共用方式為

詞彙表:Microsoft 身分識別平台。

  • 發行項

若使用我們的文件、Microsoft Entra 系統管理中心、我們的驗證程式庫和 Microsoft Graph API 時,就會看到這些詞彙。 有些 Microsoft 獨有的詞彙,有些則與 OAuth 之類的通訊協定相關,或與您搭配 Microsoft 身分識別平台使用的其他技術相關。

存取權杖

授權伺服器所簽發的一種安全性權杖,可供用戶端應用程式存取受保護的資源伺服器。 此權杖的形式通常是 JSON Web 權杖 (JWT),其內含資源擁有者授與用戶端的授權,用於獲得所要求的存取層級。 此權杖中會包含所有適用於主體的宣告,使用戶端應用程式能將其作為存取特定資源的憑證形式。 這也可讓資源擁有者不必對用戶端公開認證。

存取權杖只會在短時間內有效,且無法撤銷。 授權伺服器也可能在發放存取權杖時發出重新整理權杖。 刷新令牌通常只會提供給機密用戶端應用程序。

根據所提供的認證而定,存取權杖有時會稱為「使用者 + 應用程式」或「僅限應用程式」。 例如,當用戶端應用程式使用:

  • 「授權程式碼」授權授與,終端使用者會先驗證身分為資源擁有者,將授權委派給用戶端來存取資源。 之後,用戶端會在取得存取權杖時進行驗證。 權杖有時可以更明確地稱為「使用者 + 應用程式」權杖,因為它同時代表授權用戶端應用程式的使用者,以及應用程式。
  • 「用戶端認證」授權授與,用戶端會提供唯一的驗證,在沒有資源擁有者驗證/授權的情況下運作,因此這個權杖有時可以稱為「僅限應用程式」權杖。

如需詳細資訊,請參閱存取權杖參考

演員

用戶端應用程式的另一個詞彙。 代理人是代表主體 (資源擁有者) 行事的角色。

應用程式 (用戶端) 識別碼

應用程式識別碼或用戶端識別碼是您在 Microsoft Entra ID 中註冊應用程式時,Microsoft 身分識別平台指派給應用程式的值。 應用程式識別碼是 GUID 值,可特別辨識應用程式及其身分識別平台內的組態。 您可以將應用程式識別碼新增到應用程式的程式碼中,而在應用程式執行期間,驗證程式庫會將這個值包含在向身分識別平台發出的請求中。 應用程式 (用戶端) 識別碼不是祕密 - 請勿將其作為密碼或其他認證。

應用程式資訊清單

應用程式資訊清單功能是一種以 JSON 表示的應用程式身分識別組態,用作其相關聯 [Application] 和 [ServicePrincipal] 實體的更新機制。 如需詳細資訊,請參閱了解 Microsoft Entra 應用程式資訊清單

應用程式物件

在您註冊/更新應用程式時,即會為該租用戶建立/更新應用程式物件和對應的服務主體物件。 應用程式物件全域地「定義」應用程式的身分識別組態 (在其可存取的所有租用戶中),並提供範本以便在執行階段於本機 (在特定租用戶內) 「衍生」出對應的服務主體物件來使用。

如需詳細資訊,請參閱應用程式和服務主體物件

應用程式註冊

為了讓應用程式能夠整合身分識別和存取管理功能,並將這些功能委派給 Microsoft Entra ID,您必須向 Microsoft Entra 租用戶註冊應用程式。 向 Microsoft Entra ID 註冊應用程式時,必須提供應用程式的身分識別組態,以允許與 Microsoft Entra ID 整合,並使用如下功能:

如需詳細資訊,請參閱整合應用程式與 Microsoft Entra ID

驗證

對某方驗證正當憑證的行為,提供建立用於身分識別和存取控制的安全性主體的基礎。 例如,在 OAuth 2.0 授權授與期間,驗證方會根據所使用的授權方式,扮演 資源擁有者用戶端應用程式的角色。

授權

授與已驗證的安全性主體權限以執行某些工作的動作。 Microsoft Entra 程式設計模型中有兩大使用案例:

