Autentisering och auktorisering i Microsoft Entra-ID
Microsoft Entra ID tillhandahåller autentiserings- och auktoriseringstjänst genom att stödja moderna autentiseringsprotokoll, till exempel OAuth 2.0 och OpenID Connect, på ett standardkompatibelt sätt. Du kan använda bibliotek med öppen källkod, till exempel Microsoft Authentication Library (MSAL) och andra standardkompatibla bibliotek med Microsoft Entra-ID.
I scenariot med medarbetarportalen får du lära dig att din organisation använder Microsoft Entra-ID som identitetsprovider för autentisering och auktorisering.
I den här lektionen får du lära dig mer om autentisering, auktorisering och hur de stöds i Microsoft Entra-ID.
Autentisering
Autentisering syftar på processen att upprätta och verifiera identiteten för den slutanvändare som har åtkomst till ett program.
Microsoft Entra ID använder OpenID Connect-protokollet för att hantera autentisering. Med OpenID Connect kan program hämta grundläggande information om den autentiserade användaren och sessionen.
Auktorisering
Auktorisering är en process för att säkerställa att en autentiserad användare har behörighet att utföra vissa åtgärder eller komma åt vissa data.
OAuth 2.0-protokollet används för att tillhandahålla auktoriseringsflöden för olika program i Microsoft Entra-ID.
Programregistrering
Microsoft Entra-ID kräver att du registrerar ditt program innan det kan tillhandahålla identitets- och åtkomsthanteringstjänster. När du registrerar ditt program upprättas en förtroenderelation mellan programmet och identitetsprovidern. Du kan skapa en programregistrering via Azure Portal, med hjälp av Azure CLI och även programmatiskt med hjälp av Microsoft Graph-API:er.
Med programregistreringen kan du ange programmets namn, programtyp (webb, skrivbord och så vidare) och inloggningspubliken, vilket är de användarkonton som du vill tillåta åtkomst till. Inloggningspubliken innehåller:
- Konton i den här organisationskatalogen endast om du skapar ett program för användning endast av användare i organisationens klientorganisation (enskild klientorganisation).
- Konton i en organisationskatalog om du vill att användare i en Microsoft Entra-klientorganisation ska använda ditt program (flera klientorganisationer).
- Konton i en organisationskatalog och personliga Microsoft-konton för den bredaste uppsättningen kunder (flera klientorganisationer som också stöder Microsofts personliga konton).
- Personliga Microsoft-konton för användning endast av användare av personliga Microsoft-konton (till exempel Hotmail-, Live-, Skype- och Xbox-konton).
Du kan också konfigurera autentiseringsuppgifter, omdirigerings-URI:er och andra autentiseringsinställningar för programregistreringen.
När en programregistrering är klar får du ett program-ID (klient)-ID som unikt identifierar ditt program i Microsoft Entra-ID. Det här ID:t används i programkoden eller i autentiseringsbiblioteket som en del av begäranden till Microsoft Entra-ID.