Prozkoumání ověřování
Ověřování ověřuje identitu (uživatel nebo aplikace nebo zařízení), za koho se ohlásí. Pak také poskytuje odpovídající úroveň ověřování a zabezpečení během ověřovací transakce. Ověřování identit poskytuje:
- Flexibilní, vyhovující standardům, ověřování, které se integruje napříč organizacemi
- Integrace různorodých zdrojů, aplikací a protokolů
- Využívá mnoho různých oborových standardních metod ověřování a záruky.
Použití zprostředkovatele identity pro ověřování nabízí způsob, jak zajistit zabezpečené identity bez omezení možností uživatelů. Získáte pohodlí, více zdrojů pro ověřování identity, oborových protokolů a záruky identity.
Pohodlí – Funkce usnadnění se zaměřuje na prostředí koncových uživatelů s tím, jak se zobrazí výzva k zadání přihlašovacích údajů pro ověřování. Zaměřte se na prostředí koncového uživatele. Pokud něco není snadné, uživatelé se tomu vyhýbají nebo si na něj stěžovali.
Zdroje – možnosti zdrojů obklopují místo, odkud uživatel získá ověřovací token. Mnoho organizací věří, že je centralizovaným vystavitelem (Microsoft Entra ID), ale ve skutečnosti má většina organizací také další úložiště identit. Federovaná identita je nejběžnějším jiným zprostředkovatelem identity.
Protokoly – Organizace často mají různé ověřovací protokoly, které koncovým uživatelům i organizaci způsobují nedostatečné prostředí. Cílem této funkce je pomoct organizaci standardizovat jeden nebo více moderních a zabezpečených ověřovacích protokolů, aby dosáhla svých cílů ověřování.
Zajištění – Zajištění ověřování je jistota, že organizace má, že jednotlivec, který přistupuje k prostředku, je ten, kdo říká, že jsou. Tato funkce hovoří o tom, jestli organizace používá sdílené účty, pokud používá přizpůsobené účty a jestli se používají řešení, jako je vícefaktorové ověřování nebo ověřování na základě rizik.
Federovaná identita
Federace je kolekce domén, které mají vytvořený vztah důvěryhodnosti. Úroveň důvěryhodnosti se liší, ale obvykle zahrnuje ověřování a téměř vždy zahrnuje autorizaci. Tato federace umožňuje použít existující identity z důvěryhodných zdrojů, jako je existující místní active directory.
Běžné komunikační protokoly v identitě
| Protokol | Popis a využití |
|---|---|
| SAML – Jazyk značek kontrolních výrazů zabezpečení | Otevřete standard pro výměnu ověřovacích a autorizačních dat mezi zprostředkovatelem identity a poskytovatelem služeb. Běžné atributy SAML: |
| Principal = obecně uživatel nebo zařízení, IdP = zprostředkovatel identity, SP = poskytovatel služeb | |
| IdP = zprostředkovatel identity | |
| SP = poskytovatel služeb | |
| WS-Fed – Federace webových služeb | Specifikace identity z architektury zabezpečení webových služeb, která poskytuje jednotné přihlašování prostřednictvím externí výměny identit a ověřování. |
| OIDC – OpenID Connect | OIDC rozšiřuje autorizační protokol OAuth 2.0 pro použití jako ověřovací protokol, abyste mohli provádět jednotné přihlašování pomocí OAuth. |
OpenID Connect
OpenID Connect (OIDC) je ověřovací protokol založený na OAuth 2.0. Tento protokol umožňuje uživateli bezpečně se přihlásit k aplikaci. Když používáte implementaci OpenID Connect platformy Microsoft Identity Platform, můžete do svých aplikací přidat přístup k přihlašování a rozhraní API. OpenID Connect rozšiřuje autorizační protokol OAuth 2.0 pro použití jako ověřovací protokol, abyste mohli používat jednotné přihlašování pomocí OAuth. OpenID Connect zavádí koncept ID tokenu, což je token zabezpečení, který umožňuje klientovi ověřit identitu uživatele. Token ID také získá základní informace o profilu uživatele. Zavádí také koncový bod UserInfo, rozhraní API, které vrací informace o uživateli.
Identita založená na deklarací identity v Microsoft Entra ID
Když se uživatel přihlásí, Microsoft Entra ID odešle token ID, který obsahuje sadu deklarací identity o uživateli. Deklarace identity je jednoduše informace vyjádřená jako pár klíč/hodnota. Například email=bob@contoso.com. Deklarace identity mají vystavitele (v tomto případě Microsoft Entra ID), což je entita, která ověřuje uživatele a vytváří deklarace identity. Deklarace identity důvěřujete, protože vystaviteli důvěřujete. (Naopak pokud vystavitel nedůvěřujete, nedůvěřujte deklaracím!)