授權碼

在 OAuth 2.0 授權碼核發流程期間,授權端點提供給客戶端應用程式的短期值,這是四種 OAuth 2.0 授權類型之一。 又稱驗證碼,授權碼會傳回給用戶端應用程式,以回應資源擁有者的驗證。 驗證碼表示資源擁有者已將授權委派給用戶端應用程式以存取其資源。 在流程中,稍後會用授權碼兌換存取權杖

授權端點

授權伺服器所實作的其中一個端點,可用來與資源擁有者互動,以在 OAuth 2.0 授權授與流程期間提供授權授與。 根據所使用的授權授與流程而定,實際提供的授與會不一樣,這包括授權碼安全性權杖

如需詳細資訊,請參閱 OAuth 2.0 規格的授權授與類型授權端點等節以及 OpenIDConnect 規格

授權授與

一項代表資源擁有者授權給客戶端應用程式以存取其受保護資源的憑證。 視用戶端類型/需求而定,用戶端應用程式可以使用 OAuth 2,0 授權架構所定義的四種授與類型的其中一種來取得授與:「授權碼授與」、「用戶端認證授與」、「隱含授與」和「資源擁有者密碼認證授與」。 視所使用的授權授與類型而定,傳回給用戶端的認證會是存取權杖授權碼 (稍後換成存取權杖)。

資源擁有者密碼憑證授與不應使用,除非在其他流程無法使用的情況下。 若要建置 SPA,請使用搭配 PKCE 的授權碼流程,而不是隱式授權

授權伺服器

OAuth 2.0 授權架構所定義,這是在成功驗證資源擁有者並取得其授權之後,負責簽發存取權杖給用戶端的伺服器。 用戶端應用程式會在執行階段根據 OAuth 2.0 所定義的授權授與,透過其授權權杖端點與授權伺服器互動。

如果是 Microsoft 身分識別平台應用程式整合,Microsoft 身分識別平台會為 Microsoft Entra 應用程式和 Microsoft 服務 API (例如 Microsoft Graph API) 實作授權伺服器角色。

索賠

宣告是安全性權杖中的名稱/值組,提供一個實體對另一個實體所做的斷言。 這些實體通常是用戶端應用程式資源擁有者,提供判斷提示給資源伺服器。 宣告會傳達有關權杖主體的事實,例如由授權伺服器驗證的安全性主體的 ID。 權杖中存在的宣告可能會有所不同,而且取決於數個因素,例如權杖類型、用於驗證主體的認證類型、應用程式組態等等。

如需詳細資訊,請參閱 Microsoft 身分識別平台權杖參考

用戶端應用程式

也稱為「演員」。 如 OAuth 2.0 授權架構所定義,這是代表資源擁有者提出受保護資源要求的應用程式。 他們會以範圍的形式接收資源擁有者的授權。 「用戶端」一詞並不代表任何特定的硬體實作特性 (例如,應用程式執行於伺服器、桌面還是其他裝置)。

用戶端應用程式會向資源擁有者要求授權,以參與 OAuth 2.0 授權授與流程,並可代表資源擁有者存取 API/資料。 OAuth 2.0 授權架構會根據用戶端是否能夠維護其認證的機密性,定義兩種類型的用戶端:「機密」和「公用」。 應用程式可實作在 Web 伺服器上執行的 Web 用戶端 (機密)、安裝在裝置上的原生用戶端 (公用),或在裝置的瀏覽器中執行的使用者代理程式型用戶端 (公用)

資源擁有者授與授權給用戶端應用程式,以讓使用特定權限來代表資源擁有者存取受保護資源的程序。 根據客戶端所要求的權限,需要系統管理員或使用者分別同意允許存取其組織或個人資料。 請注意,在多租戶情境中,應用程式的服務主體也會記錄在同意使用者的租戶中。

如需詳細資訊,請參閱同意架構

身份識別權杖

OpenID Connect安全性令牌授權伺服器的授權端點提供,其中包含與終端用戶資源擁有者驗證相關的宣告。 和存取權杖一樣,識別碼權杖也會以數位簽署的 JSON Web 權杖 (JWT) 來表示。 識別碼權杖的宣告與存取權杖不同,它們並不會用在與資源存取及存取控制相關的用途。

