Trace Id is missing
Siirry pääsisältöön
Microsoft Security

Mikä on OAuth?

Opi, mikä on OAuth ja miten sitä käytetään sovellusten ja palveluiden välisen käytön valtuuttamiseen luottamuksellisia tietoa vaarantamatta.

OAuth selitettynä

OAuth on teknologinen standardi, jonka avulla voit valtuuttaa yhden sovelluksen tai palvelun kirjautumaan sisään toiseen antamatta yksityisiä tietoja, kuten salasanoja. Jos olet joskus saanut viestin, kuten "Kirjaudu sisään Facebookilla" tai "Salli tämän sovelluksen käyttää tiliäsi", olet nähnyt, miten OAuth toimii käytännössä.

OAuth on lyhenne sanoista Open Authorization – se ei tarkoita todentamista, kuten joskus oletetaan. Todentaminen on prosessi, joka vahvistaa henkilöllisyytesi. OAuthiin liittyy käyttäjätiedot, mutta sen tarkoituksena on myöntää käyttöoikeus, jotta voit muodostaa yhteyden saumattomasti eri sovelluksiin ja palveluihin ilman, että sinun tarvitsee luoda uutta tiliä. OAuth tarjoaa yksinkertaisen käyttökokemuksen antamalla sinulle mahdollisuuden valtuuttaa kaksi sovellusta jakamaan joitakin tietojasi paljastamatta tunnistetietojasi. OAuth löytää tasapainon kätevyyden ja tietoturvan välillä.

OAuth on suunniteltu toimimaan HTTP-protokollan (Hypertext Transfer Protocol) kanssa. Se käyttää käyttöoikeustietueita henkilöllisyytesi todistamiseen ja sallii sen olla vuorovaikutuksessa toisen palvelun kanssa puolestasi. Jos tässä toisessa palvelussa ilmenee tietomurto, ensimmäisen palvelun tunnistetietosi pysyvät turvassa. OAuth on yleisesti käytössä oleva avoimen standardin protokolla, ja useimmat sivustojen ja sovellusten kehittäjät käyttävät sitä.

Mikä tärkeintä, OAuth ei myönnä kolmannen osapuolen sovellukselle tai palvelulle rajoittamatonta pääsyä tietoihisi. Protokollaan kuuluu sen määrittäminen, mitä tietoja kolmas osapuoli saa käyttää ja mitä se voi tehdä näillä tiedoilla. Tällaisten rajoitusten asettaminen ja käyttäjätietojen suojaaminen yleisesti on erityisen tärkeää liiketoimintatilanteissa, joissa monilla henkilöillä on käyttöoikeus suureen määrään arkaluonteisia ja omistusoikeudellisia tietoja.


 

Miten OAuth toimii?

Käyttöoikeustietueet tekevät OAuthin käytöstä turvallista. Käyttöoikeustietue on tieto, joka sisältää tietoja käyttäjästä ja resurssista, johon tietue on tarkoitettu. Tietue sisältää myös tiettyjä sääntöjä koskien tietojen jakamista.

Saatat ehkä haluta esimerkiksi jakaa valokuvia sosiaalisen median profiilistasi valokuvien muokkaussovelluksella, mutta et halua antaa sovellukselle käyttöoikeutta kaikkiin valokuviisi. Sen ei myöskään tarvitse käyttää viestejäsi tai kaverilistaasi. Tietue valtuuttaa vain hyväksymiesi tietojen käytön. Tietue saattaa sisältää myös sääntöjä, jotka määrittävät, milloin sovellus voi käyttää kyseistä tietuetta – kerran tai toistuvasti – sekä sen vanhentumispäivän.

OAuth-prosessi tapahtuu lähinnä koneiden välillä, ja käyttäjältä vaaditaan toimia vain muutaman kerran. Joissakin tilanteissa sinun ei ehkä tarvitse antaa hyväksyntääsi, koska ohjelmisto käsittelee sen huomaamatta taustalla. Yksi tällainen tilanne olisi esimerkiksi yrityksen työtilanne, jossa käyttäjätietoympäristö käsittelee resurssien välisiä yhteyksiä vähentääkseen tietoteknistä kitkaa suurelle määrälle käyttäjiä. Toinen tilanne voisi olla joidenkin älylaitteiden välinen vuorovaikutus.


 

Esimerkkejä OAuth-teknologiasta

Sovelluskehittäjät lähes kaikkialla ovat ottaneet OAuthin käyttöön niin kuin he ovat ottaneet monet muutkin teknologiat, jotka yksinkertaistavat jotakin työlästä asiaa, mikä tässä tapauksessa on tilien manuaalinen luominen useissa sovelluksissa. OAuthilla on monenlaisia käyttötarkoituksia ihmisille ja yrityksille.

Yksi esimerkki OAuthista voisi olla se, että käytät Microsoft Teamsia yhteistyötyökaluna ja haluat saada lisätietoja organisaation sisäisistä ja ulkopuolisista henkilöistä, joiden kanssa työskentelet. Päätät ottaa LinkedIn-integroinnin käyttöön, jotta voit oppia lisää ihmisistä työn ohessa ilman, että poistut Teamsista. Microsoft ja LinkedIn käyttäisivät sitten OAuthia valtuuttamaan tiliesi linkityksen Microsoft-käyttäjätietoihisi.

Toinen OAuthia käyttävä tilanne olisi, jos lataisit budjetointisovelluksen, jonka avulla voisit seurata kulutustasi hälytyksien ja visuaalisten apuvälineiden, kuten kaavioiden, avulla. Jotta sovellus voisi tehdä työnsä, se tarvitsisi pääsyn joihinkin pankkitietoihisi. Voisit pyytää, että pankkitilisi linkitetään sovelluksen kanssa, antaen käyttöoikeuden vain tilisi saldoon ja tapahtumiin. Sovellus ja pankkisi vaihtaisivat nämä tiedot puolestasi käyttäen OAuthia, eikä pankkisi kirjautumistiedot paljastuisi sovellukselle.

Toinen esimerkki OAuthista olisi, jos olisit GitHubia käyttävä kehittäjä ja saisit tietää, että saatavilla on kolmannen osapuolen sovellus, joka voitaisiin integroida tiliisi automaattista koodintarkastusta varten. Siirryt GitHub Marketplaceen ja lataat sovelluksen. Sinua pyydettäisiin valtuuttamaan yhteys sovellukseen GitHub-käyttäjätiedoillasi. Tämä prosessi käsiteltäisiin käyttämällä OAuthia. Tarkastuksen tekevä sovellus voisi sitten käyttää koodiasi ilman, että sinun tarvitsee kirjautua sisään molempiin palveluihin joka kerta.

Mitä eroa on OAuth 1.0:lla ja OAuth 2.0:lla?

Alkuperäinen OAuth 1.0 kehitettiin vain verkkosivustoja varten. Sitä ei käytetä tällä hetkellä laajalti, koska OAuth 2.0 on suunniteltu sekä sovelluksille että verkkosivustoille. OAuth 2.0 on myös nopeampi ja helpompi ottaa käyttöön. OAuth 1.0 ei skaalaudu OAuth 2.0:n tavoin, ja sillä on vain kolme mahdollista valtuutustyönkulkua, kun OAuth 2.0:lla on niitä kuusi.

Jos aiot käyttää OAuthia, kannattaa käyttää versiota 2.0 heti alusta alkaen. Valitettavasti OAuth 1.0:aa ei voi päivittää OAuth 2.0:aan. OAuth 2.0:n oli tarkoitus olla perinpohjainen uusi versio OAuth 1.0:sta, ja useat suuret teknologiayritykset antoivat palautetta sen suunnittelusta. Sivusto voi tukea sekä OAuth 1.0:aa että OAuth 2.0:aa, mutta tekijöiden aikomus oli, että 2.0 korvaisi 1.0:n kokonaan.

OAuth vs. OIDC

OAuth- ja Open ID Connect (OIDC) -protokollat liittyvät läheisesti toisiinsa. Ne ovat samanlaisia siinä mielessä, että molemmissa yhdelle sovellukselle annetaan käyttöoikeudet toisen sovelluksen resursseihin käyttäjän puolesta. Ero on siinä, että OAuthia käytetään resurssien käyttöoikeuksien valtuuttamiseen ja OIDC:tä käytetään henkilön käyttäjätietojen todentamiseen. Molemmilla on oma roolinsa siinä, että kaksi toisiinsa liittymätöntä sovellusta voivat jakaa tietoja vaarantamatta käyttäjätietoja.

Käyttäjätietojen toimittajat (IdP:t) käyttävät yleensä OAuth 0.2:sta ja OIDC:tä yhdessä. OIDC kehitettiin erityisesti parantamaan OAuth 2.0:n ominaisuuksia lisäämällä siihen käyttäjätietojen taso. Koska OIDC perustuu OAuth 2.0:aan, se ei ole taaksepäin yhteensopiva OAuth 1.0:n kanssa.

 

OAuthin käytön aloittaminen

OAuth 2.0:n käyttäminen sivustojen ja sovellusten kanssa voi parantaa käyttäjien tai työntekijöiden käyttökokemusta huomattavasti yksinkertaistamalla käyttäjätietojen todennusprosessia. Aloita investoimalla IdP-ratkaisuun, kuten Microsoft Entraan, joka suojaa käyttäjiä ja tietoja sisäänrakennetulla tietoturvalla

Microsoft Entra ID (aiemmin Azure Active Directory) tukee kaikkia OAuth 2.0 -työnkulkuja. Sovelluskehittäjät voivat käyttää Entra ID:tä standardipohjaisena todennuspalveluna, jonka avulla he voivat integroida yritystason nykyaikaiset käyttäjätieto-ominaisuudet sovelluksiin. IT-järjestelmänvalvojat voivat hallita käyttöoikeuksia sen avulla.

