Verificatie verkennen

  • 3 minuten

Verificatie valideert de identiteit (gebruiker of app of apparaat) die ze aankondigen te zijn. Vervolgens biedt u ook een geschikt validatie- en beveiligingsniveau tijdens de verificatietransactie. Identiteitsverificatie biedt:

  • Flexibele, conforme standaarden, verificatie die in alle organisaties wordt geïntegreerd
  • Integratie van verschillende bronnen, toepassingen en protocollen
  • Maakt gebruik van veel verschillende industriestandaardmethoden voor validatie en zekerheid

Het gebruik van een id-provider voor verificatie biedt een manier om veilige identiteiten te garanderen zonder de mogelijkheden van de gebruikers te beperken. U krijgt gemak, meerdere bronnen voor het valideren van identiteiten, brancheprotocollen en zekerheid van de identiteit.

Gemak : de gemaksmogelijkheid richt zich op de ervaring van eindgebruikers met de vraag naar verificatiereferenties. Focus hier is op de eindgebruikerservaring. Als iets niet eenvoudig is, vermijden gebruikers het of klagen ze erover.

Bronnen : de bronnenfunctie omringt waar de gebruiker het verificatietoken vandaan haalt. Veel organisaties hebben wat ze geloven een gecentraliseerde verlener (Microsoft Entra-id), maar in werkelijkheid hebben de meeste organisaties ook andere identiteitsopslagplaatsen. Federatieve identiteit is de meest voorkomende andere id-provider.

Protocollen : organisaties hebben vaak verschillende verificatieprotocollen die ervoor zorgen dat eindgebruikers en de organisatie onvoldoende ervaring hebben. Een focusgebied van deze mogelijkheid is om een organisatie te helpen standaardiseren op een of meer moderne en veilige verificatieprotocollen om hun verificatiedoelen te bereiken.

Assurance - Verificatiecontrole is het vertrouwen dat een organisatie heeft dat een persoon die toegang heeft tot een resource is wie ze zeggen dat ze zijn. Deze mogelijkheid heeft betrekking op het feit of een organisatie gebruikmaakt van gedeelde accounts, of ze gepersonaliseerde accounts gebruiken en of oplossingen zoals meervoudige verificatie of op risico gebaseerde verificatie aanwezig zijn.

Federatieve identiteit

Federatie is een verzameling van domeinen waarmee een vertrouwensrelatie is ingesteld. Het vertrouwensniveau varieert, maar omvat doorgaans verificatie en bijna altijd autorisatie. Met deze federatie kunt u bestaande identiteiten van vertrouwde bronnen toepassen, zoals een bestaande on-premises Active Directory.

Algemene communicatieprotocollen in identiteit

Protocol Beschrijving en gebruik
SAML - Security Assertion Markup Language Open standaard voor het uitwisselen van verificatie- en autorisatiegegevens tussen een id-provider en een serviceprovider. Algemene SAML-kenmerken:
Principal = over het algemeen een gebruiker of apparaat, IdP = id-provider, SP = serviceprovider
IdP = id-provider
SP = serviceprovider
WS-Fed - Web Services Federation Een identiteitsspecificatie van het Web Services Security-framework voor eenmalige aanmelding via externe identiteitsuitwisseling en -verificatie.
OIDC - OpenID Connect OIDC breidt het OAuth 2.0-autorisatieprotocol uit voor gebruik als verificatieprotocol, zodat u eenmalige aanmelding met OAuth kunt uitvoeren.

OpenID Connect

OpenID Connect (OIDC) is een verificatieprotocol dat is gebouwd op OAuth 2.0. Met dit protocol kan een gebruiker zich veilig aanmelden bij een toepassing. Wanneer u de OpenID Connect-implementatie van het Microsoft Identity-platform gebruikt, kunt u aanmeldings- en API-toegang aan uw apps toevoegen. OpenID Connect breidt het OAuth 2.0-autorisatieprotocol uit voor gebruik als autorisatieprotocol, zodat u eenmalige aanmelding kunt uitvoeren met OAuth. OpenID Connect introduceert het concept van een id-token, een beveiligingstoken waarmee de client de identiteit van de gebruiker kan verifiëren. Het id-token haalt ook basisprofielgegevens over de gebruiker op. Het introduceert ook het UserInfo-eindpunt, een API die informatie over de gebruiker retourneert.

Op claims gebaseerde identiteit in Microsoft Entra-id

Wanneer een gebruiker zich aanmeldt, verzendt Microsoft Entra-id een id-token dat een set claims over de gebruiker bevat. Een claim is gewoon een stukje informatie, uitgedrukt als een sleutel-waardepaar. Bijvoorbeeld e-mail=bob@contoso.com. Claims hebben een verlener (in dit geval Microsoft Entra-id), de entiteit die de gebruiker verifieert en de claims maakt. U vertrouwt de claims omdat u de uitgever vertrouwt. (Als u de verlener echter niet vertrouwt, vertrouwt u de claims niet!)

Op hoog niveau:

  1. De gebruiker wordt geverifieerd.
  2. De Id-provider (IDP) verzendt een set claims.
  3. De app normaliseert of vergroot de claims (optioneel).
  4. De app gebruikt de claims om autorisatiebeslissingen te nemen.

In OpenID Connect wordt de set claims die u krijgt, beheerd door de bereikparameter van de verificatieaanvraag. Microsoft Entra ID geeft echter een beperkte set claims via OpenID Connect via een beveiligingstoken uit; voornamelijk het gebruik van JSON-webtokens. Als u meer informatie over de gebruiker wilt, moet u de Graph API gebruiken met Microsoft Entra-id.

Beveiligingstokens

Het Microsoft Identity Platform verifieert gebruikers en biedt beveiligingstokens, zoals toegangstokens, vernieuwingstokens en id-tokens. Met beveiligingstokens kan een clienttoepassing toegang krijgen tot beveiligde resources op een resourceserver. Er zijn drie veelvoorkomende typen tokens, toegangstokens, vernieuwingstokens en id-tokens.

  • Toegangstoken: een toegangstoken is een beveiligingstoken dat is uitgegeven door een autorisatieserver als onderdeel van een OAuth 2.0-stroom. Het bevat informatie over de gebruiker en de resource waarvoor het token is bedoeld. De informatie kan worden gebruikt voor toegang tot web-API's en andere beveiligde resources. Toegangstokens worden gevalideerd door resources om toegang te verlenen tot een client-app. Zie Toegangstokens voor meer informatie over hoe het Microsoft Identity Platform toegangstokens krijgt.
  • Vernieuwingstoken : omdat toegangstokens slechts een korte periode geldig zijn, geven autorisatieservers soms een vernieuwingstoken uit op hetzelfde moment dat het toegangstoken wordt uitgegeven. De clienttoepassing kan dit vernieuwingstoken vervolgens uitwisselen voor een nieuw toegangstoken wanneer dat nodig is. Zie Vernieuwingstokens voor meer informatie over hoe het Microsoft Identity Platform vernieuwingstokens gebruikt om machtigingen in te trekken.
  • Id-token : id-tokens worden als onderdeel van een OpenID Connect-stroom naar de clienttoepassing verzonden. Ze kunnen naast of in plaats van een toegangstoken worden verzonden. Id-tokens worden door de client gebruikt om de gebruiker te verifiëren. Zie ID-tokens voor meer informatie over hoe het Microsoft Identity Platform id-tokens uitgeeft.

Wat is een JSON Web Token (JWT)?

JSON Web Token (JWT) is een open standaard (RFC 7519) die een compacte en zelfstandige manier definieert voor het veilig verzenden van informatie tussen partijen als een JSON-object. Deze informatie kan worden geverifieerd en vertrouwd omdat deze digitaal is ondertekend. JWTs kunnen worden ondertekend met behulp van een geheim of een openbaar/persoonlijk sleutelpaar. Hoewel JWT's kunnen worden versleuteld om ook geheimhouding tussen partijen te bieden, richten we ons op ondertekende tokens. Ondertekende tokens kunnen de integriteit van de daarin opgenomen claims controleren, terwijl versleutelde tokens deze claims verbergen voor andere partijen. Wanneer tokens zijn ondertekend met behulp van openbare/persoonlijke sleutelparen, wordt met de handtekening ook gecertificeerd dat alleen de partij die de persoonlijke sleutel heeft, degene is die deze heeft ondertekend.

Notitie

Informatie van de JWT-website - https://jwt.io/.

Definities binnen een op claims gebaseerde identiteit

Er zijn enkele algemene termen die worden gebruikt bij het bespreken van identiteiten op basis van claims in Microsoft Entra-id.

  • Claim : een waardepaar met gegevens binnen een beveiligingstoken. Er worden meerdere claims overgebracht binnen het token van de claim die het type token definieert voor de versleutelingsmethode. Hier volgt een voorbeeld: 
       Header
   {
     "alg": "HS256",
     "typ": "JWT"
   }
   Content payload
   {
     "sub": "1234567890",
     "name": "John Doe",
     "aud": "https://jwt.io"
   }
  • Assertie : een pakket met gegevens, meestal in de vorm van een token dat de identiteits- en beveiligingsinformatie over een gebruiker of account in beveiligingsdomeinen deelt.
  • Kenmerk : een waardepaar met gegevens in een token.
  • Uitbreiding: het proces van het toevoegen van andere claims aan het gebruikerstoken om extra details over de gebruiker te geven. Dit kan bestaan uit gegevens uit HR-systemen (Human Resource), van een toepassing zoals SharePoint of andere systemen.