Проверка подлинности и авторизация в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra предоставляет службу проверки подлинности и авторизации, поддерживая современные протоколы проверки подлинности, такие как OAuth 2.0 и OpenID Connect, в соответствии со стандартами. Вы можете использовать библиотеки с открытым исходным кодом, такие как библиотека проверки подлинности Майкрософт (MSAL) и другие стандартные библиотеки с идентификатором Microsoft Entra.
В сценарии с порталом сотрудников вы узнаете, что ваша организация использует идентификатор Microsoft Entra в качестве поставщика удостоверений для проверки подлинности и авторизации.
В этом уроке вы узнаете о проверке подлинности, авторизации и их поддержке в идентификаторе Microsoft Entra.
Проверка подлинности
Проверка подлинности — это процесс установки и проверки удостоверения конечного пользователя, который пытается получить доступ к приложению.
Идентификатор Microsoft Entra использует протокол OpenID Connect для обработки проверки подлинности. OpenID Connect позволяет приложениям получать основные сведения о пользователе, прошедшем проверку подлинности, и сеансе.
Авторизация
Авторизация — это процесс, гарантирующий, что прошедший проверку подлинности пользователь имеет разрешение на выполнение той или иной операции или доступ к тем или иным данным.
Протокол OAuth 2.0 используется для предоставления потоков авторизации для разных приложений в идентификаторе Microsoft Entra.
Регистрация приложения
Идентификатор Microsoft Entra требует регистрации приложения, прежде чем он сможет предоставлять службы управления удостоверениями и доступом. Регистрация приложения устанавливает отношение доверия между приложением и поставщиком удостоверений. Вы можете создать регистрацию приложения с помощью портал Azure с помощью Azure CLI и даже программно с помощью API Microsoft Graph.
Регистрация приложения позволяет указать имя приложения, тип приложения (веб-приложение, рабочий стол и т. д.), а также аудиторию входа, которая является учетными записями пользователей, к которым требуется разрешить доступ. Аудитория входа включает:
- Учетные записи только в этом каталоге организации — если вы создаете приложение только для пользователей в клиенте организации (один клиент).
- Учетные записи в любом каталоге организации, если вы хотите, чтобы пользователи в любом клиенте Microsoft Entra использовали приложение (мультитенант).
- Учетные записи в любом каталоге организации и личные учетные записи Майкрософт — самый широкий круг пользователей (схема с несколькими клиентами также поддерживает личные учетные записи Майкрософт).
- Личные учетные записи Майкрософт для использования только пользователями личных учетных записей Майкрософт (например, Hotmail, Live, Skype и Xbox).
При регистрации приложения также можно настроить учетные данные, URI перенаправления и другие параметры проверки подлинности.
После завершения регистрации приложения вы получите идентификатор приложения (клиента), который однозначно идентифицирует приложение в идентификаторе Microsoft Entra. Этот идентификатор используется в коде приложения или в библиотеке проверки подлинности в рамках запросов, сделанных в идентификатор Microsoft Entra.