This is the Trace Id: 25c93d425395ac94ce4b7b0e5da680e6
Põhisisu juurde
Microsofti turbeteenus

Mis on OIDC?

Siit leiate teavet OpenID Connecti (OIDC) kohta – see on autentimisprotokoll, mis kontrollib kasutajaidentiteete, kui need digitaalsetele ressurssidele juurde pääsemiseks sisse logivad.

OpenID Connecti (OIDC) definitsioon

OpenID Connect (OIDC) on identiteediautentimise protokoll, mis on Open Authorizationi (OAuth) 2.0 laiendus kasutajate autentimis- ja autoriseerimisprotsessi standardiseerimiseks digitaalteenustele juurdepääsu loomisel. OIDC pakub autentimist, mis tähendab kasutajate isiku kontrollimist. OAuth 2.0 määrab ära, millistele süsteemidele neil kasutajatel on juurdepääs. OAuth 2.0 võimaldab tavaliselt kahel seostamata rakendusel jagada teavet ilma kasutajaandmeid ohustamata. Näiteks kasutavad paljud inimesed oma meili- või sotsiaalmeediakontosid kolmanda osapoole saidile sisselogimiseks, selle asemel et luua uus kasutajanimi ja parool. OIDC-ga pakutakse ka ühekordset sisselogimist. Ettevõtted saavad kasutada identiteetide põhiautentikaatorina turvalist identiteedi- ja juurdepääsuhaldussüsteemi (IAM), nagu Microsoft Entra ID (varem Azure Active Directory), ja seejärel OIDC abil edastada selle autentimise teistesse rakendustesse. Nii peavad kasutajad mitmele rakendusele juurdepääsemiseks ühe kasutajanime ja parooliga vaid ühe korra sisse logima.

 

 

OIDC põhikomponendid

OIDC-l on kuus põhikomponenti.

  • Autentimise on tõendamisprotsess, millega kontrollitakse, kas kasutaja on see, kelle ta väidab end olevat.

  • Klientrakendus on tarkvara (nt veebisait või rakendus), mis taotleb kasutaja autentimiseks või ressursile juurdepääsuks kasutatavaid tõendeid.

  • Vahendavad osapooled on rakendused, mis kasutavad kasutajate autentimiseks OpenID pakkujaid.  

  • identiteeditõendid sisaldavad identiteediandmeid, sh autentimisprotsessi tulemust, kasutaja identifikaatorit ning teavet selle kohta, kuidas ja millal kasutaja autenditakse. 

  • OpenID pakkujad on rakendused, mille jaoks kasutajal juba on konto. Nende roll OIDC-s on kasutaja autentimine ja selle teabe edastamine usaldusväärsele osapoolele.

  • Kasutajad on inimesed või teenused, kes püüavad rakendusele juurde pääseda ilma uut kontot loomata või kasutajanime ja parooli sisestamata. 

 

Kuidas OIDC autentimine töötab

OIDC autentimine võimaldab kasutajatel ühte rakendusse sisse logida ja saada juurdepääsu teisele rakendusele. Näiteks kui kasutaja soovib luua kontot uudistesaidil, võib tal olla võimalus konto loomiseks uue konto loomise asemel oma Facebooki kontot kasutada. Kui ta valib Facebooki, kasutab ta OIDC autentimist. Facebook, mida nimetatakse OpenID pakkujaks, töötleb autentimistoimingut ja hangib kasutaja nõusoleku edastada uudistesaidile (mis on vahendav osapool) konkreetne teave (nt kasutajaprofiil). 

ID-tõendid 

OpenID pakkuja kasutab vahendavale osapoolele autentimistulemuste ja asjakohase teabe edastamiseks ID-tõendeid. Saadetavate andmete tüübi näited on näiteks ID, meiliaadress ja nimi.

Ulatused

Ulatustega määratakse kindlaks, mida kasutaja saab juurdepääsuga teha. OIDC pakub standardulatusi, millega määratakse kindlaks näiteks see, millise osapoole jaoks luba loodi, millal luba loodi, millal luba aegub, ja kasutaja autentimiseks kasutatud krüptimistugevus. 

Tüüpiline OIDC autentimisprotsess hõlmab järgmisi etappe.