如需詳細資訊,請參閱識別碼權杖參考

受控識別

免除開發人員管理認證的需求。 受控識別可為應用程式提供身分識別,以便在連線至支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft 身分識別平台權杖。 例如,應用程式可以使用受控識別來存取 Azure Key Vault 之類的資源,讓開發人員以安全的方式儲存認證或存取儲存體帳戶。 如需詳細資訊,請參閱受控識別概觀

Microsoft 身分識別平台

Microsoft 身分識別平台是 Microsoft Entra 識別服務與開發人員平台的演進。 這可讓開發人員建置可登入所有 Microsoft 身分識別的應用程式,並取得權杖以呼叫 Microsoft Graph、其他 Microsoft API,或開發人員所建置的 API。 這是具有完整功能的平台,由驗證服務、程式庫、應用程式註冊與設定、完整開發人員文件、程式碼範例與其他開發人員內容所組成。 Microsoft 身分識別平台支援業界標準通訊協定,例如 OAuth 2.0 與 OpenID Connect。

多租戶應用程式

一種應用程式類別,能讓在任何 Microsoft Entra 租用戶 (包括用戶端註冊所在之租用戶以外的租用戶) 中佈建的使用者登入和同意原生用戶端應用程式預設是多租用戶,而 Web 用戶端Web 資源/API 應用程式則可以在單一或多租用戶之間做選擇。 相較之下,若將 Web 應用程式註冊為單一租用戶,則僅允許在註冊該應用程式的相同租用戶中已設定的使用者帳戶登入。

如需詳細資訊,請參閱如何使用多租用戶應用程式模式登入任何 Microsoft Entra 使用者

原生用戶端

裝置上原生安裝的 用戶端應用程式 類型。 所有程式碼都會在裝置上執行,因此裝置會因為無法私下/祕密地儲存認證而被視為「公用」用戶端。 如需詳細資訊,請參閱 OAuth 2.0 用戶端類型和設定檔

權限

用戶端應用程式透過宣告權限要求來取得資源伺服器的存取權。 有兩種類型可用:

權限也會在 同意 程序期間出現,讓系統管理員或資源擁有者有機會允許/拒絕用戶端對其租用戶中的資源進行存取。

在應用程式的 [API 權限] 頁面上,選取所需的 [委派權限] 和 [應用程式權限] (後者需要全域管理員角色的成員資格),即可設定權限要求。 公用用戶端無法安全地維護認證,因此它只能要求委派的權限,而機密用戶端則能夠要求委派的權限和應用程式權限。 用戶端的應用程式物件會將宣告的權限儲存在其 requiredResourceAccess 屬性中。

刷新令牌

授權伺服器所發行的一種安全性權杖。 存取權杖到期之前,當用戶端應用程式向授權伺服器要求新的存取權杖時,會包含其相關聯的重新整理權杖。 刷新令牌通常會格式化為 JSON Web 權杖 (JWT)

不同於存取權杖,重新整理權杖是可以被撤銷的。 授權伺服器會拒絕包含已撤銷刷新令牌的用戶端應用程式的任何請求。 當授權伺服器拒絕包含撤銷的重新整理權杖的要求時,用戶端應用程式會失去代表資源擁有者存取資源伺服器的權限。

如需詳細資訊,請參閱更新權杖

資源擁有者

OAuth 2.0 授權架構所定義,這是能夠授與受保護資源存取權的實體。 當資源擁有者是個人時,稱為終端使用者。 例如,在用戶端應用程式想要透過 Microsoft Graph API 存取使用者的信箱時,就需要取得信箱資源擁有者的權限。 「資源擁有者」有時也稱為主體

每個安全性權杖都代表一個資源擁有者。 資源擁有者是權杖中主題聲明、對象 ID 聲明和個人數據所代表的內容。 資源擁有者是將委派權限以範圍形式授與用戶端應用程式的一方。 資源擁有者也是這些角色的接受者,表示在租用戶或應用程式中的擴充權限。

