangs token is een beveiligings token dat is uitgegeven door een autorisatie server als onderdeel van een OAuth 2,0 -stroom.Access token: An access token is a security token that's issued by an authorization server as part of an OAuth 2.0 flow. Het bevat informatie over de gebruiker en de resource waarvoor het token is bedoeld.It contains information about the user and the resource for which the token is intended. De informatie kan worden gebruikt voor toegang tot Web-Api's en andere beveiligde bronnen.The information can be used to access web APIs and other protected resources. Toegangs tokens worden gevalideerd door resources om toegang te verlenen tot een client-app.Access tokens are validated by resources to grant access to a client app. Zie toegangs tokensvoor meer informatie over hoe het micro soft Identity-platform toegangs tokens uitgeeft.To learn more about how the Microsoft identity platform issues access tokens, see Access tokens.

Vernieuwings token: omdat toegangs tokens slechts voor een korte periode geldig zijn, geven autorisatie servers soms een vernieuwings token af op het moment dat het toegangs token wordt uitgegeven.Refresh token: Because access tokens are valid for only a short period of time, authorization servers will sometimes issue a refresh token at the same time the access token is issued. De client toepassing kan dit vernieuwings token vervolgens voor een nieuw toegangs token uitwisselen wanneer dat nodig is.The client application can then exchange this refresh token for a new access token when needed. Zie voor meer informatie over de manier waarop het micro soft Identity-platform vernieuwings tokens gebruikt voor het intrekken van machtigingen, het intrekken van tokens.To learn more about how the Microsoft identity platform uses refresh tokens to revoke permissions, see Token revocation.

Id-token: id-tokens worden verzonden naar de client toepassing als onderdeel van een OpenID Connect Connect -stroom.ID token: ID tokens are sent to the client application as part of an OpenID Connect flow. Ze kunnen naast of in plaats van een toegangs token worden verzonden.They can be sent alongside or instead of an access token. ID-tokens worden door de client gebruikt om de gebruiker te verifiëren.ID tokens are used by the client to authenticate the user. Zie id-tokensvoor meer informatie over hoe de tokens van het micro soft Identity-platform worden uitgegeven.To learn more about how the Microsoft identity platform issues ID tokens, see ID tokens.

Notitie

In dit artikel worden beveiligings tokens beschreven die worden gebruikt door de Connect-protocollen OAuth2 en OpenID Connect.This article discusses security tokens used by the OAuth2 and OpenID Connect protocols. Veel zakelijke toepassingen gebruiken SAML om gebruikers te verifiëren.Many enterprise applications use SAML to authenticate users. Zie Azure Active Directory SAML-token referentievoor informatie over SAML-bevestigingen.For information on SAML assertions, see Azure Active Directory SAML token reference.

Beveiligings tokens validerenValidate security tokens

Het is tot de app waarvoor het token is gegenereerd, de web-app die de gebruiker heeft ondertekend of de Web-API die wordt aangeroepen om het token te valideren.It's up to the app for which the token was generated, the web app that signed in the user, or the web API being called to validate the token. Het token is ondertekend door de autorisatie server met een persoonlijke sleutel.The token is signed by the authorization server with a private key. De autorisatie server publiceert de bijbehorende open bare sleutel.The authorization server publishes the corresponding public key. Om een token te valideren, controleert de app de hand tekening met behulp van de open bare sleutel van de autorisatie server om te valideren dat de hand tekening is gemaakt met behulp van de persoonlijke sleutel.To validate a token, the app verifies the signature by using the authorization server public key to validate that the signature was created using the private key.

Tokens zijn alleen geldig voor een beperkte periode.Tokens are valid for only a limited amount of time. De autorisatie server biedt meestal een paar tokens, zoals:Usually, the authorization server provides a pair of tokens, such as:

  • Een toegangs token waarmee de toepassing of beveiligde resource wordt geopend.An access token, which accesses the application or protected resource.
  • Een vernieuwings token dat wordt gebruikt voor het vernieuwen van het toegangs token wanneer het toegangs token bijna is verlopen.A refresh token, which is used to refresh the access token when the access token is close to expiring.

Toegangs tokens worden door gegeven aan een web-API als het Bearer-token in de Authorization header.Access tokens are passed to a web API as the bearer token in the Authorization header. Een app kan een vernieuwings token leveren aan de autorisatie server.An app can provide a refresh token to the authorization server. Als de gebruiker toegang tot de app niet heeft ingetrokken, wordt een nieuw toegangs token en een nieuw vernieuwings token teruggestuurd.If the user access to the app wasn't revoked, it will get back a new access token and a new refresh token. Zo wordt het scenario van iemand die de onderneming verlaat, afgehandeld.This is how the scenario of someone leaving the enterprise is handled. Wanneer de autorisatie server het vernieuwings token ontvangt, wordt er geen ander geldig toegangs token uitgegeven als de gebruiker niet meer is gemachtigd.When the authorization server receives the refresh token, it won't issue another valid access token if the user is no longer authorized.

