Ověřování a autorizace v Microsoft Entra ID

  • 5 min

Microsoft Entra ID poskytuje ověřovací a autorizační službu tím, že podporuje moderní ověřovací protokoly, jako je OAuth 2.0 a OpenID Connect, způsobem vyhovujícím standardům. Můžete použít opensourcové knihovny, jako je knihovna MICROSOFT Authentication Library (MSAL) a další knihovny kompatibilní se standardem s ID Microsoft Entra.

Ve scénáři portálu zaměstnanců zjistíte, že vaše organizace k ověřování a autorizaci používá ID Microsoft Entra jako zprostředkovatele identity.

V této lekci se dozvíte o ověřování, autorizaci a o tom, jak se podporují v ID Microsoft Entra.

Ověřování

Ověřování se týká procesu vytvoření a ověření identity koncového uživatele, který přistupuje k aplikaci.

Microsoft Entra ID používá protokol OpenID Connect ke zpracování ověřování. OpenID Connect umožňuje aplikacím získat základní informace o ověřeném uživateli a relaci.

Autorizace

Autorizace je proces zajištění, že ověřený uživatel má oprávnění k provedení určité operace nebo přístupu k některým datům.

Protokol OAuth 2.0 slouží k poskytování toků autorizace pro různé aplikace v Microsoft Entra ID.

Registrace aplikace

Microsoft Entra ID vyžaduje, abyste aplikaci zaregistrovali, než může poskytovat služby správy identit a přístupu. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a zprostředkovatelem identity. Registraci aplikace můžete vytvořit prostřednictvím webu Azure Portal, pomocí Azure CLI a dokonce programově pomocí rozhraní Microsoft Graph API.

Registrace aplikace umožňuje zadat název aplikace, typ aplikace (web, desktop atd.) a cílovou skupinu přihlašování, což jsou uživatelské účty, ke kterým chcete povolit přístup. Cílová skupina přihlašování zahrnuje:

  • Účty v tomto organizačním adresáři pouze v případě, že vytváříte aplikaci pro použití pouze uživateli v tenantovi organizace (s jedním tenantem).
  • Účty v libovolném organizačním adresáři , pokud chcete, aby uživatelé v libovolném tenantovi Microsoft Entra používali vaši aplikaci (více tenantů).
  • Účty v libovolném organizačním adresáři a osobních účtech Microsoft pro nejširší sadu zákazníků (více tenantů , které také podporují osobní účty Microsoft).
  • Osobní účty Microsoft pro použití pouze uživateli osobních účtů Microsoft (například Účty Hotmail, Live, Skype a Xbox).

Můžete také nakonfigurovat přihlašovací údaje, identifikátory URI přesměrování a další nastavení ověřování při registraci aplikace.

Po dokončení registrace aplikace obdržíte ID aplikace (klienta), které jednoznačně identifikuje vaši aplikaci v Microsoft Entra ID. Toto ID se používá v kódu aplikace nebo v knihovně ověřování jako součást požadavků provedených v Microsoft Entra ID.