Описание проверки подлинности

  • 3 мин

Проверка подлинности позволяет убедиться в том, что удостоверение (пользователя, приложения или устройства), подтверждает то, что он о себе сообщает. Кроме того, обеспечивается соответствующий уровень проверки и безопасности на протяжении всей транзакции проверки подлинности. Проверка подлинности удостоверений обеспечивает:

  • гибкую проверку подлинности в соответствии со стандартами, которая интегрируется в различные организации;
  • интеграцию разрозненных источников, приложений и протоколов.
  • При этом используется множество различных отраслевых стандартных методов проверки и контроля

Использование поставщика удостоверений для проверки подлинности позволяет обеспечить безопасность удостоверений, не ограничивая возможности пользователей. Вы получаете удобный и простой процесс, доступ к нескольким источникам для проверки удостоверений, отраслевых протоколов и контроль идентификации.

Удобство — удобство работы ориентировано в первую очередь на взаимодействие с пользователями и зависит от того, как пользователям предлагается вводить учетные данные для проверки подлинности. Здесь основное внимание уделяется пользовательскому интерфейсу. Если что-то не так просто, пользователи избегают его или жалуются на него.

Источники — определяется круг источников, откуда пользователь получает маркер проверки подлинности. Многие организации имеют то, что они считают централизованным издателем (идентификатор Microsoft Entra ID), но на самом деле большинство организаций также имеют другие репозитории удостоверений. Федеративное удостоверение является одним из самых популярных альтернативных поставщиков удостоверений.

Протоколы . Часто организации имеют различные протоколы проверки подлинности, которые вызывают недостатки взаимодействия как для конечных пользователей, так и для организации. Основная задача этой возможности — помочь организации в стандартизации одного или нескольких современных и безопасных протоколов проверки подлинности для решения своих задач проверки подлинности.

Контроль — контроль проверки подлинности позволяет организации быть уверенной в том, что отдельный пользователь, обращающийся к ресурсу, на самом деле тот, за кого себя выдает. Эта возможность говорит о том, использует ли организация общие учетные записи, если они используют персонализированные учетные записи, а также о том, применяются ли решения, такие как многофакторная проверка подлинности или проверка подлинности на основе рисков.

Федеративное удостоверение

Федерация — это совокупность доменов, для которых установлено отношение доверия. Уровень доверия зависит, но обычно включает проверку подлинности и почти всегда включает авторизацию. Эта федерация позволяет применять существующие удостоверения из доверенных источников, таких как существующий локальный active directory.

Основные протоколы связи в удостоверении

Протокол Описание и использование
SAML — язык разметки заявлений системы безопасности Это открытый стандарт для обмена данными проверки подлинности и авторизации между поставщиком удостоверений и поставщиком услуг. Основные атрибуты SAML:
Principal = обычно это пользователь или устройство, IdP = поставщик удостоверений, SP = поставщик служб
IdP = поставщик удостоверений
SP = поставщик служб
WS-Fed — федерация веб-служб Спецификация удостоверений из платформы безопасности веб-служб для предоставления единого входа через внешний обмен удостоверениями и проверку подлинности.
OIDC — OpenID Connect OIDC расширяет возможности протокола авторизации OAuth 2.0 и позволяет использовать его в качестве протокола проверки подлинности, что дает возможность выполнять единый вход с помощью OAuth.

OpenID Connect

OpenID Connect (OIDC) представляет собой протокол проверки подлинности, основанный на OAuth 2.0. Этот протокол позволяет пользователю безопасно входить в приложение. Если вы используете реализацию OpenID Connect на основе платформы удостоверений Майкрософт, в приложениях можно настроить функции входа и доступа к API. OpenID Connect расширяет возможности протокола авторизации OAuth 2.0 и позволяет использовать его в качестве протокола проверки подлинности, что дает возможность выполнять единый вход с помощью OAuth. OpenID Connect представляет концепцию токена идентификатора, который представляет собой токен безопасности, который позволяет клиенту проверять личность пользователя. Маркер идентификации также позволяет получить базовые сведения о профиле пользователя. Еще одним новым понятием является конечная точка UserInfo — API, возвращающий сведения о пользователе.

Удостоверение на основе утверждений в идентификаторе Microsoft Entra

При входе пользователя идентификатор Microsoft Entra отправляет маркер идентификатора, содержащий набор утверждений о пользователе. Утверждение представляет собой фрагмент данных, выраженный в виде пары "ключ-значение". Например, email=bob@contoso.com. Утверждения имеют издателя (в данном случае идентификатор Microsoft Entra), который является сущностью, которая проходит проверку подлинности пользователя и создает утверждения. Доверие к утверждениям основано на доверии к издателю. (И наоборот, если вы не доверяете издателю, вы не доверяете утверждениям!)