資源伺服器

OAuth 2.0 授權架構所定義,這是裝載受保護資源的伺服器,且能夠接受並回應出示存取權杖用戶端應用程式所提出的受保護資源要求。 它也稱為「受保護的資源伺服器」或「資源應用程式」。

資源伺服器會使用 OAuth 2.0 授權架構公開 API,並透過範圍角色強制執行其受保護資源的存取權。 範例包括可存取 Microsoft Entra 租用戶資料的 Microsoft Graph API,以及可存取郵件和行事曆等資料的 Microsoft 365 API。

就像客戶端應用程式一樣,資源應用程式的身份配置是通過 Microsoft Entra 租戶中的註冊建立的,從而提供應用程式和服務主體物件。 某些由 Microsoft 所提供的 API (例如 Microsoft Graph API) 會在佈建期間將所有租用戶中的預先註冊服務主體設為可用。

角色

範圍一樣,應用程式角色會提供方法讓資源伺服器控管其受保護資源的存取權。 不同於範疇,角色代表主體被授予超出基準的權限。因此,讀取您自己的電子郵件是範疇,而可以讀取每個人電子郵件的電子郵件管理員則是角色。

應用程式角色可以支援兩種指派類型:「使用者」指派可針對需要存取資源的使用者/群組實作角色型存取控制,而「應用程式」指派會對需要存取權的用戶端應用程式執行相同的動作。 應用程式角色可以定義為使用者可指派、應用程式可指派或兩者。

角色是資源所定義的字串 (例如「經費支出核准者」、「唯讀」、"Directory.ReadWrite.All"),可透過資源的 [應用程式資訊清單] 進行管理,並且會儲存在資源的 [appRoles 屬性] 中。 可以將使用者指派給「使用者」可指派的角色,並且可以將用戶端 [應用程式權限] 設定為要求「應用程式」可指派的角色。

如需 Microsoft Graph API 所公開應用程式角色的詳細討論,請參閱圖形 API 權限範圍。 如需逐步實作範例,請參閱新增或移除 Azure 角色指派

範圍

角色一樣,範圍會提供方法讓資源伺服器控管其受保護資源的存取權。 對於已獲得資源擁有者委派資源存取權的用戶端應用程式,範圍可用來實作範圍型存取控制。

範圍是資源所定義的字串 (例如 "Mail.Read"、"Directory.ReadWrite.All"),可透過資源的應用程式資訊清單進行管理,並且儲存在資源的 oauth2Permissions 屬性中。 可以將用戶端應用程式委派權限設定為存取某個範圍。

命名慣例的最佳作法是使用「resource.operation.constraint」格式。 如需 Microsoft Graph API 所公開範圍的詳細討論,請參閱圖形 API 權限範圍。 針對 Microsoft 365 服務所公開的範圍,請參閱 Microsoft 365 API 權限參考

安全憑證

包含 OAuth 2.0 權杖或 SAML 2.0 斷言等主張的已簽署文件。 對於 OAuth 2.0 授權授與而言,存取權杖 (OAuth2)、重新整理權杖識別碼權杖皆為安全性權杖類型,而且這兩種類型都會實作為 JSON Web 權杖 (JWT)

服務主體物件

在您註冊/更新應用程式時,即會為該租用戶建立/更新應用程式物件和對應的服務主體物件。 應用程式物件可全域 (在相關聯的應用程式已獲授與存取權的所有租用戶中)「定義」應用程式的身分識別組態,並可做為範本來「衍生」出其對應的服務主體物件,以在執行階段於本機 (在特定租用戶) 使用。

如需詳細資訊,請參閱應用程式和服務主體物件

登入

用戶端應用程式會透過此程序起始使用者驗證並擷取相關狀態,以要求安全性權杖並將應用程式工作階段侷限在該狀態。 狀態中可以包含像使用者設定檔資訊這樣的要素,以及衍生自權杖宣告的資訊。

