Проверка подлинности и авторизацияAuthentication vs. authorization

В этой статье описывается проверка подлинности и авторизация.This article defines authentication and authorization. Кроме того, здесь кратко рассматривается, как можно использовать платформу Microsoft Identity для проверки подлинности и авторизации пользователей в веб-приложениях, веб-API или приложениях, которые вызывают защищенные веб-API.It also briefly covers how you can use the Microsoft identity platform to authenticate and authorize users in your web apps, web APIs, or apps that call protected web APIs. Если вы видите термин, который вам не знаком, попробуйте наш Глоссарий или видеоматериалы Майкрософт по платформе идентификации, которые охватывают основные понятия.If you see a term you aren't familiar with, try our glossary or our Microsoft identity platform videos, which cover basic concepts.

АутентификацияAuthentication

Проверка подлинности — это процесс подтверждения того, что вы являетесь.Authentication is the process of proving that you are who you say you are. Иногда он сокращается до AuthN.It's sometimes shortened to AuthN. Платформа Microsoft Identity использует протокол OpenID Connect Connect для обработки проверки подлинности.The Microsoft identity platform uses the OpenID Connect protocol for handling authentication.

АвторизацияAuthorization

Авторизация — это акт предоставления разрешения на выполнение какого-либо действия стороне, прошедшей проверку подлинности.Authorization is the act of granting an authenticated party permission to do something. Она указывает, к каким данным разрешено получить доступ и что с ними можно делать.It specifies what data you're allowed to access and what you can do with that data. Авторизация иногда сокращается до authz.Authorization is sometimes shortened to AuthZ. Платформа Microsoft Identity использует протокол OAuth 2,0 для обработки авторизации.The Microsoft identity platform uses the OAuth 2.0 protocol for handling authorization.

Проверка подлинности и авторизация с помощью платформы Microsoft IdentityAuthentication and authorization using the Microsoft identity platform

Создание приложений, которые сохраняют свои собственные сведения о имени пользователя и пароле, влечет за собой высокий уровень административной нагрузки при необходимости добавления или удаления пользователей в нескольких приложениях.Creating apps that each maintain their own username and password information incurs a high administrative burden when you need to add or remove users across multiple apps. Вместо этого ваши приложения могут делегировать ответственность за централизованный поставщик удостоверений.Instead, your apps can delegate that responsibility to a centralized identity provider.

Azure Active Directory (Azure AD) — это централизованный поставщик удостоверений в облаке.Azure Active Directory (Azure AD) is a centralized identity provider in the cloud. Делегирование проверки подлинности и авторизации в него позволяет выполнять такие сценарии, как:Delegating authentication and authorization to it enables scenarios such as:

  • Политики условного доступа, требующие, чтобы пользователь был в определенном расположении.Conditional Access policies that require a user to be in a specific location.
  • Использование многофакторной идентификации, которая иногда называется двухфакторной проверкой подлинности или 2FA.The use of multi-factor authentication, which is sometimes called two-factor authentication or 2FA.
  • Пользователь может войти в систему один раз, а затем автоматически войти во все веб-приложения, использующие один и тот же централизованный каталог.Enabling a user to sign in once and then be automatically signed in to all of the web apps that share the same centralized directory. Эта возможность называется единым входом (SSO).This capability is called single sign-on (SSO).

Платформа идентификации Майкрософт упрощает авторизацию и проверку подлинности для разработчиков приложений, предоставляя удостоверение в качестве службы.The Microsoft identity platform simplifies authorization and authentication for application developers by providing identity as a service. Он поддерживает стандартные отраслевые протоколы и библиотеки с открытым исходным кодом для различных платформ, которые помогают быстро начать программировать.It supports industry-standard protocols and open-source libraries for different platforms to help you start coding quickly. Она позволяет разработчикам создавать приложения, которые подписывают все удостоверения Майкрософт, получать маркеры для вызова Microsoft Graph, доступа к API-интерфейсам Майкрософт или доступа к другим API, созданным разработчиками.It allows developers to build applications that sign in all Microsoft identities, get tokens to call Microsoft Graph, access Microsoft APIs, or access other APIs that developers have built.

В этом видео объясняется платформа Microsoft Identity и основы современной проверки подлинности.This video explains the Microsoft identity platform and the basics of modern authentication:

Ниже приведено сравнение протоколов, которые использует Платформа Microsoft Identity.Here's a comparison of the protocols that the Microsoft identity platform uses:

  • OAuth и OpenID Connect Connect: платформа использует OAuth для авторизации и OpenID Connect Connect (OIDC) для проверки подлинности.OAuth versus OpenID Connect: The platform uses OAuth for authorization and OpenID Connect (OIDC) for authentication. В основе OpenID Connect лежит OAuth 2.0, поэтому терминология и последовательность операций в них аналогичные.OpenID Connect is built on top of OAuth 2.0, so the terminology and flow are similar between the two. Можно даже проверить подлинность пользователя (через OpenID Connect Connect) и получить авторизацию для доступа к защищенному ресурсу, который владеет пользователем (через OAuth 2,0) в одном запросе.You can even both authenticate a user (through OpenID Connect) and get authorization to access a protected resource that the user owns (through OAuth 2.0) in one request. Дополнительные сведения см. в статьях Протоколы OAuth 2.0 и OpenID Connect и Протокол OpenID Connect.For more information, see OAuth 2.0 and OpenID Connect protocols and OpenID Connect protocol.
  • OAuth и SAML. платформа использует OAuth 2,0 для авторизации и SAML для проверки подлинности.OAuth versus SAML: The platform uses OAuth 2.0 for authorization and SAML for authentication. Дополнительные сведения о том, как использовать эти протоколы вместе для проверки подлинности пользователя и получения авторизации для доступа к защищенному ресурсу, см. в разделе платформа Microsoft Identity и процесс утверждения носителя OAuth 2,0 SAML.For more information on how to use these protocols together to both authenticate a user and get authorization to access a protected resource, see Microsoft identity platform and OAuth 2.0 SAML bearer assertion flow.
  • OpenID Connect Connect и SAML: платформа использует как OpenID Connect Connect, так и SAML для проверки подлинности пользователя и включения единого входа.OpenID Connect versus SAML: The platform uses both OpenID Connect and SAML to authenticate a user and enable single sign-on. Проверка подлинности SAML обычно используется с поставщиками удостоверений, например службы федерации Active Directory (AD FS) (AD FS), Федеративных в Azure AD, поэтому часто используется в корпоративных приложениях.SAML authentication is commonly used with identity providers such as Active Directory Federation Services (AD FS) federated to Azure AD, so it's often used in enterprise applications. OpenID Connect Connect обычно используется для приложений, которые полностью находятся в облаке, например для мобильных приложений, веб-сайтов и веб-API.OpenID Connect is commonly used for apps that are purely in the cloud, such as mobile apps, websites, and web APIs.

Дальнейшие действияNext steps

Другие разделы, посвященные основам проверки подлинности и авторизации:For other topics that cover authentication and authorization basics:

  • Сведения о том, как маркеры доступа, маркеры обновления и маркеры идентификации используются в авторизации и проверке подлинности, см. в разделе токены безопасности.To learn how access tokens, refresh tokens, and ID tokens are used in authorization and authentication, see Security tokens.
  • Сведения о процессе регистрации приложения для интеграции с платформой Microsoft Identity см. в разделе модель приложения.To learn about the process of registering your application so it can integrate with the Microsoft identity platform, see Application model.