На высоком уровне:

  1. Пользователь проходит проверку подлинности.
  2. Поставщик удостоверений (IDP) отправляет набор утверждений.
  3. Приложение нормализует или расширяет утверждения (необязательно).
  4. Приложение использует утверждения для принятия решений об авторизации.

В OpenID Connect набор утверждений, которые вы получаете, контролируется параметром области запроса проверки подлинности. Однако идентификатор Microsoft Entra ID выдает ограниченный набор утверждений через OpenID Connect с помощью маркера безопасности; в основном используется веб-токены JSON. Если вы хотите получить дополнительные сведения о пользователе, необходимо использовать API Graph с идентификатором Microsoft Entra.

Маркеры безопасности Центра Интернета вещей

Платформа удостоверений Майкрософт проверяет подлинность пользователей и предоставляет маркеры безопасности, в том числе маркеры доступа, маркеры обновления и маркеры идентификации. Маркеры безопасности позволяют клиентскому приложению получать доступ к защищенным ресурсам на сервере ресурсов. Существует три распространенных типа маркеров: маркеры доступа, маркеры обновления и маркеры идентификации.

  • Маркер доступа. Это маркер безопасности, выданный сервером авторизации в составе потока OAuth 2.0. Он содержит сведения о пользователе и ресурсе, для которых предназначен маркер. Эти сведения можно использовать для доступа к веб-API и другим защищенным ресурсам. Маркеры доступа проверяются ресурсами для предоставления доступа к клиентскому приложению. Дополнительные сведения о том, как платформа удостоверений Майкрософт выдает маркеры доступа, см. в статье о маркерах доступа.
  • Маркер обновления. Поскольку маркеры доступа действительны только в течение короткого периода времени, периодически серверы авторизации вместе с выданным маркером доступа будут выдавать маркер обновления. После этого клиентское приложение может при необходимости обмениваться этим маркером обновления для получения нового маркера доступа. Дополнительные сведения о том, как платформа удостоверений Майкрософт использует маркеры обновления для отзыва разрешений, см. в разделе Обновление маркера.
  • Маркер идентификации. Эти маркеры отправляются клиентскому приложению в составе потока OpenID Connect. Их можно отправлять вместе с маркером доступа или вместо него. Маркеры идентификации используются клиентом для проверки подлинности пользователя. Дополнительные сведения о том, как платформа удостоверений Майкрософт выдает маркеры идентификации, см. в статье о маркерах идентификации.

Что такое веб-токен JSON (JWT)?

Веб-токен JSON (JWT) — это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON. Эти сведения можно проверить и считать доверенными благодаря наличию цифровой подписи. Токены JWT можно подписывать с помощью секрета или пары открытого и закрытого ключей. Хотя JWTs можно зашифровать, чтобы обеспечить секретность между сторонами, мы сосредоточимся на подписанных токенах. Подписанные токены могут проверять целостность утверждений, содержащихся в нем, а зашифрованные маркеры скрывают эти утверждения от других сторон. Когда маркеры подписываются с помощью пар открытого и закрытого ключей, подпись также подтверждает, что единственным, кто владеет закрытым ключом, является подписавшая его сторона.

Примечание.

Сведения с веб-сайта JWT — https://jwt.io/.

Определения в удостоверениях на основе утверждений

При обсуждении удостоверения на основе утверждений в идентификаторе Microsoft Entra ID используются некоторые распространенные термины.

  • Утверждение — пара значений данных в маркере безопасности. В маркере передается несколько утверждений из утверждения, определяющего тип маркера для метода шифрования. Пример: 
       Header
   {
     "alg": "HS256",
     "typ": "JWT"
   }
   Content payload
   {
     "sub": "1234567890",
     "name": "John Doe",
     "aud": "https://jwt.io"
   }
  • Утверждение — пакет данных, обычно в виде маркера, который использует сведения об удостоверениях и безопасности пользователя или учетной записи совместно с различными доменами безопасности.
  • Атрибут — пара значений данных в маркере.
  • Расширение — процесс добавления других утверждений в маркер пользователя для предоставления дополнительных сведений о пользователе. Этот процесс может включать данные из систем отдела кадров (HR), из приложения, например SharePoint, или из других систем.