應用程式的登入功能通常會用來實作單一登入 (SSO)。 也可能會在這之前加上「註冊」功能,以做為進入點來讓使用者取得應用程式的存取權 (在第一次登入時)。 註冊功能可用來收集並保存使用者專屬的其他狀態,而且可能需要 使用者同意

登出

將終止使用者驗證狀態的程序,以便解除使用者在用戶端應用程式工作階段中與登入相關聯的狀態。

主題

也稱為資源擁有者

租戶

Microsoft Entra 目錄的實例被稱為 Microsoft Entra 租用戶。 它提供數個功能,包括︰

  • 整合式應用程式的登錄服務
  • 驗證使用者帳戶和已註冊的應用程式
  • 支援各種通訊協定 (包括 OAuth 2.0 和 SAML) 所需的 REST 端點包括授權端點權杖端點以及多租用戶應用程所使用的「通用」端點。

Microsoft Entra 租用戶會在註冊期間建立/與 Azure 和 Microsoft 365 訂用帳戶產生關聯,藉此提供訂用帳戶的「身分識別與存取權管理」功能。 Azure 訂用帳戶管理員也可以建立其他 Microsoft Entra 租用戶。 如需各種存取租用戶方式的詳細資料,請參閱如何取得 Microsoft Entra 租用戶。 如需訂用帳戶與 Microsoft Entra 租用戶立間關聯性的詳細資料,以及如何建立訂用帳戶與 Microsoft Entra 租用戶的關聯或將訂用帳戶新增至其中的說明,請參閱將 Azure 訂用帳戶關聯或新增至您的 Microsoft Entra 租用戶

令牌端點

授權伺服器為了支援 OAuth 2.0 授權授與所實作的其中一個端點。 根據授權的不同,這些可用來取得給 [用戶端] 使用的 [存取權杖] (以及相關的「重新整理」權杖),或者在使用 [OpenID Connect] 通訊協定時取得 [識別碼權杖]

使用者代理程式型用戶端

一種用戶端應用程式,可從 Web 伺服器下載程式碼並在使用者代理程式 (例如,網頁瀏覽器) 中執行,例如單一頁面應用程式 (SPA)。 所有程式碼都會在裝置上執行,因此裝置會因為無法私下/祕密地儲存認證而被視為「公用」用戶端。 如需詳細資訊,請參閱 OAuth 2.0 用戶端類型和設定檔

使用者主體

和服務主體物件用來表示應用程式執行個體的方式一樣,使用者主體物件是另一種類型的安全性主體,它所代表的是使用者。 Microsoft Graph User 資源類型定義使用者物件的結構描述,包括使用者相關屬性,例如名字和姓氏、使用者主體名稱、目錄角色成員資格等。 這可提供使用者身分識別設定,讓 Microsoft Entra ID 在執行階段建立使用者主體。 使用者主體可用來代表單一登入的已驗證使用者、記錄同意委派,以進行存取控制決策等。

Web 用戶端

一種用戶端應用程式,會在 Web 伺服器上執行所有程式碼,並且能夠藉由在伺服器上安全地儲存其認證,而作為機密用戶端運作。 如需詳細資訊,請參閱 OAuth 2.0 用戶端類型和設定檔

工作負載身分識別

軟體工作負載 (例如應用程式、服務、指令碼或容器) 所使用的身分識別,用來驗證及存取其他服務和資源。 在 Microsoft Entra ID 中,工作負載身分識別為應用程式、服務主體和受控識別。 如需詳細資訊,請參閱工作負載身分識別概觀

工作負載身分識別同盟

可讓您從外部應用程式和服務安全地存取 Microsoft Entra 保護的資源,而不需管理祕密 (適用於支援的案例)。 如需詳細資訊,請參閱工作負載身分識別同盟

下一步

此詞彙表中的許多詞彙都與 OAuth 2.0 和 OpenID 連線通訊協定有關。 雖然您不需要知道通訊協定如何「連線」使用身分識別平台,但了解某些通訊協定基本概念可協助您更輕鬆地在應用程式中建置和偵錯驗證和授權: