Uwierzytelnianie i autoryzacja w identyfikatorze Entra firmy Microsoft
Identyfikator Entra firmy Microsoft zapewnia usługę uwierzytelniania i autoryzacji, obsługując nowoczesne protokoły uwierzytelniania, takie jak OAuth 2.0 i OpenID Connect, w sposób zgodny ze standardami. Biblioteki typu open source, takie jak Biblioteka Microsoft Authentication Library (MSAL) i inne biblioteki zgodne ze standardami, można używać z identyfikatorem Entra firmy Microsoft.
W scenariuszu employee-portal dowiesz się, że organizacja używa identyfikatora Microsoft Entra jako dostawcy tożsamości do uwierzytelniania i autoryzacji.
W tej lekcji dowiesz się więcej na temat uwierzytelniania, autoryzacji i sposobu ich obsługi w identyfikatorze Entra firmy Microsoft.
Uwierzytelnianie
Uwierzytelnianie odnosi się do procesu ustanawiania i weryfikowania tożsamości użytkownika końcowego, który uzyskuje dostęp do aplikacji.
Microsoft Entra ID używa protokołu OpenID Connect do obsługi uwierzytelniania. Program OpenID Connect umożliwia aplikacjom uzyskiwanie podstawowych informacji o uwierzytelnionych użytkownikach i sesji.
Autoryzacja
Autoryzacja to proces zapewniania, że uwierzytelniony użytkownik ma uprawnienia do wykonywania niektórych operacji lub uzyskiwania dostępu do niektórych danych.
Protokół OAuth 2.0 służy do udostępniania przepływów autoryzacji dla różnych aplikacji w usłudze Microsoft Entra ID.
Rejestrowanie aplikacji
Microsoft Entra ID wymaga zarejestrowania aplikacji, zanim będzie ona mogła zapewnić usługi zarządzania tożsamościami i dostępem. Zarejestrowanie aplikacji ustanawia relację zaufania między aplikacją a dostawcą tożsamości. Rejestrację aplikacji można utworzyć za pośrednictwem witryny Azure Portal, przy użyciu interfejsu wiersza polecenia platformy Azure, a nawet programowo przy użyciu interfejsów API programu Microsoft Graph.
Rejestracja aplikacji umożliwia określenie nazwy aplikacji, typu aplikacji (sieci Web, pulpitu itd.) oraz odbiorców logowania, czyli kont użytkowników, do których chcesz zezwolić na dostęp. Odbiorcy logowania obejmują:
- Konta w tym katalogu organizacyjnym tylko wtedy, gdy tworzysz aplikację do użytku tylko przez użytkowników w dzierżawie organizacyjnej (z jedną dzierżawą).
- Konta w dowolnym katalogu organizacyjnym, jeśli chcesz, aby użytkownicy w dowolnej dzierżawie firmy Microsoft Entra używali aplikacji (wielodostępnej).
- Konta w dowolnym katalogu organizacyjnym i osobistych kontach Microsoft dla najszerszego zestawu klientów (z wieloma dzierżawami , które obsługują również konta osobiste Microsoft).
- Osobiste konta Microsoft używane tylko przez użytkowników osobistych kont Microsoft (na przykład konta Hotmail, Live, Skype i Xbox).
Możesz również skonfigurować poświadczenia, identyfikatory URI przekierowania i inne ustawienia uwierzytelniania w rejestracji aplikacji.
Po zakończeniu rejestracji aplikacji otrzymasz identyfikator aplikacji (klienta), który jednoznacznie identyfikuje aplikację w identyfikatorze Entra firmy Microsoft. Ten identyfikator jest używany w kodzie aplikacji lub w bibliotece uwierzytelniania w ramach żądań wysyłanych do identyfikatora Entra firmy Microsoft.