Autentisering kontra auktorisering
Den här artikeln definierar autentisering och auktorisering. Den beskriver också kort multifaktorautentisering och hur du kan använda Microsofts identitetsplattform för att autentisera och auktorisera användare i dina webbappar, webb-API:er eller appar som anropar skyddade webb-API:er. Om du ser en term som du inte är bekant med kan du prova vår ordlista eller våra Microsofts identitetsplattform videor som beskriver grundläggande begrepp.
Autentisering
Autentisering är en process för att bevisa att du är den du säger att du är. Detta uppnås genom verifiering av identiteten för en person eller enhet. Det förkortas ibland till AuthN. Microsofts identitetsplattform använder OpenID Connect-protokollet för hantering av autentisering.
Auktorisering
Auktorisering är att bevilja en autentiserad part behörighet att göra något. Den anger vilka data du får åtkomst till och vad du kan göra med dessa data. Auktorisering förkortas ibland till AuthZ. Microsofts identitetsplattform ger resursägare möjlighet att använda OAuth 2.0-protokollet för att hantera auktorisering, men Microsoft-molnet har även andra auktoriseringssystem som Inbyggda Roller i Entra, Azure RBAC och Exchange RBAC.
Multifaktorautentisering
Multifaktorautentisering är en annan autentiseringsfaktor för ett konto. Detta används ofta för att skydda mot råstyrkeattacker. Det förkortas ibland till MFA eller 2FA. Microsoft Authenticator kan användas som en app för att hantera tvåfaktorautentisering. Mer information finns i multifaktorautentisering.
Autentisering och auktorisering med hjälp av Microsofts identitetsplattform
Att skapa appar som var och en behåller sin egen information om användarnamn och lösenord medför en hög administrativ börda när du lägger till eller tar bort användare i flera appar. I stället kan dina appar delegera det ansvaret till en centraliserad identitetsprovider.
Microsoft Entra ID är en centraliserad identitetsprovider i molnet. Delegera autentisering och auktorisering till den möjliggör scenarier som:
- Principer för villkorsstyrd åtkomst som kräver att en användare finns på en viss plats.
- Multifaktorautentisering som kräver att en användare har en specifik enhet.
- Gör det möjligt för en användare att logga in en gång och sedan automatiskt loggas in på alla webbappar som delar samma centraliserade katalog. Den här funktionen kallas enkel inloggning (SSO).
Microsofts identitetsplattform förenklar auktorisering och autentisering för programutvecklare genom att tillhandahålla identitet som en tjänst. Den stöder branschstandardprotokoll och bibliotek med öppen källkod för olika plattformar för att hjälpa dig att börja koda snabbt. Det gör att utvecklare kan skapa program som loggar in alla Microsoft-identiteter, hämta token för att anropa Microsoft Graph, komma åt Microsoft-API:er eller komma åt andra API:er som utvecklare har skapat.
Den här videon förklarar Microsofts identitetsplattform och grunderna i modern autentisering:
Här är en jämförelse av de protokoll som Microsofts identitetsplattform använder:
- OAuth jämfört med OpenID Connect: Plattformen använder OAuth för auktorisering och OpenID Connect (OIDC) för autentisering. OpenID Connect bygger på OAuth 2.0, så terminologin och flödet är liknande mellan de två. Du kan till och med både autentisera en användare (via OpenID Connect) och få behörighet att komma åt en skyddad resurs som användaren äger (via OAuth 2.0) i en begäran. Mer information finns i OAuth 2.0- och OpenID Connect-protokoll och OpenID Connect-protokoll.
- OAuth kontra SAML: Plattformen använder OAuth 2.0 för auktorisering och SAML för autentisering. Mer information om hur du använder dessa protokoll tillsammans för att både autentisera en användare och få behörighet att komma åt en skyddad resurs finns i Microsofts identitetsplattform och OAuth 2.0 SAML-ägarkontrollflödet.
- OpenID Connect kontra SAML: Plattformen använder både OpenID Connect och SAML för att autentisera en användare och aktivera enkel inloggning. SAML-autentisering används ofta med identitetsprovidrar som Active Directory Federation Services (AD FS) (AD FS) federerade till Microsoft Entra-ID, så det används ofta i företagsprogram. OpenID Connect används ofta för appar som enbart finns i molnet, till exempel mobilappar, webbplatser och webb-API:er.
Nästa steg
För andra ämnen som beskriver grunderna för autentisering och auktorisering:
- Information om hur åtkomsttoken, uppdateringstoken och ID-token används i auktorisering och autentisering finns i Säkerhetstoken.
- Mer information om hur du registrerar ditt program så att det kan integreras med Microsofts identitetsplattform finns i Programmodell.
- Mer information om korrekt auktorisering med tokenanspråk finns i Skydda program och API:er genom att validera anspråk