Проверка подлинности и авторизация

В этой статье рассматриваются концепции проверки подлинности и авторизации, а также использование платформы удостоверений Майкрософт для проверки подлинности и авторизации пользователей в веб-приложениях, веб-API или приложениях, вызывающих защищенные веб-API. Столкнувшись с незнакомым вам термином, обратитесь к нашему глоссарию или нашим видеороликам, посвященным платформе удостоверений Майкрософт, в которых рассматриваются основные понятия.

Аутентификация

Проверка подлинности — это процесс, подтверждающий, что вы являетесь тем, за кого себя выдаете. Иногда для этого термина используется сокращение AuthN (Authentication). Для обработки операций проверки подлинности в платформе удостоверений Майкрософт применяется протокол OpenID Connect.

Авторизация

Авторизация — это акт предоставления разрешения на выполнение какого-либо действия стороне, прошедшей проверку подлинности. Она указывает, к каким данным разрешено получить доступ и что с ними можно делать. Авторизация иногда сокращенно обозначается AuthZ (Authorization). Для обработки операций авторизации в платформе удостоверений Майкрософт применяется протокол OAuth 2.0.

Проверка подлинности и авторизация с помощью платформы удостоверений Майкрософт

Создание приложений, каждое из которых хранит свои собственные сведения об имени пользователя и пароле, повышает административную нагрузку, когда требуется добавить или удалить пользователей в нескольких приложениях. Вместо этого приложения могут делегировать такие функции централизованному поставщику удостоверений.

Azure Active Directory (Azure AD) — это централизованный поставщик удостоверений в облаке. Делегирование ему проверки подлинности и авторизации позволяет использовать такие сценарии:

  • Политики условного доступа, требующие, чтобы пользователь находился в определенном месте.
  • Применение многофакторной проверки подлинности, которая иногда называется двухфакторной аутентификацией (2FA).
  • Возможность для пользователя входить в систему один раз, а затем автоматически входить во все веб-приложения, которые используют один и тот же централизованный каталог. Такая возможность называется единым входом.

Платформа удостоверений Майкрософт, выступая в роли службы по предоставлению удостоверений, упрощает авторизацию и проверку подлинности для разработчиков приложений. Она поддерживает стандартные отраслевые протоколы и библиотеки с открытым исходным кодом для различных платформ, которые помогают быстро приступить к написанию соответствующего кода. С ее помощью разработчики могут создавать приложения, которые обеспечивают вход с помощью любых удостоверений Майкрософт, получают маркеры для вызова Microsoft Graph, доступа к программным интерфейсам Майкрософт и API, созданным разработчиками.

В этом видео рассматриваются платформа удостоверений Майкрософт и основы современных технологий проверки подлинности:

Вот сравнение протоколов, которые использует платформа удостоверений Майкрософт:

  • OAuth и OpenID Connect: платформа использует OAuth для авторизации и OpenID Connect (OIDC) для проверки подлинности. В основе OpenID Connect лежит OAuth 2.0, поэтому терминология и последовательность операций в них аналогичные. В одном запросе можно даже проверить подлинность пользователя (с помощью OpenID Connect) и получить авторизацию для доступа к защищенному ресурсу, которым владеет пользователь (с помощью OAuth 2.0). Дополнительные сведения см. в статьях Протоколы OAuth 2.0 и OpenID Connect и Протокол OpenID Connect.
  • OAuth и SAML: платформа использует протокол OAuth 2.0 для авторизации и SAML для проверки подлинности. Дополнительные сведения о том, как использовать эти протоколы для проверки подлинности пользователя и авторизации доступа к защищенному ресурсу см. в статье Платформа удостоверений Майкрософт и поток утверждения носителя OAuth 2.0 SAML.
  • OpenID Connect и SAML: платформа использует для проверки подлинности пользователя и включения единого входа как OpenID Connect, так и SAML. Проверка подлинности SAML обычно используется с поставщиками удостоверений, такими как службы федерации Active Directory (ADFS) с федерацией в Azure AD, и поэтому часто применяется в корпоративных приложениях. OpenID Connect обычно используется для приложений, которые полностью находятся в облаке (например, для мобильных приложений, веб-сайтов и веб-API).

Дальнейшие действия

Другие статьи по основам проверки подлинности и авторизации:

  • Сведения о маркерах доступа, маркерах обновления и маркерах идентификации, используемых при проверке подлинности и авторизации, см. в статье Маркеры безопасности.
  • Сведения о процессе регистрации приложения для интеграции с платформой удостоверений Майкрософт см. в статье Модель приложения.