JSON-webtokens en claimsJSON Web Tokens and claims

Het micro soft Identity-platform implementeert beveiligings tokens als JSON-webtokens (JWTs) die claims bevatten.The Microsoft identity platform implements security tokens as JSON Web Tokens (JWTs) that contain claims. Aangezien JWTs als beveiligings tokens worden gebruikt, wordt deze vorm van verificatie ook wel JWT-verificatie genoemd.Since JWTs are used as security tokens, this form of authentication is sometimes called JWT authentication.

Een claim biedt bevestigingen over één entiteit, zoals een client toepassing of resource-eigenaar, naar een andere entiteit, zoals een resource server.A claim provides assertions about one entity, such as a client application or resource owner, to another entity, such as a resource server. Een claim kan ook worden aangeduid als een JWT-claim of een JSON Web Token claim.A claim might also be referred to as a JWT claim or a JSON Web Token claim.

Claims zijn naam-of waardeparen die feiten over het onderwerp van de token door sturen.Claims are name or value pairs that relay facts about the token subject. Een claim kan bijvoorbeeld feiten bevatten over de beveiligingsprincipal die is geverifieerd door de autorisatie server.For example, a claim might contain facts about the security principal that was authenticated by the authorization server. De claims die aanwezig zijn in een specifiek token zijn afhankelijk van veel dingen, zoals het type token, het type referentie dat wordt gebruikt voor het verifiëren van het onderwerp en de toepassings configuratie.The claims present in a specific token depend on many things, such as the type of token, the type of credential used to authenticate the subject, and the application configuration.

Toepassingen kunnen claims gebruiken voor verschillende taken, zoals:Applications can use claims for various tasks, such as to:

  • Valideer het token.Validate the token.
  • Identificeer de Tenantvan het token onderwerp.Identify the token subject's tenant.
  • Gebruikers gegevens weer geven.Display user information.
  • Bepaal de autorisatie van het onderwerp.Determine the subject's authorization.

Een claim bestaat uit sleutel-waardeparen die informatie geven, zoals:A claim consists of key-value pairs that provide information such as the:

  • Beveiligings token server die het token heeft gegenereerd.Security Token Server that generated the token.
  • De datum waarop het token is gegenereerd.Date when the token was generated.
  • Onderwerp (zoals de gebruiker, met uitzonde ring van daemons).Subject (such as the user--except for daemons).
  • Doel groep: de app waarvoor het token is gegenereerd.Audience, which is the app for which the token was generated.
  • De app (de client) die voor het token is aangevraagd.App (the client) that asked for the token. In het geval van web-apps kan deze app hetzelfde zijn als de doel groep.In the case of web apps, this app might be the same as the audience.

Zie toegangs tokens en id-tokensvoor meer informatie over de wijze waarop het micro soft Identity-platform tokens en claim informatie implementeert.To learn more about how the Microsoft identity platform implements tokens and claim information, see Access tokens and ID tokens.

Hoe elke stroom tokens en codes uitstraaltHow each flow emits tokens and codes

Afhankelijk van hoe uw client is gebouwd, kunnen er één (of meerdere) verificatie stromen worden gebruikt die worden ondersteund door het micro soft Identity-platform.Depending on how your client is built, it can use one (or several) of the authentication flows supported by the Microsoft identity platform. Deze stromen kunnen diverse tokens (ID-tokens, vernieuwings tokens, toegangs tokens) en autorisatie codes produceren.These flows can produce various tokens (ID tokens, refresh tokens, access tokens) and authorization codes. Ze vereisen verschillende tokens om ze te laten werken.They require different tokens to make them work. Deze tabel bevat een overzicht.This table provides an overview.

StroomFlow NodigRequires ID-tokenID token Toegangs tokenAccess token Token vernieuwenRefresh token AutorisatiecodeAuthorization code
Autorisatie code stroomAuthorization code flow xx xx xx xx
Impliciete stroomImplicit flow xx xx
Hybride OIDC-stroomHybrid OIDC flow xx xx
Aflossingen van token vernieuwenRefresh token redemption Token vernieuwenRefresh token xx xx xx
Namens-stroomOn-behalf-of flow Toegangs tokenAccess token xx xx xx
Client referentiesClient credentials x (alleen app)x (App only)

Tokens die zijn uitgegeven via de impliciete modus, hebben een beperkte lengte omdat ze via de URL worden teruggestuurd naar de browser, waarbij response_mode query of fragment .Tokens issued via the implicit mode have a length limitation because they're passed back to the browser via the URL, where response_mode is query or fragment. Voor sommige browsers geldt een limiet voor de grootte van de URL die in de browser balk kan worden geplaatst en die te lang is.Some browsers have a limit on the size of the URL that can be put in the browser bar and fail when it's too long. Als gevolg hiervan zijn deze tokens niet groups of wids claims.As a result, these tokens don't have groups or wids claims.

Volgende stappenNext steps

Zie de volgende artikelen voor meer informatie over verificatie en autorisatie in het micro soft-identiteits platform:For more information about authentication and authorization in the Microsoft identity platform, see the following articles: