This is the Trace Id: 276092b02fef1831e281c8f78f874c23
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je OIDC?

Seznamte se s OpenID Connect (OIDC), ověřovacím protokolem, který ověřuje identity uživatelů při přihlašování pro přístup k digitálním prostředkům.

Definice OIDC (OpenID Connect)

OIDC (OpenID Connect) je protokol pro ověřování identity, který je rozšířením protokolu OAuth (Open Authorization) 2.0 a standardizuje proces ověřování a autorizace uživatelů při přihlašování pro přístup k digitálním službám. Pomocí OIDC se ověřuje, jestli jsou uživatelé opravdu těmi uživateli, za které se vydávají. OAuth 2.0 autorizuje, ke kterým systémům mají tito uživatelé povolený přístup. Protokol OAuth 2.0 se obvykle používá k tomu, aby mohly dvě nesouvisející aplikace sdílet informace bez ohrožení uživatelských dat. Mnoho lidí například místo toho, aby si vytvořili nové uživatelské jméno a heslo, používá k přihlášení na web třetí strany svůj e-mail nebo účet ze sociálních sítí. OIDC se také používá k zajištění jednotného přihlašování. Organizace můžou jako primární ověřovací data identit používat zabezpečený systém správy identit a přístupu (IAM), jako je Microsoft Entra ID (dříve Azure Active Directory), a pak pomocí OIDC předat toto ověření jiným aplikacím. Stačí tak, když se uživatelé jednou přihlásí pomocí jednoho uživatelského jména a hesla, aby měli přístup k více aplikacím.

 

 

Klíčové součásti OIDC

OIDC má šest primárních součástí:

  • Ověřování je proces ověřování, jestli je uživatel tím, za koho se vydává.

  • Klient je software, například web nová stránka nebo aplikace, které požadují tokeny, jež se používají k ověření uživatele nebo přístupu k prostředku.

  • Přijímající strany jsou aplikace, které k ověřování uživatelů používají poskytovatele OpenID.  

  • Tokeny identity obsahují údaje o identitě včetně výsledku procesu ověřování, identifikátoru uživatele a informací o tom, jak a kdy byl uživatel ověřen. 

  • Poskytovatelé OpenID jsou aplikace, pro které už má uživatel účet. Jejich rolí v rámci OIDC je ověřit uživatele a předat tyto informace přijímající straně.

  • Uživatelé jsou osoby nebo služby, které se snaží získat přístup k aplikaci bez vytvoření nového účtu nebo zadání uživatelského jména a hesla. 

 

Jak funguje ověřování OIDC?

Ověřování OIDC funguje tak, že umožňuje uživatelům přihlášením se k jedné aplikaci získat přístup k jiné aplikaci. Pokud si například uživatel chce vytvořit účet na webu se zprávami, nemusí si vytvářet nový účet, ale může k tomu použít Facebook. Pokud zvolí Facebook, bude používat ověřování OIDC. Proces ověřování provádí Facebook (jako poskytovatel OpenID), který získává souhlas uživatele s poskytnutím konkrétních informací, například profilu uživatele, pro web se zprávami, který je přijímající stranou. 

Tokeny ID 

Poskytovatel OpenID používá tokeny ID k přenosu výsledků ověřování a všech relevantních informací přijímající straně. Mezi příklady odesílaných dat patří ID, e-mailová adresa a jméno.

Obory

Obory definují, co uživatel může se svým přístupem dělat. OIDC poskytuje standardní obory, které definují například to, pro kterou přijímající stranu byl token vygenerován, kdy byl vygenerován, kdy vyprší jeho platnost a jaká síla šifrování byla použita k ověření uživatele. 

Proces ověřování OIDC obvykle zahrnuje následující kroky:

  1. Uživatel přejde do aplikace, ke které chce získat přístup (přijímající strana).
  2. Uživatel zadá svoje uživatelské jméno a heslo.
  3. Přijímající strana odešle žádost poskytovateli OpenID.
  4. Poskytovatel OpenID ověří přihlašovací údaje uživatele a získá autorizaci.
  5. Poskytovatel OpenID odešle přijímající straně token identity a často přístupový token.
  6. Přijímající strana odešle přístupový token do zařízení uživatele.
  7. Uživatel získá přístup na základě informací uvedených v přístupovém tokenu a na základě přijímající strany. 

Co jsou toky OIDC?

Toky OIDC definují způsob vyžádání tokenů a jejich doručení přijímající straně. Tady je několik příkladů:

  • Toky autorizace OIDC: Poskytovatel služby OpenID zašle přijímající straně jedinečný kód. Přijímající strana pak odešle jedinečný kód zpět poskytovateli OpenID výměnou za token. Tato metoda se používá proto, aby poskytovatel OpenID mohl před odesláním tokenu ověřit přijímající stranu. Při této metodě není token viditelný pro prohlížeč, což přispívá k jeho zabezpečení.

  • Toky autorizace OIDC s rozšířením PKCE: Tento tok je stejný jako tok autorizace OIDC s tím rozdílem, že pomocí rozšíření PKCE (Public Key for Code Exchange) odesílá komunikaci v podobě hodnoty hash. Tím se snižuje pravděpodobnost, že by byl token zachycen.

  • Přihlašovací údaje klienta: Tento tok poskytuje přístup k webovým rozhraním API přímo pomocí identity aplikace. Obvykle se používá pro komunikaci mezi servery a pro automatizované skripty nevyžadující interakci uživatele.

  • Kód zařízení: Tento tok umožňuje uživatelům přihlašovat se a přistupovat k webovým rozhraním API na zařízeních připojených k internetu, která nemají prohlížeč nebo nedisponují pohodlnou klávesnicí, jako jsou například chytré televizory. 

Další toky, jako je implicitní tok OIDC, který je určen pro aplikace založené na prohlížeči, se nedoporučují, protože představují bezpečnostní riziko.

Porovnání OIDC a OAuth 2.0

Ověřování OIDC je založeno na protokolu OAuth 2.0 za účelem přidání ověřování. Nejprve byl vyvinut protokol OAuth 2.0 a následně bylo doplněno ověřování OIDC, které rozšířilo jeho možnosti. Rozdíl mezi nimi je v tom, že OAuth 2.0 poskytuje autorizaci, zatímco OIDC autentizaci (ověřování). OAuth 2.0 umožňuje uživatelům získat přístup k přijímající straně pomocí jejich účtu u poskytovatele OpenID a OIDC umožňuje poskytovateli OpenID předat přijímající straně uživatelský profil. OIDC také umožňuje organizacím nabízet uživatelům jednotné přihlašování.

 

 

Výhody ověřování OIDC

Snížením počtu účtů, které uživatelé potřebují pro přístup k aplikacím, nabízí OIDC jednotlivcům i organizacím několik výhod:

Snižuje riziko odcizení hesel

Když někdo musí pro přístup k aplikacím, které potřebuje pro pracovní i osobní účely, používat více hesel, často si zvolí snadno zapamatovatelné heslo, například Password1234!, a to pak používá pro více účtů. Zvyšuje se tím riziko, že uživatel se zlými úmysly heslo uhodne. A jakmile zjistí heslo k jednomu účtu, může tím získat přístup i k dalším účtům. Snížením počtu hesel, která si musí uživatel zapamatovat, se zvyšuje pravděpodobnost, že použije silnější a bezpečnější heslo.

Vylepšuje kontrolní mechanismy zabezpečení

Díky centralizaci ověřování v jedné aplikaci můžou organizace také chránit přístup mezi několika aplikacemi pomocí silného řízení přístupu. OIDC podporuje dvojúrovňové a vícefaktorové ověřování, které vyžaduje, aby lidé ověřili svou identitu alespoň pomocí dvou z následujících možností:

  • Něco, co uživatel zná, obvykle heslo.

  • Něco, co uživatel má, například důvěryhodné zařízení nebo token, které nelze snadno duplikovat. 

  • Něco, čím je uživatel jedinečný, například otisk prstu nebo sken obličeje.

Vícefaktorové ověřování je prověřená metoda pro snížení ohrožení zabezpečení účtu. Organizace mohou používat OIDC také k uplatňování dalších bezpečnostních opatření, jako je správa privilegovaného přístupu, ochrana heslem, zabezpečení přihlášení nebo ochrana identity, v několika aplikacích. 

Zjednodušuje uživatelské prostředí

Přihlašování k více účtům během dne může být pro uživatele časově náročné a nepohodlné. Pokud navíc heslo ztratí nebo zapomenou, může jim nutnost resetovat si ho ještě více snížit produktivitu práce. Firmy, které využívají OIDC pro jednotné přihlášení svých zaměstnanců, pomáhají zajistit, aby jejich zaměstnanci trávili více času spíše produktivní prací, než snahou získat přístup k aplikacím. Organizace také tím, že jednotlivcům umožní používat k přihlášení svůj účet Microsoft, Google nebo Facebook, zvyšují pravděpodobnost, že se zákazníci zaregistrují a budou využívat jejich služby. 

Standardizuje ověřování

Ověřování OIDC vytvořila nadace OpenID Foundation, jejímiž členy jsou renomované značky jako Microsoft a Google. Bylo navrženo tak, aby bylo interoperabilní a podporovalo mnoho platforem a knihoven, včetně systémů iOS, Android, Microsoft Windows a hlavních poskytovatelů cloudových služeb a identit.

Zjednodušuje správu identit

Organizace, které používají OIDC k zajištění jednotného přihlašování pro své zaměstnance a partnery, mohou snížit počet řešení správy identit, která musí spravovat. To usnadňuje sledování měnících se oprávnění a umožňuje správcům používat jedno rozhraní k uplatňování zásad a pravidel přístupu pro více aplikací. Společnosti, které používají OIDC a umožňují lidem přihlašovat se ke svým aplikacím pomocí poskytovatele OpenID, snižují celkový počet identit, které musí spravovat. 

Příklady a případy použití OIDC

Mnoho organizací používá OIDC k zajištění bezpečného ověřování napříč webovými a mobilními aplikacemi. Tady je několik příkladů:

  • Když si uživatel zaregistruje účet Spotify, nabídnou se mu tři možnosti: registrace přes Facebook, registrace přes Google a registrace pomocí e-mailové adresy. Uživatelé, kteří se rozhodnou zaregistrovat pomocí facebookového účtu nebo účtu Google, používají k vytvoření účtu ověřování OIDC. Budou přesměrováni na příslušného poskytovatele OpenID (Google nebo Facebook), který po přihlášení odešle společnosti Spotify základní profilové informace. Uživatel si nemusí pro Spotify vytvářet nový účet a jeho hesla zůstávají chráněna.

  • I LinkedIn nabízí možnost, aby si uživatelé vytvořili účet pomocí svého účtu Google a nemuseli si vytvářet samostatný účet pro LinkedIn. 

  • Společnost chce poskytnout jednotné přihlašování zaměstnancům, kteří ke své práci potřebují přístup k produktům Microsoft Office 365, Salesforce, Box a Workday. Místo toho, aby si zaměstnanci museli pro každou z těchto aplikací vytvářet samostatný účet, využívá společnost pro přístup ke všem čtyřem aplikacím ověřování OIDC. Zaměstnanci si vytvoří jeden účet a při každém přihlášení získají přístup ke všem aplikacím, které potřebují k práci.  

Implementace OIDC pro zabezpečené ověřování

OIDC poskytuje ověřovací protokol pro zjednodušení přihlašování uživatelů a zvýšení zabezpečení. Je to skvělé řešení pro firmy, které chtějí své zákazníky motivovat k tomu, aby si zaregistrovali jejich služby bez starostí se správou účtů. Umožňuje také organizacím nabídnout svým zaměstnancům a dalším uživatelům bezpečné jednotné přihlašování k více aplikacím. Organizace můžou používat řešení identit a přístupu, která podporují OIDC, jako je Microsoft Entra, ke správě všech svých identit a zásad zabezpečení ověřování na jednom místě.

   

 

Další informace o zabezpečení od Microsoftu

Časté otázky

  • OIDC je protokol pro ověřování identity, který ve spolupráci s OAuth 2.0 standardizuje proces ověřování a autorizace uživatelů při přihlašování pro přístup k digitálním službám. Pomocí OIDC se ověřuje, jestli jsou uživatelé opravdu těmi uživateli, za které se vydávají. OAuth 2.0 autorizuje, ke kterým systémům mají tito uživatelé povolený přístup. OIDC a OAuth 2.0 se obvykle používají k tomu, aby dvě nesouvisející aplikace mohly sdílet informace bez ohrožení uživatelských dat. 

  • OIDC a SAML (Security Assertion Markup Language) jsou protokoly pro ověřování identit, které umožňují uživatelům se jednou bezpečně přihlásit a následně využívat více aplikací. SAML je starší protokol, který se běžně používá pro jednotné přihlašování. Přenáší data ve formátu XML. OIDC je novější protokol, který k přenosu uživatelských dat používá formát JSON. OIDC získává na popularitě, protože se implementuje snadněji než SAML a lépe funguje s mobilními aplikacemi.

  • OIDC je zkratka pro OpenID Connect, což je protokol pro ověřování identit, který umožňuje dvěma nesouvisejícím aplikacím sdílet informace o uživatelském profilu, aniž by došlo k ohrožení přihlašovacích údajů uživatele.

  • Ověřování OIDC je založeno na protokolu OAuth 2.0 za účelem přidání ověřování. Nejprve byl vyvinut protokol OAuth 2.0 a následně bylo doplněno ověřování OIDC, které rozšířilo jeho možnosti. Rozdíl mezi nimi je v tom, že OAuth 2.0 poskytuje autorizaci, zatímco OIDC autentizaci (ověřování). OAuth 2.0 umožňuje uživatelům získat přístup k přijímající straně pomocí jejich účtu u poskytovatele OpenID a OIDC umožňuje poskytovateli OpenID předat přijímající straně uživatelský profil. Tato funkce také umožňuje organizacím nabízet uživatelům jednotné přihlašování. Toky OAuth 2.0 a OIDC jsou si podobné, jen používají trochu odlišnou terminologii. 

    Typický tok OAuth 2.0 má následující kroky:

    1. Uživatel přejde do aplikace, ke které chce získat přístup (server prostředků).
    2. Server prostředků přesměruje uživatele do aplikace, kde má účet (klient).
    3. Uživatel se přihlásí pomocí svých přihlašovacích údajů pro klienta.
    4. Klient ověří přístup uživatele.
    5. Klient odešle přístupový token na server prostředků.
    6. Server prostředků udělí uživateli přístup.

    Tok OIDC má obvykle následující kroky:

    1. Uživatel přejde do aplikace, ke které chce získat přístup (přijímající strana).
    2. Uživatel zadá svoje uživatelské jméno a heslo.
    3. Přijímající strana odešle žádost poskytovateli OpenID.
    4. Poskytovatel OpenID ověří přihlašovací údaje uživatele a získá autorizaci.
    5. Poskytovatel OpenID odešle přijímající straně token identity a často přístupový token.
    6. Přijímající strana odešle přístupový token do zařízení uživatele.
    7. Uživatel získá přístup na základě informací uvedených v přístupovém tokenu a na základě přijímající strany. 

  • Poskytovatel OpenID používá tokeny ID k přenosu výsledků ověřování a všech relevantních informací do aplikace přijímající strany. Mezi příklady odesílaných dat patří ID, e-mailová adresa a jméno.

Sledujte zabezpečení od Microsoftu