SäkerhetstokenSecurity tokens

En centraliserad identitets leverantör är särskilt användbar för appar som har användare som finns i hela världen och som inte nödvändigt vis loggar in från företagets nätverk.A centralized identity provider is especially useful for apps that have users located around the globe who don't necessarily sign in from the enterprise's network. Microsoft Identity Platform autentiserar användare och ger säkerhetstoken, till exempel åtkomsttoken, uppdateringstokenoch ID-token.The Microsoft identity platform authenticates users and provides security tokens, such as access tokens, refresh tokens, and ID tokens. Säkerhetstoken gör att ett klient program kan komma åt skyddade resurser på en resurs Server.Security tokens allow a client application to access protected resources on a resource server.

Åtkomsttoken: en åtkomsttoken är en säkerhetstoken som utfärdas av en Authorization Server som en del av ett OAuth 2,0 -flöde.Access token: An access token is a security token that's issued by an authorization server as part of an OAuth 2.0 flow. Den innehåller information om användaren och resursen som token är avsedd för.It contains information about the user and the resource for which the token is intended. Informationen kan användas för att få åtkomst till webb-API: er och andra skyddade resurser.The information can be used to access web APIs and other protected resources. Åtkomsttoken verifieras av resurser för att ge åtkomst till en klient app.Access tokens are validated by resources to grant access to a client app. Mer information om hur Microsoft Identity Platform utfärdar åtkomst-token finns i åtkomsttoken.To learn more about how the Microsoft identity platform issues access tokens, see Access tokens.

Uppdatera token: eftersom åtkomsttoken bara är giltiga under en kort tids period, kommer auktoriseringsservern ibland att utfärda en uppdateringstoken på samma gång som åtkomsttoken utfärdas.Refresh token: Because access tokens are valid for only a short period of time, authorization servers will sometimes issue a refresh token at the same time the access token is issued. Klient programmet kan sedan byta ut denna uppdateringstoken för en ny åtkomsttoken vid behov.The client application can then exchange this refresh token for a new access token when needed. Mer information om hur Microsoft Identity Platform använder Refresh tokens för att återkalla behörigheter finns i återkalla token.To learn more about how the Microsoft identity platform uses refresh tokens to revoke permissions, see Token revocation.

ID-token: ID-token skickas till klient programmet som en del av ett OpenID Connect -flöde.ID token: ID tokens are sent to the client application as part of an OpenID Connect flow. De kan skickas tillsammans med eller i stället för en åtkomsttoken.They can be sent alongside or instead of an access token. ID-token används av klienten för att autentisera användaren.ID tokens are used by the client to authenticate the user. Mer information om hur Microsoft Identity Platform utfärdar ID-token finns i ID-token.To learn more about how the Microsoft identity platform issues ID tokens, see ID tokens.

Anteckning

Den här artikeln beskriver säkerhetstoken som används av OAuth2-och OpenID Connect-protokollen.This article discusses security tokens used by the OAuth2 and OpenID Connect protocols. Många företags program använder SAML för att autentisera användare.Many enterprise applications use SAML to authenticate users. Information om SAML-kontroller finns i Azure Active Directory referens för SAML-token.For information on SAML assertions, see Azure Active Directory SAML token reference.

Verifiera säkerhetstokenValidate security tokens

Det är upp till appen för vilken token har skapats, webbappen som signerade användaren eller webb-API: et som anropades för att validera token.It's up to the app for which the token was generated, the web app that signed in the user, or the web API being called to validate the token. Token signeras av auktoriseringsservern med en privat nyckel.The token is signed by the authorization server with a private key. Auktoriseringsservern publicerar motsvarande offentliga nyckel.The authorization server publishes the corresponding public key. För att validera en token verifierar appen signaturen med hjälp av den offentliga nyckeln för auktoriseringsservern för att verifiera att signaturen skapades med hjälp av den privata nyckeln.To validate a token, the app verifies the signature by using the authorization server public key to validate that the signature was created using the private key.

Tokens är bara giltiga för en begränsad tid.Tokens are valid for only a limited amount of time. Vanligt vis tillhandahåller auktoriseringsservern ett par token, till exempel:Usually, the authorization server provides a pair of tokens, such as:

  • En åtkomsttoken som ansluter till programmet eller den skyddade resursen.An access token, which accesses the application or protected resource.
  • En uppdateringstoken som används för att uppdatera åtkomst-token när åtkomsttoken ligger nära att gå ut.A refresh token, which is used to refresh the access token when the access token is close to expiring.

Åtkomsttoken skickas till ett webb-API som Bearer-token i Authorization huvudet.Access tokens are passed to a web API as the bearer token in the Authorization header. En app kan tillhandahålla en uppdateringstoken för auktoriserings servern.An app can provide a refresh token to the authorization server. Om användarens åtkomst till appen inte har återkallats, kommer den att få tillbaka en ny åtkomsttoken och en ny uppdateringstoken.If the user access to the app wasn't revoked, it will get back a new access token and a new refresh token. Detta är hur scenariot för någon som lämnar företaget hanteras.This is how the scenario of someone leaving the enterprise is handled. När auktoriseringsservern tar emot uppdateringstoken, utfärdar den ingen annan giltig åtkomsttoken om användaren inte längre är auktoriserad.When the authorization server receives the refresh token, it won't issue another valid access token if the user is no longer authorized.

