驗證與授權

本文會定義驗證和授權。 它也簡短說明 Multi-Factor Authentication,以及如何使用 Microsoft 身分識別平台 來驗證和授權 Web 應用程式中的使用者、Web API 或呼叫受保護 Web API 的應用程式。 如果您看到不熟悉的字詞,請嘗試我們的詞彙Microsoft 身分識別平台 影片,其中涵蓋基本概念。

驗證

驗證 是證明您是誰的程式。 這是透過驗證人員或裝置的身分識別來達成。 它有時會縮短為 AuthN。 Microsoft 身分識別平台 會使用 OpenID 連線 通訊協定來處理驗證。

授權

授權是授與已驗證的合作對象權限以執行某些工作的動作。 會指定您可以存取哪些資料,以及可以將該資料用於哪些用途。 授權有時會縮短為 AuthZ。 Microsoft 身分識別平台 會使用 OAuth 2.0 通訊協議來處理授權。

多重要素驗證

多重要素驗證 是將另一個驗證要素提供給帳戶的行為。 這通常用來防範暴力密碼破解攻擊。 它有時會縮短為 MFA2FAMicrosoft Authenticator 可用來作為處理雙因素驗證的應用程式。 如需詳細資訊,請參閱 多重要素驗證

使用 Microsoft 身分識別平台進行驗證和授權

建立每個維護自己使用者名稱和密碼資訊的應用程式,會在跨多個應用程式新增或移除用戶時產生很高的系統管理負擔。 相反地,您的應用程式可以將該責任委派給集中式識別提供者。

Microsoft Entra ID 是雲端中的集中式識別提供者。 將驗證和授權委派給它可啟用下列案例:

  • 要求用戶位於特定位置的條件式存取原則。
  • Multi-Factor Authentication 需要用戶擁有特定裝置。
  • 讓使用者登入一次,然後自動登入所有共用相同集中式目錄的 Web 應用程式。 這項功能稱為單一登錄 (SSO)。

Microsoft 身分識別平台 藉由提供身分識別即服務,簡化應用程式開發人員的授權和驗證。 它支援適用於不同平臺的業界標準通訊協議和開放原始碼連結庫,以協助您快速開始撰寫程序代碼。 它可讓開發人員建置應用程式來登入所有 Microsoft 身分識別、取得令牌來呼叫 Microsoft Graph、存取 Microsoft API,或存取開發人員已建置的其他 API。

這段影片說明新式驗證的 Microsoft 身分識別平台 和基本概念:

以下是 Microsoft 身分識別平台 使用的通訊協議比較:

  • OAuth 與 OpenID 連線:平臺會使用 OAuth 進行授權,並使用 OpenID 連線 (OIDC) 進行驗證。 OpenID 連線 建置在 OAuth 2.0 之上,因此兩者之間的術語和流程很類似。 您甚至可以驗證使用者(透過 OpenID 連線),並取得授權,以存取使用者擁有的受保護資源(透過 OAuth 2.0)。 如需詳細資訊,請參閱 OAuth 2.0 和 OpenID 連線 通訊協定OpenID 連線 通訊協定
  • OAuth 與 SAML:平臺使用 OAuth 2.0 進行授權,而 SAML 則用於驗證。 如需如何將這些通訊協定一起使用,以驗證使用者並取得存取受保護資源的授權的詳細資訊,請參閱 Microsoft 身分識別平台 和 OAuth 2.0 SAML 持有人判斷提示流程
  • OpenID 連線 與 SAML:平台同時使用 OpenID 連線 和 SAML 來驗證使用者並啟用單一登錄。 SAML 驗證通常與身分識別提供者搭配使用,例如與 Microsoft Entra ID 同盟的 Active Directory 同盟服務 (AD FS),因此通常會用於企業應用程式中。 OpenID 連線 通常用於純粹在雲端中的應用程式,例如行動應用程式、網站和 Web API。

下一步

針對涵蓋驗證和授權基本概念的其他主題: