Trace Id is missing
דלג לתוכן הראשי
האבטחה של Microsoft

מהו OAuth?

למד מהו OAuth וכיצד הוא משמש כדי לאשר גישה בין אפליקציות ושירותים מבלי לפגוע במידע רגיש.

הסבר על OAuth

OAuth הוא תקן טכנולוגי המאפשר לך לאשר לאפליקציה אחת או לשירות אחד להיכנס לאפליקציה אחרת מבלי לחשוף מידע פרטי, כגון סיסמאות. אם אי פעם קיבלת הודעה כמו "היכנס באמצעות Facebook?" או "האם לאפשר לאפליקציה זו לגשת לחשבון שלך?" ראית את OAuth בפעולה.

OAuth מייצג Open Authorization - לא authentication (אימות), כפי שלעתים ניתן להניח. אימות הוא תהליך המאמת את זהותך. OAuth כולל את זהותך, אך מטרתו היא להעניק הרשאה להתחבר אליך בצורה חלקה עם אפליקציות ושירותים שונים מבלי לדרוש ממך ליצור חשבון חדש. OAuth מספק את פשטות החוויה בכך שהוא מאפשר לך לאשר לשתי אפליקציות לשתף חלק מהנתונים שלך מבלי לחשוף את האישורים שלך. הוא יוצר איזון בין נוחות לביטחון.

OAuth מתוכנן לפעול עם Hypertext Transfer Protocol (HTTP). הוא משתמש באסימוני גישה כדי להוכיח את זהותך ולאפשר לו לקיים אינטראקציה עם שירות אחר בשמך. במקרה שתהיה דליפת נתונים בשירות שני זה, האישורים שלך בשירות הראשון יישארו בטוחים. OAuth הוא פרוטוקול תקני פתוח שאומץ באופן רחב ורוב המפתחים של אתרי אינטרנט ואפליקציות משתמשים בו.

חשוב לציין ש- OAuth אינו מעניק לאפליקציה או לשירות צד שלישי גישה בלתי מוגבלת לנתונים שלך. חלק מהפרוטוקול מציין לאילו נתונים הספק החיצוני מורשה לגשת ומה הוא יכול לעשות עם נתונים אלה. הגדרת מגבלות אלה והגנה על זהויות באופן כללי הן קריטיות במיוחד בתרחישים עסקיים שבהם לאנשים רבים יש גישה לשפע של מידע רגיש וקנייני.


 

כיצד פועל OAuth?

אסימוני גישה הם מה שהופכים את OAuth למאובטח לשימוש. אסימון גישה הוא פיסת נתונים המכילה מידע אודות המשתמש ואת המשאב שעבורו מיועד האסימון. אסימון יכלול גם כללים ספציפיים לשיתוף נתונים.

לדוגמה, ייתכן שתרצה לשתף תמונות מפרופיל המדיה החברתית שלך עם אפליקציה לעריכת תמונות, אך ברצונך להעניק לה גישה רק לחלק מהתמונות שלך. בנוסף היא גם לא צריכה לגשת להודעות הישירות שלך או לרשימת החברים. האסימון מאשר גישה לנתונים שאתה מאשר בלבד. עשויים גם להיות כללים השולטים במתי האפליקציה יכולה להשתמש באסימון זה – זה יכול להיות לשימוש יחיד או לשימושים חוזרים – ותאריך תפוגה.

תהליך OAuth הוא בעיקר אינטראקציה של מחשב למחשב עם כמה נקודות מגע בלבד עבור המשתמש. בתרחישים מסוימים, ייתכן שלא תצטרך לספק את האישור שלך מאחר שהוא מטופל באופן שקט ברקע על-ידי תוכנה. שתי דוגמאות OAuth לכך יהיו בתרחיש עבודה ארגוני, שבו פלטפורמת זהות מטפלת בחיבורים בין משאבים כדי להפחית את החיכוך של ה- IT עבור מספר רב של משתמשים, או באינטראקציות בין מכשירים חכמים מסוימים.


 

דוגמאות לטכנולוגיה של OAuth

כמו טכנולוגיות רבות שמפשטות משהו מייגע - במקרה הזה, יצירה ידנית של חשבונות במספר אפליקציות - OAuth אומץ כמעט אוניברסלית על-ידי יוצרי אפליקציות. הוא כולל מגוון רחב של מקרי שימוש עבור אנשים ועסקים.