Na vysoké úrovni:
- Uživatel se ověří.
- Zprostředkovatel identity (IDP) odesílá sadu deklarací identity.
- Aplikace normalizuje nebo rozšiřuje deklarace identity (volitelné).
- Aplikace používá deklarace identity k rozhodování o autorizaci.
V OpenID Connect se sada deklarací identity, které získáte, řídí parametr oboru žádosti o ověření. Microsoft Entra ID však vydává omezenou sadu deklarací identity prostřednictvím OpenID Connect prostřednictvím tokenu zabezpečení; primárně používá webové tokeny JSON. Pokud chcete o uživateli získat další informace, musíte použít rozhraní Graph API s ID Microsoft Entra.
Tokeny zabezpečení
Platforma Microsoft Identity Platform ověřuje uživatele a poskytuje tokeny zabezpečení, jako jsou přístupové tokeny, obnovovací tokeny a tokeny ID. Tokeny zabezpečení umožňují klientské aplikaci přistupovat k chráněným prostředkům na serveru prostředků. Existují tři běžné typy tokenů, přístupové tokeny, obnovovací tokeny a tokeny ID.
- Přístupový token – přístupový token je token zabezpečení vydaný autorizačním serverem jako součást toku OAuth 2.0. Obsahuje informace o uživateli a prostředku, pro který je token zamýšlen. Informace lze použít pro přístup k webovým rozhraním API a dalším chráněným prostředkům. Přístupové tokeny ověřují prostředky za účelem udělení přístupu k klientské aplikaci. Další informace o tom, jak platforma Microsoft Identity Platform vydává přístupové tokeny, najdete v tématu Přístupové tokeny.
- Obnovovací token – protože přístupové tokeny jsou platné jenom krátce, autorizační servery někdy vydávají obnovovací token současně s přístupovým tokenem. Klientská aplikace pak může tento obnovovací token v případě potřeby vyměnit za nový přístupový token. Další informace o tom, jak platforma Microsoft Identity Platform používá obnovovací tokeny k odvolání oprávnění, najdete v tématu Obnovovací tokeny.
- Token ID – Tokeny ID se odesílají do klientské aplikace jako součást toku OpenID Connect. Je možné je odeslat společně s přístupovým tokenem nebo místo něj. Tokeny ID používají klient k ověření uživatele. Další informace o problémech s tokeny ID platformy Microsoft Identity Platform najdete v tématu Tokeny ID.
Co je webový token JSON (JWT)?
Webový token JSON (JWT) je otevřený standard (RFC 7519), který definuje kompaktní a samostatný způsob bezpečného přenosu informací mezi stranami jako objekt JSON. Tyto informace je možné ověřit a důvěřovat, protože jsou digitálně podepsané. JWT se dají podepsat pomocí tajného klíče nebo páru veřejného a privátního klíče. I když je možné JWT zašifrovat, abychom také zajistili tajemství mezi stranami, zaměřujeme se na podepsané tokeny. Podepsané tokeny mohou ověřit integritu deklarací identity obsažené v ní, zatímco šifrované tokeny tyto deklarace identity skryjí před jinými stranami. Když jsou tokeny podepsány pomocí párů veřejného a privátního klíče, podpis také potvrzuje, že jediným držitelem privátního klíče je ten, který ho podepsal.
Poznámka:
Informace poskytnuté z webu JWT - https://jwt.io/.
Definice v rámci identity založené na deklaracích
Existují některé běžné termíny, které se používají při diskuzi o identitě založené na deklarací identity v Microsoft Entra ID.
-
Deklarace identity – dvojice hodnot dat v tokenu zabezpečení V tokenu se přenáší více deklarací identity z deklarace identity, která definuje typ tokenu do metody šifrování. Tady je příklad:
Header { "alg": "HS256", "typ": "JWT" } Content payload { "sub": "1234567890", "name": "John Doe", "aud": "https://jwt.io" } - Kontrolní výraz – balíček dat, obvykle ve formě tokenu, který sdílí identitu a bezpečnostní informace o uživateli nebo účtu napříč doménami zabezpečení.
- Atribut – dvojice hodnot dat v tokenu.
- Rozšíření – proces přidání dalších deklarací identity do tokenu uživatele za účelem poskytnutí dalších podrobností o uživateli. To může zahrnovat data ze systémů lidských zdrojů, z aplikace, jako je SharePoint nebo jiné systémy.