Lue lisää Microsoft Securitysta

  • Tutustu Microsoft Entraan

    Suojaa käyttäjätiedot ja turvaa käyttöoikeudet pilvipalveluissa kokonaisvaltaisella ratkaisutuoteperheellä.

    Lue lisää

  • Microsoft Entra ID (aiemmin Azure Active Directory)

    Suojaa resurssien ja tietojen käyttö vahvan todentamisen sekä riskipohjaisten mukautuvien käyttöoikeuksien avulla.

    Lue lisää

  • Tee sovelluksistasi luotettavia

    Ota käyttöön kertakirjautuminen, jotta työntekijät voivat käyttää kaikkia tarvitsemiaan resursseja yhdellä tunnistetiedolla.

    Lue lisää

  • Tee kirjautumisesta sujuvampaa

    Ota käyttöön kertakirjautuminen, jotta työntekijät voivat käyttää kaikkia tarvitsemiaan resursseja yhdellä tunnistetiedolla.

    Lue lisää

  • Suojaa hyökkäyksiltä

    Monimenetelmäisen todentamisen avulla voit parantaa organisaation resurssien suojausta.

    Lue lisää

  • Yksinkertaista sähköpostitietojen käyttöä OAuthin avulla

    Opi, miten voit todentaa yhteydet sovelluksiin käyttämällä vanhoja protokollia.

    Lue lisää

 

 

Usein kysytyt kysymykset

  • OAuth on lyhenne sanoista Open Authorization, ja se on teknologinen standardi, jonka avulla voit valtuuttaa yhden sovelluksen tai palvelun kirjautumaan sisään toiseen antamatta yksityisiä tietoja, kuten salasanoja. Kun sovellus pyytää lupaa profiilitietojen näkemiseen, se käyttää OAuthia.

  • OAuth toimii vaihtamalla käyttöoikeustietueita – tiedon osia, jotka sisältävät tietoja käyttäjästä ja resurssista, johon tietue on tarkoitettu. Yksi sovellus tai sivusto vaihtaa salattuja tietoja käyttäjästä toisen sovelluksen tai sivuston kanssa, ja tietueen sisältyy tiettyjä sääntöjä koskien tietojen jakamista. Tietue saattaa sisältää myös sääntöjä, jotka määrittävät, milloin sovellus voi käyttää kyseistä tietuetta, sekä sen vanhentumispäivän. OAuth-prosessi tapahtuu lähinnä koneiden välillä, ja käyttäjältä vaaditaan toimia vain muutaman kerran jos ollenkaan.

  • Monet yritykset käyttävät OAuthia kolmannen osapuolen sovellusten ja sivustojen käytön yksinkertaistamiseen paljastamatta käyttäjien salasanoja tai arkaluonteisia tietoja. Google, Amazon, Microsoft, Facebook ja Twitter käyttävät sitä tilitietojensa jakamiseen monia eri tarkoituksia varten, mukaan lukien ostosten yksinkertaistamiseen. Microsoftin käyttäjätietoympäristö käyttää OAuthia työ- ja koulutilien, henkilökohtaisten tilien, yhteisöpalvelutilien ja pelitilien käyttöoikeuksien valtuuttamiseen.

  • OAuth- ja Open ID Connect (OIDC) -protokollat liittyvät läheisesti toisiinsa. Ne ovat samanlaisia siinä mielessä, että molemmissa yhdelle sovellukselle annetaan käyttöoikeudet toisen sovelluksen resursseihin käyttäjän puolesta. Ero on kuitenkin siinä, että OAuthia käytetään resurssien käyttöoikeuksien valtuuttamiseen ja OIDC:tä käytetään henkilön käyttäjätietojen todentamiseen. Molemmilla on oma roolinsa siinä, että kaksi toisiinsa liittymätöntä sovellusta voivat jakaa tietoja vaarantamatta käyttäjätietoja.

  • OAuth 1.0:n ja OAuth 2.0:n välillä on monia eroja, koska OAuth 2.0 suunniteltiin OAuth 1.0:n perinpohjaiseksi uudeksi versioksi, tehden OAuth 1.0:sta lähes tarpeettoman. OAuth 1.0 kehitettiin vain verkkosivustoja varten, kun taas OAuth 2.0 on suunniteltu sekä sovelluksille että verkkosivustoille. OAuth 2.0 on nopeampi ja helpompi ottaa käyttöön, se on skaalattava ja sillä on kuusi mahdollista valtuutustyönkulkua, kun OAuth 1.0:lla on niitä vain kolme.

Seuraa Microsoft 365:tä