כדי לתת דוגמה אחת של OAuth, נניח שאתה משתמש ב- Microsoft Teams ככלי שיתוף פעולה וברצונך לגשת למידע נוסף על האנשים שאתה עובד איתם, בתוך הארגון ומחוצה לו. אתה מחליט להפוך את שילוב LinkedIn לזמין כדי שתוכל לקבל מידע נוסף על אנשים בזמן שאתה מקיים איתם אינטראקציה, מבלי לצאת מ- Teams. Microsoft ו- LinkedIn ישתמשו ב- OAuth כדי לאשר את הקישור של החשבונות שלך לזהות Microsoft שלך.

תרחיש אחר באמצעות OAuth היה אם היית מוריד אפליקציית תקציב כדי לעזור לך לעקוב אחר ההוצאות שלך באמצעות התראות ועזרים חזותיים, כגון גרפים. כדי לבצע את עבודתה, האפליקציה זקוקה לגישה לחלק מנתוני הבנקאות שלך. באפשרותך ליזום בקשה לקשר את חשבון הבנק שלך לאפליקציה, ולאשר גישה רק ליתרת החשבון ולעסקאות שלך. האפליקציה והבנק שלך ישתמשו ב- OAuth כדי לבצע חילופי מידע אלה בשמך מבלי לחשוף את אישורי הכניסה שלך לבנק לאפליקציה.

דוגמה נוספת ל-OAuth תהיה אם היית מפתח המשתמש ב- GitHub ולמדת שיש אפליקציה של צד שלישי זמינה שיכולה להשתלב עם החשבון שלך כדי לבצע ביקורות אוטומטיות של קוד. עבור אל GitHub Marketplace והורד את האפליקציה. לאחר מכן, תתבקש ממך לאשר חיבור עם האפליקציה באמצעות זהות ה- GitHub שלך - תהליך שיטופל באמצעות OAuth. לאחר מכן, אפליקציית הסקירה תוכל לגשת לקוד שלך מבלי שתצטרך להיכנס לשני השירותים בכל פעם.

מה ההבדל בין OAuth 1.0 ל- OAuth 2.0?

ה- OAuth 1.0 המקורי פותח רק עבור אתרי אינטרנט. הוא אינו נמצא בשימוש נרחב כיום מכיוון ש- OAuth 2.0 מיועד לאפליקציות וגם לאתרי אינטרנט, בנוסף, הוא מהיר יותר וקל יותר ליישום. OAuth 1.0 אינו מדרגי כמו OAuth 2.0, והוא כולל רק שלוש זרימות הרשאה אפשריות בהשוואה לשש עם OAuth 2.0.

אם אתה מתכנן להשתמש ב- OAuth, מומלץ להשתמש בגירסה 2.0 תחילה. למרבה הצער, לא ניתן לשדרג את OAuth 1.0 ל- OAuth 2.0. OAuth 2.0 תוכנן להיות עיצוב מחדש רדיקלי של OAuth 1.0 ומספר חברות טכנולוגיה עיקריות תרמו משוב על העיצוב שלו. אתר אינטרנט יכול לתמוך ב- OAuth 1.0 וגם ב- OAuth 2.0, אך כוונת היוצרים היא ש- 2.0 יחליף לחלוטין את 1.0.

OAuth לעומת OIDC

OAuth ו- Open ID Connect (OIDC) הם פרוטוקולים קשורים. הם דומים בכך ששניהם משתתפים במתן גישה לאפליקציה אחת למשאבים של יישום אחר בשמו של משתמש. ההבדל הוא ש- OAuth משמש לצורך הרשאת גישה למשאבים, OIDC משמש לאימות זהות של אדם. לשניהם יש תפקיד בהפיכת שתי אפליקציות לא קשורות לשיתוף מידע מבלי לחשוף את נתוני המשתמש לסכנה.

ספקי זהויות משתמשים בדרך כלל ב- OAuth 2.0 וב- OIDC יחד. OIDC פותח במיוחד כדי לשפר את היכולות של OAuth 2.0 על-ידי הוספת שכבת זהות אליה. מאחר שהוא בנוי על OAuth 2.0‏, OIDC אינו תואם לאחור ל- OAuth 1.0.

 

תחילת העבודה עם OAuth

שימוש ב- OAuth 2.0 עם אתרי האינטרנט והאפליקציות שלך יכול לשפר את חוויות המשתמשים או העובדים שלך באופן דרמטי על-ידי פישוט תהליך אימות הזהויות. כדי להתחיל, יש להשקיע בפתרון ספק זהויות, כגון Microsoft Entra, המגן על משתמשים ונתונים באמצעות אבטחה מוכללת

Microsoft Entra מזהה (לשעבר Azure Active Directory) תומך בכל זרימות OAuth 2.0. מפתחי אפליקציות יכולים להשתמש במזהה כספק אימות מבוסס תקנים כדי לעזור להם לשלב יכולות זהות מודרניות בקנה מידה ארגוני באפליקציות. מנהלי IT יכולים להשתמש בו כדי לשלוט בגישה.