JSON-webbtoken och anspråkJSON Web Tokens and claims

Microsoft Identity Platform implementerar säkerhetstoken som JSON-webbtoken (JWTs) som innehåller anspråk.The Microsoft identity platform implements security tokens as JSON Web Tokens (JWTs) that contain claims. Eftersom JWTs används som säkerhetstoken kallas den här typen av autentisering även JWT-autentisering.Since JWTs are used as security tokens, this form of authentication is sometimes called JWT authentication.

Ett anspråk ger intyg om en entitet, till exempel ett klient program eller en resurs ägare, till en annan entitet, till exempel en resurs Server.A claim provides assertions about one entity, such as a client application or resource owner, to another entity, such as a resource server. Ett anspråk kan också kallas för ett JWT-anspråk eller ett JSON Web Token-anspråk.A claim might also be referred to as a JWT claim or a JSON Web Token claim.

Anspråk är namn eller värdepar som vidarebefordrar fakta om ämnets token.Claims are name or value pairs that relay facts about the token subject. Ett anspråk kan till exempel innehålla fakta om säkerhets objekt som autentiserats av auktoriseringsservern.For example, a claim might contain facts about the security principal that was authenticated by the authorization server. De anspråk som förekommer i en specifik token är beroende av många saker, till exempel typen av token, vilken typ av autentiseringsuppgift som används för att autentisera ämnet och program konfigurationen.The claims present in a specific token depend on many things, such as the type of token, the type of credential used to authenticate the subject, and the application configuration.

Program kan använda anspråk för olika uppgifter, t. ex. för att:Applications can use claims for various tasks, such as to:

  • Verifiera token.Validate the token.
  • Identifiera mottagarens token- innehavare.Identify the token subject's tenant.
  • Visa användar information.Display user information.
  • Bestäm ämnets auktorisering.Determine the subject's authorization.

Ett anspråk består av nyckel/värde-par som innehåller information som:A claim consists of key-value pairs that provide information such as the:

  • Säkerhetstoken som genererade token.Security Token Server that generated the token.
  • Datum när token genererades.Date when the token was generated.
  • Ämne (till exempel användare--utom för daemon).Subject (such as the user--except for daemons).
  • Mål grupp, som är appen för vilken token genererades.Audience, which is the app for which the token was generated.
  • App (klienten) som bad om token.App (the client) that asked for the token. När det gäller Web Apps kan den här appen vara samma som mål gruppen.In the case of web apps, this app might be the same as the audience.

Mer information om hur Microsoft Identity Platform implementerar token och anspråks information finns i åtkomsttoken och ID-token.To learn more about how the Microsoft identity platform implements tokens and claim information, see Access tokens and ID tokens.

Hur varje flöde avger tokens och koderHow each flow emits tokens and codes

Beroende på hur din klient har skapats kan den använda en (eller flera) av de autentiserings flöden som stöds av Microsoft Identity Platform.Depending on how your client is built, it can use one (or several) of the authentication flows supported by the Microsoft identity platform. Dessa flöden kan producera olika tokens (ID-token, Refresh tokens, åtkomsttoken) och auktoriseringsregler.These flows can produce various tokens (ID tokens, refresh tokens, access tokens) and authorization codes. De kräver olika token för att de ska fungera.They require different tokens to make them work. Den här tabellen ger en översikt.This table provides an overview.

FlödenFlow InnebärRequires ID-tokenID token ÅtkomsttokenAccess token Uppdatera tokenRefresh token Authorization code (Auktoriseringskod)Authorization code
Flöde för auktoriseringskodAuthorization code flow xx xx xx xx
Implicit flödeImplicit flow xx xx
Hybrid OIDC-flödeHybrid OIDC flow xx xx
Uppdatera token-inlösenRefresh token redemption Uppdatera tokenRefresh token xx xx xx
On-Behalf-Of-flödeOn-behalf-of flow ÅtkomsttokenAccess token xx xx xx
KlientautentiseringsuppgifterClient credentials x (endast app)x (App only)

Token som utfärdas via det implicita läget har en längd begränsning eftersom de skickas tillbaka till webbläsaren via URL: en, där response_mode är query eller fragment .Tokens issued via the implicit mode have a length limitation because they're passed back to the browser via the URL, where response_mode is query or fragment. Vissa webbläsare har en gräns för storleken på URL: en som kan placeras i webbläsarens fält och inte fungerar när den är för lång.Some browsers have a limit on the size of the URL that can be put in the browser bar and fail when it's too long. Detta innebär att dessa token inte har groups eller är wids anspråk.As a result, these tokens don't have groups or wids claims.

Nästa stegNext steps

Mer information om autentisering och auktorisering i Microsoft Identity Platform finns i följande artiklar:For more information about authentication and authorization in the Microsoft identity platform, see the following articles: