Authentifizierung und Autorisierung in Microsoft Entra ID
Microsoft Entra ID bietet einen Authentifizierungs- und Autorisierungsdienst, indem moderne Authentifizierungsprotokolle wie OAuth 2.0 und OpenID Connect auf eine standardkonforme Weise unterstützt werden. Sie können Open-Source-Bibliotheken wie die Microsoft-Authentifizierungsbibliothek und andere standardkonforme Bibliotheken mit Microsoft Entra ID verwenden.
Im Szenario des Mitarbeiterportals erfahren Sie, dass Ihre Organisation Microsoft Entra ID als Identitätsanbieter für die Authentifizierung und Autorisierung verwendet.
In dieser Lerneinheit erfahren Sie mehr über die Authentifizierung und Autorisierung und wie sie in Microsoft Entra ID unterstützt werden.
Authentifizierung
Die Authentifizierung bezieht sich auf den Prozess zum Einrichten und Verifizieren der Identität des Endbenutzers, der auf eine Anwendung zugreift.
Microsoft Entra ID verwendet das OpenID Connect-Protokoll zum Verarbeiten der Authentifizierung. OpenID Connect ermöglicht Anwendungen das Abrufen grundlegender Informationen über den authentifizierten Benutzer und die Sitzung.
Autorisierung
Die Autorisierung ist der Prozess, mit dem sichergestellt wird, dass ein authentifizierter Benutzer über die Berechtigung zum Ausführen eines Vorgangs oder zum Zugreifen auf Daten verfügt.
Das OAuth 2.0-Protokoll wird verwendet, um Autorisierungsflows für verschiedene Anwendungen in Microsoft Entra ID bereitzustellen.
Anwendungsregistrierung
Microsoft Entra ID erfordert, dass Sie Ihre Anwendung registrieren, bevor sie Identitäts- und Zugriffsverwaltungsdienste bereitstellen kann. Durch die Registrierung Ihrer Anwendung wird eine Vertrauensstellung zwischen der Anwendung und dem Identitätsanbieter geschaffen. Sie können eine Anwendungsregistrierung über das Azure-Portal mithilfe der Azure CLI oder sogar programmgesteuert mithilfe von Microsoft Graph-APIs erstellen.
Die Anwendungsregistrierung ermöglicht es Ihnen, den Namen Ihrer Anwendung, den Typ Ihrer Anwendung (Web, Desktop usw.) und die Zielgruppe für die Anmeldung anzugeben, d. h. die Benutzerkonten, auf die der Zugriff gewährt werden soll. Die Anmeldegruppe umfasst folgende Optionen:
- Nur Konten in diesem Organisationsverzeichnis, wenn Sie eine Anwendung erstellen, die nur von Benutzern im Organisationsmandanten (einzelner Mandant) verwendet werden soll
- Konten in einem beliebigen Organisationsverzeichnis, wenn Ihre Anwendung von Benutzer*innen in beliebigen Microsoft Entra-Mandanten verwendet werden soll (mehrere Mandanten)
- Konten in einem beliebigen Organisationsverzeichnis und persönliche Microsoft-Konten für die größte Gruppe von Kunden (mehrere Mandanten, die auch persönliche Microsoft-Konten unterstützen)
- Persönliche Microsoft-Konten, die nur von Benutzer*innen persönlicher Microsoft-Konten (z. B. Hotmail-, Live-, Skype- oder Xbox-Konten) verwendet werden.
Sie können auch Anmeldeinformationen, Umleitungs-URIs und andere Authentifizierungseinstellungen für die Anwendungsregistrierung konfigurieren.
Wenn eine Anwendungsregistrierung abgeschlossen ist, erhalten Sie eine Anwendungs-ID (Client-ID), die Ihre Anwendung in Microsoft Entra ID eindeutig identifiziert. Diese ID wird in Ihrem Anwendungscode oder in der Authentifizierungsbibliothek als Teil der Anforderungen an Microsoft Entra ID verwendet.