קבל מידע נוסף על האבטחה של Microsoft

  • גלה את Microsoft Entra

    הגן על זהויות ועל גישה מאובטחת בין עננים באמצעות משפחת פתרונות הוליסטית.

    למידע נוסף

  • Microsoft Entra מזהה (לשעבר Azure Active Directory)

    הגן על גישה למשאבים ונתונים באמצעות אימות חזק וגישה מסתגלת מבוססת סיכון.

    למידע נוסף

  • בסס אמון באפליקציות שלך

    יישם SSO כדי שהעובדים יוכלו לגשת לכל המשאבים הדרושים להם באמצעות אישור אחד.

    למידע נוסף

  • פשט חוויות כניסה

    יישם SSO כדי שהעובדים יוכלו לגשת לכל המשאבים הדרושים להם באמצעות אישור אחד.

    למידע נוסף

  • הגנה מפני מתקפות

    השתמש באימות רב-גורמי כדי לשפר את ההגנה עבור משאבי הארגון שלך.

    למידע נוסף

  • השתמש ב- OAuth כדי לפשט את הגישה לנתוני דואר אלקטרוני

    למד כיצד לאמת חיבורים ליישומים באמצעות פרוטוקולים מדור קודם.

    המשך לקרוא

 

 

שאלות נפוצות

  • ראשי התיבות של OAuth הן Open Authorization והוא תקן טכנולוגי המאפשר לך לאשר לאפליקציה אחת או לשירות אחד להיכנס לאחרים מבלי לחשוף מידע פרטי, כגון סיסמאות. כאשר אפליקציה מבקשת ממך הרשאה לראות את פרטי הפרופיל שלך – היא משתמשת ב- OAuth.

  • OAuth פועל על-ידי החלפת אסימוני גישה – פיסות נתונים המכילות מידע אודות המשתמש והמקור שעבורו מיועד האסימון. אפליקציה אחת או אתר אחד מחליפים מידע מוצפן עם אחר על משתמש וכולל כללים ספציפיים לשיתוף נתונים. ייתכנו גם כללים המסדירים מתי האפליקציה יכולה להשתמש באסימון זה ותאריך תפוגה. תהליך OAuth הוא בעיקר אינטראקציה של מחשב למחשב עם כמה נקודות מגע בלבד עבור המשתמש, אם יש

  • חברות רבות משתמשות ב- OAuth כדי לפשט את הגישה לאפליקציות ולאתרי אינטרנט של ספקים חיצוניים מבלי לחשוף את הסיסמאות של המשתמשים או נתונים רגישים. Google‏, Amazon‏, Microsoft‏, Facebook ו- Twitter משתמשות בו כדי לשתף מידע על החשבונות שלהן למגוון רחב של מטרות, כולל רכישות פשוטות יותר. פלטפורמת הזהויות של Microsoft משתמשת ב- OAuth כדי לאשר הרשאות עבור חשבונות בעבודה ובבית ספר, חשבונות אישיים, חשבונות חברתיים וחשבונות משחקים.

  • OAuth ו- Open ID Connect (OIDC) הם פרוטוקולים קשורים. הם דומים בכך ששניהם משתתפים במתן גישה לאפליקציה אחת למשאבים של יישום אחר בשמו של משתמש. עם זאת, ההבדל הוא ש- OAuth משמש למתן הרשאה לגשת למשאבים בזמן ש- OIDC משמש לאימות זהות של אדם. לשניהם תפקיד בהפעלת שתי אפליקציות לא קשורות לשיתוף מידע מבלי לפגוע בנתוני המשתמש.

  • ישנם הבדלים רבים בין OAuth 1.0 ל- OAuth 2.0 מכיוון ש- OAuth 2.0 תוכנן להיות עיצוב מחדש קיצוני של OAuth 1.0, מה שהופך אותו לכמעט מיושן. OAuth 1.0 פותח רק עבור אתרי אינטרנט, בעוד ש- OAuth 2.0 מיועד לאפליקציות וגם לאתרי אינטרנט. OAuth 2.0 מהיר יותר וקל יותר ליישום, יכול לשנות את קנה המידה שלו, והוא כולל שש זרימות הרשאה אפשריות בהשוואה לשלושה שיש ל- OAuth 1.0.

עקוב אחר Microsoft 365