Explore a autenticação

  • 3 minutos

Autenticação é validar a identidade (usuário ou aplicativo ou dispositivo) é quem eles proclamam ser. Em seguida, também fornecer um nível apropriado de validação e segurança durante toda a transação de autenticação. A autenticação de identidade fornece:

  • Autenticação flexível e compatível com os padrões que se integra em todas as organizações
  • Integração de fontes, aplicativos e protocolos diferentes
  • Emprega muitos métodos diferentes padrão da indústria de validação e garantia

O uso de um provedor de identidade para autenticação oferece uma maneira de garantir identidades seguras sem limitar os recursos dos usuários. Você obtém conveniência, várias fontes para validar a identidade, protocolos do setor e garantia da identidade.

Conveniência - O recurso de conveniência se concentra na experiência do usuário final com a forma como são solicitadas credenciais de autenticação. O foco aqui é na experiência do usuário final. Se algo não é fácil, os usuários evitam ou reclamam disso.

Fontes - A capacidade de fontes envolve de onde o usuário obtém seu token de autenticação. Muitas organizações têm o que acreditam ser um emissor centralizado (Microsoft Entra ID), mas na realidade a maioria das organizações também tem outros repositórios de identidade. A identidade federada é o outro provedor de identidade mais comum.

Protocolos - Muitas vezes, as organizações têm vários protocolos de autenticação em vigor que causam uma experiência deficiente para os usuários finais e para a organização. Uma área de foco desse recurso é ajudar uma organização a padronizar um ou mais protocolos de autenticação modernos e seguros para atingir suas metas de autenticação.

Garantia - A garantia de autenticação é a confiança que uma organização tem de que um indivíduo que acessa um recurso é quem diz ser. Esse recurso fala sobre se uma organização usa ou não contas compartilhadas, se elas usam contas personalizadas e se soluções como autenticação multifator ou autenticação baseada em risco estão em vigor.

Identidade federada

A federação é uma coleção de domínios que estabeleceram confiança. O nível de confiança varia, mas normalmente inclui autenticação e quase sempre inclui autorização. Essa federação permite que você aplique identidades existentes de fontes confiáveis, como um diretório ativo local existente.

Protocolos de comunicação comuns na identidade

Protocolo Descrição e utilização
SAML - Linguagem de marcação de asserção de segurança Padrão aberto para troca de dados de autenticação e autorização entre um provedor de identidade e um provedor de serviços. Atributos SAML comuns:
Principal = geralmente um usuário ou dispositivo, IdP = provedor de identidade, SP = provedor de serviços
IdP = provedor de identidade
SP = prestador de serviços
WS-Fed - Federação de Serviços Web Uma especificação de identidade da estrutura Web Services Security para fornecer logon único por meio de autenticação e troca de identidade externa.
OIDC - OpenID Connect O OIDC estende o protocolo de autorização OAuth 2.0 para uso como um protocolo de autenticação, para que você possa fazer logon único usando OAuth.

OpenID Connect

OpenID Connect (OIDC) é um protocolo de autenticação construído em OAuth 2.0. Esse protocolo permite que um usuário entre com segurança em um aplicativo. Ao usar a implementação do OpenID Connect da plataforma de identidade da Microsoft, você pode adicionar entrada e acesso à API aos seus aplicativos. O OpenID Connect estende o protocolo de autorização OAuth 2.0 para uso como um protocolo de autenticação, para que você possa fazer logon único usando OAuth. O OpenID Connect introduz o conceito de token de ID, que é um token de segurança que permite ao cliente verificar a identidade do utilizador. O token de ID também obtém informações básicas de perfil sobre o usuário. Ele também apresenta o ponto de extremidade UserInfo, uma API que retorna informações sobre o usuário.

Identidade baseada em declarações no Microsoft Entra ID

Quando um usuário entra, o Microsoft Entra ID envia um token de ID que contém um conjunto de declarações sobre o usuário. Uma reivindicação é simplesmente uma informação, expressa como um par chave/valor. Por exemplo, email=bob@contoso.com. As declarações têm um emissor (neste caso, Microsoft Entra ID), que é a entidade que autentica o usuário e cria as declarações. Confia nas declarações porque confia no emissor. (Por outro lado, se você não confia no emissor, não confie nas declarações!)

A um nível elevado:

  1. O usuário se autentica.
  2. O provedor de identidade (IDP) envia um conjunto de declarações.
  3. O aplicativo normaliza ou aumenta as declarações (opcional).
  4. O aplicativo usa as declarações para tomar decisões de autorização.

No OpenID Connect, o conjunto de declarações que você obtém é controlado pelo parâmetro scope da solicitação de autenticação. No entanto, o Microsoft Entra ID emite um conjunto limitado de declarações através do OpenID Connect através de um token de segurança; usando principalmente JSON Web Tokens. Se você quiser mais informações sobre o usuário, você precisa usar a API do Graph com o ID do Microsoft Entra.

Tokens de segurança

A plataforma de identidade da Microsoft autentica usuários e fornece tokens de segurança, como tokens de acesso, tokens de atualização e tokens de ID. Os tokens de segurança permitem que um aplicativo cliente acesse recursos protegidos em um servidor de recursos. Existem três tipos comuns de tokens, tokens de acesso, tokens de atualização e tokens de ID.

  • Token de acesso - Um token de acesso é um token de segurança emitido por um servidor de autorização como parte de um fluxo OAuth 2.0. Ele contém informações sobre o usuário e o recurso para o qual o token se destina. As informações podem ser usadas para acessar APIs da Web e outros recursos protegidos. Os tokens de acesso são validados por recursos para conceder acesso a um aplicativo cliente. Para saber mais sobre como a plataforma de identidade da Microsoft emite tokens de acesso, consulte Tokens de acesso.
  • Token de atualização - Como os tokens de acesso são válidos apenas por um curto período de tempo, os servidores de autorização às vezes emitem um token de atualização ao mesmo tempo em que o token de acesso é emitido. O aplicativo cliente pode então trocar esse token de atualização por um novo token de acesso quando necessário. Para saber mais sobre como a plataforma de identidade da Microsoft usa tokens de atualização para revogar permissões, consulte Atualizar tokens.
  • Token de ID - Os tokens de ID são enviados para o aplicativo cliente como parte de um fluxo do OpenID Connect. Eles podem ser enviados ao lado ou em vez de um token de acesso. Os tokens de ID são usados pelo cliente para autenticar o usuário. Para saber mais sobre como a plataforma de identidade da Microsoft emite tokens de ID, consulte Tokens de ID.

O que é um JSON Web Token (JWT)?

JSON Web Token (JWT) é um padrão aberto (RFC 7519) que define uma maneira compacta e independente para transmitir informações com segurança entre as partes como um objeto JSON. Essas informações podem ser verificadas e confiáveis porque são assinadas digitalmente. Os JWTs podem ser assinados usando um segredo ou um par de chaves pública/privada. Embora os JWTs possam ser criptografados para também fornecer sigilo entre as partes, nos concentramos em tokens assinados. Os tokens assinados podem verificar a integridade das declarações contidas nele, enquanto os tokens criptografados ocultam essas declarações de outras partes. Quando os tokens são assinados usando pares de chaves pública/privada, a assinatura também certifica que apenas a parte que detém a chave privada é a que a assinou.

Nota

Informações fornecidas pelo site da JWT - https://jwt.io/.

Definições dentro da identidade baseada em declarações

Há alguns termos comuns usados ao discutir a identidade baseada em declarações no Microsoft Entra ID.

  • Claim - um par de dados de valor dentro de um token de segurança. Há várias declarações transferidas dentro do token da declaração que define o tipo do token para o método de criptografia. Aqui está um exemplo: 
       Header
   {
     "alg": "HS256",
     "typ": "JWT"
   }
   Content payload
   {
     "sub": "1234567890",
     "name": "John Doe",
     "aud": "https://jwt.io"
   }
  • Asserção - um pacote de dados, geralmente em forma de token que compartilham a identidade e as informações de segurança sobre um usuário ou conta em domínios de segurança.
  • Atributo - um par de dados de valor dentro de um token.
  • Aumento - o processo de adicionar outras declarações ao token de usuário para fornecer detalhes adicionais sobre o usuário. Isso pode incluir dados de sistemas de recursos humanos (RH), de um aplicativo como o SharePoint ou de outros sistemas.