This is the Trace Id: 8e4411d86b8a96e19e0e6c22b495b2f3
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mi az OIDC?

Ismerje meg a OpenID Connect (OIDC) hitelesítési protokollt, amely ellenőrzi a felhasználói identitásokat, amikor bejelentkeznek a digitális erőforrások eléréséhez.

Az OpenID Connect (OIDC) definíciója

A OpenID Connect (OIDC) egy identitáshitelesítési protokoll, az Open Authorization (OAuth) 2.0 kiterjesztése, amely szabványosítja a felhasználók hitelesítésének és engedélyezésének folyamatát, amikor bejelentkeznek a digitális szolgáltatások eléréséhez. Az OIDC hitelesítést biztosít, azaz ellenőrzi, hogy a felhasználók azok-e, akiknek mondják magukat. Az OAuth 2.0 engedélyezi, hogy ezek a felhasználók mely rendszerekhez férhetnek hozzá. Az OAuth 2.0-t általában arra használják, hogy lehetővé tegye két nem kapcsolódó alkalmazás számára az információk megosztását a felhasználói adatok veszélyeztetése nélkül. Sokan például az e-mail- vagy közösségimédia-fiókjukkal jelentkeznek be egy külső webhelyre, és nem hoznak létre új felhasználónevet és jelszót. Az OIDC egyszeri bejelentkezés biztosítására is használható. A szervezetek egy biztonságos identitás- és hozzáférés-kezelési (IAM) rendszert használhatnak, például Microsoft Entra ID-t (korábban Azure Active Directory) az identitások elsődleges hitelesítőjeként, majd az OIDC használatával továbbíthatják ezt a hitelesítést más alkalmazásoknak. Így a felhasználóknak csak egyszer kell bejelentkezniük egy felhasználónévvel és jelszóval több alkalmazás eléréséhez.

 

 

Az OIDC fő összetevői

Az OIDC hat elsődleges összetevőt tartalmaz:

  • Hitelesítés – a felhasználó személyazonosságának ellenőrzése.

  • Ügyfél – az a szoftver, például webhely vagy alkalmazás, amely jogkivonatokat kér egy felhasználó hitelesítéséhez vagy egy erőforráshoz való hozzáféréshez.

  • Jogcímfelhasználók – azok az alkalmazások, amelyek OpenID-szolgáltatókat használnak a felhasználók hitelesítéséhez.  

  • Identitástokenek – olyan identitásadatokat tartalmaznak, mint a hitelesítési folyamat eredménye, a felhasználó azonosítója, valamint a felhasználó hitelesítésének módjára és időpontjára vonatkozó információk. 

  • OpenID-szolgáltatók – azok az alkalmazások, amelyekhez a felhasználónak már van fiókja. Az OIDC-ben az a szerepkörük, hogy hitelesítsék a felhasználót, és továbbadják ezt az információt a jogcímfelhasználónak.

  • Felhasználók – olyan személyek vagy szolgáltatások, akik új fiók létrehozása vagy felhasználónév és jelszó megadása nélkül próbálnak hozzáférni egy alkalmazáshoz. 

 

Hogy működik az OIDC-hitelesítés?

Az OIDC-hitelesítés úgy működik, hogy lehetővé teszi a felhasználóknak, hogy az egyik alkalmazásba bejelentkezve hozzáférést kapjanak egy másikhoz. Ha például egy felhasználó fiókot szeretne létrehozni egy híroldalon, akkor új fiók létrehozása helyett választhatja azt, hogy a Facebookon keresztül hozza létre a fiókját.. Ha a Facebookot választja, OIDC-hitelesítést használ. A Facebook, amely az OpenID-szolgáltató, kezeli a hitelesítési folyamatot, és a felhasználó hozzájárulását kéri bizonyos információk, például egy felhasználói profil átadására a híroldalnak, amely a megbízó fél. 