  1. Kasutaja läheb rakendusse, mida soovib kasutada (vahendav osapool).
  2. Kasutaja sisestab oma kasutajanime ja parooli.
  3. Vahendav osapool saadab OpenID pakkujale taotluse.
  4. OpenID pakkuja valideerib kasutaja identimisteabe ja saab autoriseerimise.
  5. OpenID pakkuja saadab vahendavale osapoolele identiteeditõendi ja sageli pääsutõendi.
  6. Vahendav osapool saadab pääsutõendi kasutaja seadmesse.
  7. Kasutajale antakse juurdepääs pääsutõendis esitatud teabe ja vahendava osapoole põhjal. 

Mis on OIDC vood?

OIDC voogudega määratakse kindlaks, kuidas tõendeid taotletakse ja vahendavale osapoolele edastatakse. Mõned näited on järgmised.

  • OIDC autoriseerimisvood: OpenID pakkuja saadab vahendavale osapoolele kordumatu koodi. Seejärel saadab vahendav osapool kordumatu koodi tõendi vastu vahetamiseks OpenID pakkujale tagasi. Seda meetodit kasutatakse selleks, et OpenID pakkuja saaks vahendavat osapoolt enne tõendi saatmist kontrollida. Brauser ei näe selle meetodi korral tõendit, nii et see püsib turvalisena.

  • OIDC autoriseerimisvood PKCE laiendiga: see voog on muidu sama mis OIDC autoriseerimisvoog, kuid see kasutab koodivahetuse (PKCE) laiendi avalikku võtit side pidamiseks räsina. See vähendab võimalust, et keegi püüab tõendi kinni.

  • Kliendi identimisteave: see voog annab juurdepääsu veebi-API-dele rakenduse enda identiteedi abil. Seda kasutatakse tavaliselt serveritevahelise suhtluse ja automatiseeritud skriptide jaoks, mis ei nõua kasutajapoolset suhtlust.

  • Seadme kood: see voog võimaldab kasutajatel sisse logida ja kasutada veebi-API-sid Interneti-ühendusega seadmetes, millel pole brausereid või millel on kehvad klaviatuurivõimalused (nt nutiteler). 

Lisavood (nt OIDC kaudne voog), mis on loodud brauseripõhiste rakenduste jaoks, pole soovitatavad, kuna need on turberiskid.

OIDC vs OAuth 2.0

OIDC on autentimise lisamiseks loodud OAuth 2.0 alusel. Esmalt töötati välja OAuth 2.0 protokoll ja seejärel lisati võimaluste täiustamiseks OIDC. Nende kahe erinevus seisneb selles, et OAuth 2.0 pakub autoriseerimist, OIDC aga autentimist. OAuth 2.0 võimaldab kasutajatel saada juurdepääsu vahendavale osapoolele oma konto kasutamisel OpenID pakkujaga, OIDC aga võimaldab OpenID pakkujal edastada kasutajaprofiili vahendavale osapoolele. OIDC abil saavad organisatsioonid pakkuda oma kasutajatele ühekordset sisselogimist.

 

 

OIDC autentimise eelised

Tänu nende kontode arvu vähendamisega, mida kasutajad rakendustele juurdepääsuks vajavad, pakub OIDC mitmeid eeliseid nii üksikisikutele kui ka organisatsioonidele.

Väiksem paroolivarguse oht

Kui inimestel on vaja tööks ja eraeluks vajalikele rakendustele juurdepääsuks mitut parooli, valivad nad sageli hõlpsalt meeldejäävaid paroole (nt Parool1234!) ja kasutavad sama parooli mitmel kontol. Seetõttu kasvab risk, et kurjategija suudab parooli ära arvata. Kui ta teab ühe konto parooli, võib ta saada juurdepääsu ka teistele kontodele. Kui vähendada meeldejäetavate paroolide arvu, on suurem võimalus, et kasutaja kasutab tugevamat ja turvalisemat parooli.

Paremad turbemeetmed

Autentimise tsentreerimise teel ühte rakendusse saavad ettevõtted kaitsta juurdepääsu mitmes rakenduses tänu tugevatele juurdepääsu juhtelementidele. OIDC toetab kahekordset ja mitmikautentimist, mis nõuab, et inimesed kinnitaksid oma isiku vähemalt kahe järgmise abil.

  • See on midagi kasutajale teadaolevat (tavaliselt parool).

  • See on midagi, mis on kasutajal olemas, nagu usaldusväärne seade, mida pole lihtne dubleerida (nt telefon või riistvaravõti). 

  • See on midagi kasutajale olemuslikku (nt sõrmejälg või näotuvastus).

Mitmikautentimine on tõestatud meetod kontode ohtusattumise vältimiseks. Ettevõtted saavad OIDC abil rakendada ka muid turbemeetmeid (nt eelispääsuhaldus, paroolikaitse, sisselogimise turbe-või identiteedikaitse) mitmes rakenduses. 

Lihtsamad kasutusvõimalused

Päeva jooksul mitmele kontole sisselogimine võib olla inimeste jaoks aeganõudev ja tüütu. Kui nad parooli kaotavad või unustavad, võib selle lähtestamine tööviljakust veelgi vähendada. Ettevõtted, pakuvad oma töötajatele ühekordset sisselogimist OIDC abil, aitavad tagada, et töötajad pühendaksid rohkem aega tõhusale tööle, mitte rakendustele juurdepääsemisele. Organisatsioonid saavad suurendada ka tõenäosust, et kliendid tellivad ja kasutavad nende teenuseid, kui üksikisikutel lubatakse kasutada sisselogimiseks omaenda Microsofti, Facebooki või Google’i kontot. 

Standardne autentimine

OIDC koostas OpenID Foundation, mis hõlmab suure profiiliga brände, nagu Microsoft ja Google. See on loodud koostalitletavana ja toetab paljusid platvorme ja teeke, sh iOS-i, Androidi, Microsoft Windowsi, ning suuri pilve- ja identiteedipakkujaid.

Sujuvam kasutajahaldus

Asutused pakuvad oma töötajatele ja partneritele ühekordset sisselogimist OIDC abil, võivad vähendada hallatavate identiteedihalduse lahenduste arvu. Nii on lihtsam õiguste muutmist jälgida ja administraatorid saavad rakendada juurdepääsupoliitikaid ja -reegleid rakendamiseks mitmes rakenduses ühe liidese kaudu. Ettevõtted, kes kasutavad inimestel oma rakendustesse OpenID pakkuja abil sisselogimise võimaldamiseks OIDC-d, vähendavad hallatavate identiteetide koguarvu. 

OIDC näited ja kasutusjuhtumid

Paljud organisatsioonid kasutavad OIDC-d turvalise autentimise lubamiseks veebi- ja mobiilirakendustes. Järgnevalt on toodud mõned näited.

  • Kui kasutaja registreerib endale Spotify konto, pakutakse talle kolme valikut: registreerumine Facebooki kaudu, registreerumine Google’i kaudu või registreerumine meiliaadressiga. Kasutajad, kes valivad Facebooki või Google’i kaudu registreerumise, loovad konto OIDC abil. Ta suunatakse ümber valitud OpenID pakkujale (Google või Facebook) ja pärast sisselogimist saadab OpenID pakkuja Spotifyle profiili põhilised üksikasjad. Kasutaja ei pea Spotify jaoks uut kontot looma ja tema paroolid jäävad kaitstuks.

  • LinkedIn võimaldab kasutajatel luua konto ka oma Google’i konto abil, selle asemel et luua LinkedIni jaoks eraldi konto. 

  • Ettevõte soovib pakkuda ühekordset sisselogimist töötajatele, kes vajavad töö tegemiseks juurdepääsu Microsoft Office 365-le, Salesforce’ile, Boxile ja Workdayle. Selle asemel, et nõuda töötajatelt eraldi konto loomist iga rakenduse jaoks, annab ettevõte OIDC abil juurdepääsu kõigile neljale rakendusele. Töötajad loovad ühe konto ja iga kord, kui nad sisse logivad, pääsevad nad juurde kõigile tööks vajaminevatele rakendustele.  

OIDC juurutamine turvaliseks autentimiseks

OIDC pakub autentimisprotokolli, mis lihtsustab kasutajate jaoks sisselogimist ja täiustab turvet. See on suurepärane lahendus ettevõtetele, kes soovivad julgustada kliente teenuste kasutajaks registreeruma ilma vaevalise kontohalduseta. Nii saavad organisatsioonid pakkuda oma töötajatele ja teistele kasutajatele turvalist ühekordset sisselogimist mitmesse rakendusse. Organisatsioonid saavad kasutada OIDC-d toetavaid identiteedi- ja juurdepääsulahendusi (nt Microsoft Entra) kõigi oma identiteetide ja autentimise turbepoliitikate haldamiseks ühes kohas.

   

 

Lisateave Microsofti turbeteenuste kohta

Korduma kippuvad küsimused

  • OIDC on identiteediautentimise protokoll, mis töötab OAuthiga kasutajate autentimis- ja autoriseerimisprotsessi standardiseerimiseks digitaalteenustele juurdepääsu loomisel. OIDC pakub autentimist, mis tähendab kasutajate isiku kontrollimist. OAuth 2.0 määrab ära, millistele süsteemidele neil kasutajatel on juurdepääs. OIDC ja OAuth 2.0 võimaldavad tavaliselt kahel seostamata rakendusel jagada teavet ilma kasutajaandmeid ohustamata. 

  • Nii OIDC kui ka turvadeklaratsioonide märgistuskeel (SAML) on identiteedi autentimise protokollid, mille abil saavad kasutajatel turvaliselt sisse logida ja mitmele rakendusele juurde pääseda. SAML on vanem protokoll, mis on laialdaselt kasutusel ühekordseks sisselogimiseks. See edastab andmeid XML-vormingus. OIDC on uuem protokoll, mis edastab kasutajaandmeid JSON-vormingus. OIDC on populaarsust kogumas, kuna seda on lihtsam juurutada kui SAML-i ja see töötab mobiilirakendustega paremini.

  • OIDC tähistab OpenID Connecti protokolli – see on identiteedi autentimise protokoll, mida kasutatakse kahe seostamata rakenduse lubamiseks, et jagada kasutajaprofiili teavet ilma kasutaja identimisteavet ohustamata.

  • OIDC on autentimise lisamiseks loodud OAuth 2.0 alusel. Esmalt töötati välja OAuth 2.0 protokoll ja seejärel lisati võimaluste täiustamiseks OIDC. Nende kahe erinevus seisneb selles, et OAuth 2.0 pakub autoriseerimist, OIDC aga autentimist. OAuth 2.0 võimaldab kasutajatel saada juurdepääsu vahendavale osapoolele oma konto kasutamisel OpenID pakkujaga, OIDC aga võimaldab OpenID pakkujal edastada kasutajaprofiili vahendavale osapoolele. Selle funktsiooni abil saavad organisatsioonid pakkuda oma kasutajatele ühekordset sisselogimist. OAuth 2.0 ja OIDC vood on sarnased, v.a selle poolest,et need kasutavad veidi erinevat terminoloogiat. 

    Tavalises OAuth 2.0 voos on järgmised etapid.

    1. Kasutaja läheb rakendusse, millele soovib juurdepääsu (ressursiserver).
    2. Ressursiserver suunab kasutaja ümber rakendusse, kus tal on konto (klientrakendus).
    3. Kasutaja logib sisse klientrakenduse identimisteabega.
    4. Klientrakendus valideerib kasutaja juurdepääsu.
    5. Klientrakendus saadab ressursiserverisse pääsutõendi.
    6. Ressursiserver annab kasutajale juurdepääsu.

    Tavalises OIDC voos on järgmised etapid.

    1. Kasutaja läheb rakendusse, mida soovib kasutada (vahendav osapool).
    2. Kasutaja sisestab oma kasutajanime ja parooli.
    3. Vahendav osapool saadab OpenID pakkujale taotluse.
    4. OpenID pakkuja valideerib kasutaja identimisteabe ja saab autoriseerimise.
    5. OpenID pakkuja saadab vahendavale osapoolele identiteeditõendi ja sageli pääsutõendi.
    6. Vahendav osapool saadab pääsutõendi kasutaja seadmesse.
    7. Kasutajale antakse juurdepääs pääsutõendis esitatud teabe ja vahendava osapoole põhjal. 

  • OpenID pakkuja kasutab vahendava osapoole rakendusele autentimistulemuste ja asjakohase teabe edastamiseks ID-tõendeid. Saadetavate andmete tüübi näited on näiteks ID, meiliaadress ja nimi.

Jälgige Microsofti turbeteenust