Autentisering kontra auktorisering

Den här artikeln definierar autentisering och auktorisering. Den beskriver också kortfattat hur du kan använda Microsofts identitetsplattform för att autentisera och auktorisera användare i dina webbappar, webb-API:er eller appar som anropar skyddade webb-API:er. Om du ser en term som du inte är bekant med kan du prova vår ordlista eller våra Microsofts identitetsplattform videor som beskriver grundläggande begrepp.

Autentisering

Autentisering är en process för att bevisa att du är den du säger att du är. Det förkortas ibland till AuthN. Microsofts identitetsplattform använder OpenID Anslut-protokollet för hantering av autentisering.

Auktorisering

Auktorisering handlar om att ge en autentiserad part behörighet att göra något. Den anger vilka data du har åtkomst till och vad du kan göra med dessa data. Auktorisering förkortas ibland till AuthZ. Microsofts identitetsplattform använder OAuth 2.0-protokollet för att hantera auktorisering.

Autentisering och auktorisering med hjälp av Microsofts identitetsplattform

Att skapa appar som var och en behåller sin egen information om användarnamn och lösenord medför en stor administrativ börda när du lägger till eller tar bort användare i flera appar. I stället kan dina appar delegera det ansvaret till en central identitetsprovider.

Azure Active Directory (Azure AD) är en centraliserad identitetsprovider i molnet. Att delegera autentisering och auktorisering till den möjliggör scenarier som:

  • Principer för villkorsstyrd åtkomst som kräver att en användare befinner sig på en viss plats.
  • Användning av multifaktorautentisering, som ibland kallas tvåfaktorautentisering eller 2FA.
  • Gör det möjligt för en användare att logga in en gång och sedan automatiskt loggas in på alla webbappar som delar samma centraliserade katalog. Den här funktionen kallas enkel inloggning (SSO).

Microsofts identitetsplattform förenklar auktorisering och autentisering för programutvecklare genom att tillhandahålla identitet som en tjänst. Det stöder branschstandardprotokoll och bibliotek med öppen källkod för olika plattformar som hjälper dig att börja koda snabbt. Det gör att utvecklare kan skapa program som loggar in alla Microsoft-identiteter, hämtar token för att anropa Microsoft Graph, få åtkomst till Microsoft-API:er eller få åtkomst till andra API:er som utvecklare har skapat.

Den här videon förklarar Microsofts identitetsplattform och grunderna för modern autentisering:

Här är en jämförelse av de protokoll som Microsofts identitetsplattform använder:

  • OAuth jämfört med OpenID Anslut: Plattformen använder OAuth för auktorisering och OpenID Anslut (OIDC) för autentisering. OpenID Anslut bygger på OAuth 2.0, så terminologin och flödet är liknande mellan de två. Du kan även både autentisera en användare (via OpenID Anslut) och få auktorisering för att få åtkomst till en skyddad resurs som användaren äger (via OAuth 2.0) i en begäran. Mer information finns i protokollen OAuth 2.0 och OpenID Anslut och OpenID Anslut.
  • OAuth jämfört med SAML: Plattformen använder OAuth 2.0 för auktorisering och SAML för autentisering. Mer information om hur du använder dessa protokoll tillsammans för att både autentisera en användare och få auktorisering för att få åtkomst till en skyddad resurs finns i Microsofts identitetsplattform och OAuth 2.0 SAML-ägarkontrollflöde.
  • OpenID Anslut jämfört med SAML: Plattformen använder både OpenID Anslut och SAML för att autentisera en användare och aktivera enkel inloggning. SAML-autentisering används ofta med identitetsprovidrar som Active Directory Federation Services (AD FS) (AD FS) federerade till Azure AD, så det används ofta i företagsprogram. OpenID Anslut används ofta för appar som endast finns i molnet, till exempel mobilappar, webbplatser och webb-API:er.

Nästa steg

För andra ämnen som beskriver grunderna för autentisering och auktorisering:

  • Information om hur åtkomsttoken, uppdateringstoken och ID-token används i auktorisering och autentisering finns i Säkerhetstoken.
  • Mer information om hur du registrerar ditt program så att det kan integreras med Microsofts identitetsplattform finns i Programmodell.