Azonosító jogkivonatok 

Az OpenID-szolgáltató azonosító jogkivonatokkal továbbítja a hitelesítési eredményeket és a kapcsolódó információkat a jogcímfelhasználó alkalmazásnak. Az elküldött adatok típusa lehet például azonosító, e-mail-cím és név.

Hatókörök

A hatókörök határozzák meg, hogy a felhasználó mit tehet a hozzáférésével. Az OIDC szabványos hatóköröket biztosít, amelyek többek között azt határozzák meg, hogy a jogkivonatot melyik jogcímfelhasználóhoz és mikor hozták létre, mikor jár le, és milyen titkosítási erősség van használatban a felhasználó hitelesítéséhez. 

Egy tipikus OIDC-hitelesítési folyamat a következő lépéseket tartalmazza:

  1. A felhasználó az elérni kívánt (a jogcímfelhasználó) alkalmazásra lép.
  2. A felhasználó beírja a felhasználónevét és a jelszavát.
  3. A jogcímfelhasználó alkalmazás kérést küld az OpenID-szolgáltatónak.
  4. Az OpenID-szolgáltató ellenőrzi a felhasználó hitelesítő adatait, és engedélyt kap.
  5. Az OpenID-szolgáltató identitási jogkivonatot és gyakran hozzáférési jogkivonatot is küld a jogcímfelhasználó alkalmazásnak.
  6. A jogcímfelhasználó alkalmazás elküldi a hozzáférési jogkivonatot a felhasználó eszközére.
  7. A felhasználó a hozzáférési jogkivonatban és a jogcímfelhasználó alkalmazásban megadott információk alapján kap hozzáférést. 

Mik azok az OIDC-folyamatok?

Az OIDC-folyamatok határozzák meg a jogkivonatok kérésének és a jogcímfelhasználónak való kézbesítésének módját. Néhány példa:

  • OIDC engedélyezési folyamatok: Az OpenID-szolgáltató egyedi kódot küld a jogcímfelhasználó alkalmazásnak. A függő entitás ezután visszaküldi az egyedi kódot az OpenID-szolgáltatónak a jogkivonatért cserébe. Ezzel a módszerrel az OpenID-szolgáltató ellenőrizheti a jogcímfelhasználó alkalmazást a jogkivonat elküldése előtt. A böngésző nem látja a jogkivonatot ebben a metódusban, ami segít a biztonság megőrzésében.

  • OIDC engedélyezési folyamatok PKCE-bővítménnyel: Ez a folyamat megegyezik az OIDC engedélyezési folyamatéval, azzal a kivétellel, hogy nyilvános kulcs a kódcseréhez (PKCE) bővítményt használ a kommunikáció kivonatként való elküldéséhez. Ez csökkenti a jogkivonat elfogási esélyét.

  • Ügyfél hitelesítő adatai: Ez a folyamat az alkalmazás identitásának használatával biztosít hozzáférést a webes API-khoz. Általában a kiszolgálók közötti kommunikációhoz és a felhasználói beavatkozást nem igénylő automatizált szkriptekhez használatos.

  • Eszközkód: Ez a folyamat lehetővé teszi a felhasználók számára a bejelentkezést és a webalapú API-k elérését olyan internetkapcsolattal rendelkező eszközökön, például okostévéken, amelyek nem rendelkeznek böngészővel vagy megfelelő billentyűzettel. 

A böngészőalapú alkalmazásokhoz tervezett további folyamatok, például az OIDC implicit folyamat, nem ajánlottak, mert biztonsági kockázatot jelentenek.

OIDC és OAuth 2.0

Az OIDC az OAuth 2.0-ra épülve ad hozzá hitelesítést. Először az OAuth 2.0 protokollt fejlesztették ki, majd kiegészítették azt az OIDC-vel a képességeinek továbbfejlesztéséhez. A kettő között az a különbség, hogy az OAuth 2.0 engedélyezést biztosít, míg az OIDC hitelesítést. Az OAuth 2.0 teszi lehetővé a felhasználók számára, hogy hozzáférést szerezzenek egy jogcímfelhasználóhoz egy OpenID-szolgáltatóhoz tartozó fiókjukkal, és az OIDC teszi lehetővé, hogy az OpenID-szolgáltató továbbítsa a felhasználói profilt a jogcímfelhasználó alkalmazásnak. Az OIDC azt is lehetővé teszi, hogy a szervezetek egyszeri bejelentkezést ajánlhassanak fel a felhasználóknak.

 

 

Az OIDC-hitelesítés előnyei

Az OIDC számos előnyt kínál mind az egyének, mind a szervezetek számára azáltal, hogy csökkenti a felhasználók számára az alkalmazásokhoz való hozzáféréshez szükséges fiókok számát:

Csökkenti a jelszólopások kockázatát

Ha a felhasználóknak több jelszóval kell elérniük a munkájukhoz és a személyes munkájukhoz szükséges alkalmazásokat, gyakran egyszerűen megjegyezhető jelszavakat választanak (például Jelszo1234!), és ugyanazt használják több fiókban is. Ez növeli annak kockázatát, hogy egy rosszindulatú szereplő kitaláljon egy jelszót. Ha pedig már ismeri az egyik fiók jelszavát, más fiókokhoz is hozzáférhet. A megjegyzendő jelszavak számának csökkentésével növeli annak esélyét, hogy erősebb és biztonságosabb jelszót fog használni a felhasználó.

Továbbfejleszti a biztonsági vezérlőket

A hitelesítést egy alkalmazásban központosítva a szervezetek több alkalmazásban is biztonságos hozzáférési környezetet biztosíthatnak erős hozzáférés-vezérléssel. Az OIDC támogatja a kétfaktoros és a többtényezős hitelesítést, amely megköveteli, hogy a felhasználók az alábbiak közül legalább kettőt használva igazolják személyazonosságukat:

  • Valami, amit a felhasználó ismer, általában egy jelszó.

  • Valami, aminek a felhasználó a birtokában van, például egy nem könnyen duplikálható, megbízható eszköz vagy token. 

  • Valami, ami a felhasználó jellemzője, például ujjlenyomat- vagy arcszkennelés.

A többtényezős hitelesítés bevált módszer a fiókfeltörések számának csökkentésére. A szervezetek az OIDC használatával más biztonsági intézkedéseket is alkalmazhatnak, például emelt szintű hozzáférés-kezelést, jelszóvédelmet, bejelentkezési biztonságotvagy identitásvédelmet több alkalmazásra kiterjedően. 

Egyszerűsíti a felhasználói élményt

Több fiókba való bejelentkezés a nap folyamán időigényes és bosszantó lehet az emberek számára. Ha elveszítik vagy elfelejtik a jelszót, annak visszaállítása tovább ronthatja a hatékony munkát. Azok a vállalkozások, amelyek az OIDC-t használják alkalmazottaik egyszeri bejelentkezésének biztosítására, hozzájárulnak ahhoz, hogy a dolgozók több időt tölthessenek produktív munkával, ahelyett, hogy megpróbálják elérni az alkalmazásokat. A szervezetek azzal is növelhetik annak valószínűségét, hogy az ügyfelek regisztrálnak és használják szolgáltatásaikat, ha lehetővé teszik számukra, hogy Microsoft-, Facebook- vagy Google-fiókjukat használják a bejelentkezéshez. 

Szabványosítja a hitelesítést

Az OIDC-t az OpenID Foundation hozta létre, amelyet olyan közismert márkanevek fémjeleznek, mint a Microsoft és a Google. Együttműködésre tervezték, és számos platformot és kódtárat támogat, beleértve az iOS, az Android és a Microsoft Windows rendszert, valamint a főbb felhő- és identitásszolgáltatókat.

Egyszerűsíti az identitáskezelést

Azok a szervezetek, amelyek az OIDC használatával egyszeri bejelentkezést biztosítanak alkalmazottaik és partnereik számára, csökkenthetik a felügyelendő identitáskezelési megoldások számát. Ez megkönnyíti a változó engedélyek nyomon követését, és lehetővé teszi a rendszergazdák számára, hogy egyetlen felületen alkalmazzák a hozzáférési szabályzatokat és szabályokat több alkalmazásra. Azoknak a vállalatoknak, amelyek az OIDC használatával engedélyezik a felhasználóknak, hogy OpenID-szolgáltatóval jelentkezzenek be az alkalmazásaikba, kevesebb identitást kell egyáltalán kezelniük. 

OIDC-példák és használati esetek

Számos szervezet használja az OIDC-t a webes és mobilalkalmazások biztonságos hitelesítésének lehetővé tételére. Lássunk néhány példát:

  • Amikor egy felhasználó Spotify-fiókot regisztrál, három lehetőség közül választhat: Regisztráció Facebook-fiókkal, Regisztráció Google-fiókkal, Regisztráció e-mail címmel. Azok a felhasználók, akik a Facebook- vagy a Google-fiókkal való regisztrációt választják, OIDC-t használnak fiók létrehozásához. A rendszer átirányítja őket a kiválasztott OpenID-szolgáltatóhoz (a Google-hoz vagy a Facebookhoz), majd miután bejelentkeztek, az OpenID-szolgáltató elküldi a Spotify számára az alapszintű profiladataikat. A felhasználónak nem kell új fiókot létrehoznia a Spotify számára, és a jelszavai továbbra is védettek maradnak.

  • A LinkedIn lehetőséget biztosít arra is, hogy a felhasználók a Google-fiókjukat használva hozzanak létre fiókot ahelyett, hogy külön fiókot hoznának létre a LinkedIn számára. 

  • Egy vállalat egyszeri bejelentkezést szeretne biztosítani az olyan alkalmazottaknak, akik a munkájuk elvégzéséhez hozzá kell férniük a Microsoft Office 365-höz, a Salesforce-hoz, a Boxhoz és a Workdayhez. Ahelyett, hogy az alkalmazottaknak külön fiókot kellene létrehozniuk mindegyik alkalmazáshoz, a vállalat az OIDC használatával biztosít hozzáférést mind a négy alkalmazáshoz. Az alkalmazottak létrehoznak egy fiókot, és minden bejelentkezéskor hozzáférést kapnak a munkájukhoz szükséges összes alkalmazáshoz.  

Implementálja az OIDC-t a biztonságos hitelesítéshez

Az OIDC hitelesítési protokollt biztosít a felhasználók bejelentkezési élményének egyszerűsítéséhez és a biztonság fokozásához. Ez kiváló megoldás olyan vállalkozások számára, amelyek a fiókkezeléssel járó gondok nélkül szeretnék az ügyfeleket arra ösztönözni, hogy regisztráljanak szolgáltatásaikra. Emellett lehetővé teszi a szervezetek számára, hogy az alkalmazottaikat és más felhasználókat több alkalmazásba is biztonságosan bejelentkeztethessék. A szervezetek olyan identitás- és hozzáférési megoldásokat használhatnak, például a Microsoft Entrát, amelyek támogatják az OIDC-t, hogy egyetlen helyen kezelhessék az összes identitásukat és hitelesítési biztonsági szabályzatukat.

   

 

További információ a Microsoft Biztonságról

Gyakori kérdések

  • Az OIDC egy identitáshitelesítési protokoll, amely az OAuth 2.0-vel együttműködve szabványosítja a felhasználók hitelesítésének és engedélyezésének folyamatát, amikor bejelentkeznek a digitális szolgáltatások eléréséhez. Az OIDC hitelesítést biztosít, azaz ellenőrzi, hogy a felhasználók azok-e, akiknek mondják magukat. Az OAuth 2.0 engedélyezi, hogy ezek a felhasználók mely rendszerekhez férhetnek hozzá. Az OIDC-t és az OAuth 2.0-t általában arra használják, hogy lehetővé tegye két nem kapcsolódó alkalmazás számára az információk megosztását a felhasználói adatok veszélyeztetése nélkül. 

  • Az OIDC és az SAML olyan identitáshitelesítési protokollok, amelyek lehetővé teszik a felhasználóknak az egyszeri biztonságos bejelentkezést és több alkalmazás elérését. Az SAML egy régebbi protokoll, amely széles körben elterjedt az egyszeri bejelentkezéshez. XML formátumban továbbítja az adatokat. Az OIDC egy újabb protokoll, amely JSON formátumot használ a felhasználói adatok továbbításához. Az OIDC egyre népszerűbb, mert egyszerűbben implementálható, mint az SAML,’és jobban működik a mobilalkalmazásokkal.

  • Az OIDC az OpenID Connect protokollt jelenti, amely egy identitáshitelesítési protokoll, amellyel két nem kapcsolódó alkalmazás oszthatja meg a felhasználói profil adatait a felhasználói hitelesítő adatok veszélyeztetése nélkül.

  • Az OIDC az OAuth 2.0-ra épülve ad hozzá hitelesítést. Először az OAuth 2.0 protokollt fejlesztették ki, majd kiegészítették azt az OIDC-vel a képességeinek továbbfejlesztéséhez. A kettő között az a különbség, hogy az OAuth 2.0 engedélyezést biztosít, míg az OIDC hitelesítést. Az OAuth 2.0 teszi lehetővé a felhasználók számára, hogy hozzáférést szerezzenek egy jogcímfelhasználóhoz egy OpenID-szolgáltatóhoz tartozó fiókjukkal, és az OIDC teszi lehetővé, hogy az OpenID-szolgáltató továbbítsa a felhasználói profilt a jogcímfelhasználó alkalmazásnak. Ez a funkció azt is lehetővé teszi, hogy a szervezetek egyszeri bejelentkezést ajánlhassanak fel a felhasználóknak. Az OAuth 2.0 és az OIDC-folyamatok hasonlóak, kivéve, hogy kissé eltérő terminológiát használnak. 

    Egy tipikus OAuth 2.0-folyamat a következő lépésekkel rendelkezik:

    1. A felhasználó az elérni kívánt alkalmazásra (az erőforrás-kiszolgálóra) lép.
    2. Az erőforrás-kiszolgáló átirányítja a felhasználót arra az alkalmazásra, amelyben van fiókja (az ügyfélre).
    3. A felhasználó a hitelesítő adataival jelentkezik be az ügyfélbe.
    4. Az ügyfél ellenőrzi a felhasználó hozzáférését.
    5. Az ügyfél hozzáférési jogkivonatot küld az erőforrás-kiszolgálónak.
    6. Az erőforrás-kiszolgáló hozzáférést biztosít a felhasználónak.

    Egy tipikus OIDC-folyamat a következő lépésekkel rendelkezik:

    1. A felhasználó az elérni kívánt (a jogcímfelhasználó) alkalmazásra lép.
    2. A felhasználó beírja a felhasználónevét és a jelszavát.
    3. A jogcímfelhasználó alkalmazás kérést küld az OpenID-szolgáltatónak.
    4. Az OpenID-szolgáltató ellenőrzi a felhasználó hitelesítő adatait, és engedélyt kap.
    5. Az OpenID-szolgáltató identitási jogkivonatot és gyakran hozzáférési jogkivonatot is küld a jogcímfelhasználó alkalmazásnak.
    6. A jogcímfelhasználó alkalmazás elküldi a hozzáférési jogkivonatot a felhasználó eszközére.
    7. A felhasználó a hozzáférési jogkivonatban és a jogcímfelhasználó alkalmazásban megadott információk alapján kap hozzáférést. 

  • Az OpenID-szolgáltató azonosító jogkivonatokkal továbbítja a hitelesítési eredményeket és a kapcsolódó információkat a jogcímfelhasználó alkalmazásnak. Az elküldött adatok típusa lehet például azonosító, e-mail-cím és név.

A Microsoft Biztonság követése