Trace Id is missing
Pereiti prie pagrindinio turinio
„Microsoft“ sauga

Kas yra OIDC?

Sužinokite apie „OpenID Connect (OIDC) – autentifikavimo protokolą, kuris tikrina vartotojų tapatybes, kai jie prisijungia, kad pasiektų skaitmeninius išteklius.

„OpenID Connect“ (OIDC) apibrėžimas

„OpenID Connect“ (OIDC) yra tapatybės autentifikavimo protokolas, kuris yra „Open Authorization“ („OAuth“) 2.0 plėtinys, skirtas standartizuoti vartotojų autentifikavimo ir įgaliojimo procesą, kai jie prisijungia norėdami pasiekti skaitmenines tarnybas. OIDC teikia autentifikavimą, o tai reiškia, kad tikrinama, ar vartotojai yra tie, kuriais sakosi esą. „OAuth“ 2.0 įgalioja, kurias sistemas šiems vartotojams leidžiama pasiekti. „OAuth“ 2.0 paprastai naudojama norint įgalinti dvi nesusijusias programas bendrinti informaciją nesukeliant grėsmės vartotojo duomenims. Pvz., daugelis žmonių užuot sukūrę naują vartotojo vardą ir slaptažodį prisijungimui prie trečiosios šalies svetainės naudoja savo el. pašto arba socialinės medijos paskyras. OIDC taip pat naudojamas bendrajai autentifikacijai teikti. Organizacijos gali naudoti saugią identifikavimo ir prieigos valdymo (IAM) sistemą, pvz., „Microsoft Entra ID“ (anksčiau – „Azure Active Directory“) kaip pirminį tapatybių autentifikavimą ir tada naudoti OIDC, kad perduotų tą autentifikavimą kitoms programėlėms. Tokiu būdu vartotojams tereikia vieną kartą prisijungti vienu vartotojo vardu ir slaptažodžiu, kad galėtų pasiekti kelias programėles.

 

 

Pagrindiniai OIDC komponentai

Yra šeši pagrindiniai OIDC komponentai:

  • autentifikavimas – tikrinimo, ar vartotojas yra tas, kuo sakosi esąs, procesas.

  • Klientas yra programinė įranga, pvz., svetainė arba programa, kuri prašo atpažinimo ženklų, naudojamų autentifikuoti vartotoją arba pasiekti išteklių.

  • Patikimumo tikrinimo subjektai yra programos, kurios naudoja „OpenID“ teikėjus vartotojams autentifikuoti.  

  • Tapatybės atpažinimo ženklai – juose yra tapatybės duomenys, įskaitant autentifikavimo proceso rezultatus, vartotojo identifikatorių ir informaciją apie tai, kaip ir kada vartotojas yra autentifikuotas. 

  • „OpenID“ teikėjai yra programos, kurių paskyrą vartotojas jau turi. Jų OIDC vaidmuo yra autentifikuoti vartotoją ir perduoti tą informaciją patikimumo tikrinimo subjektui.

  • Vartotojai yra pasiekti programą nekurdami naujos paskyros arba nepateikdami vartotojo vardo ir slaptažodžio bandantys žmonės arba tarnybos. 

 

Kaip veikia OIDC autentifikavimas?

OIDC autentifikavimas leidžia vartotojams prisijungti prie vienos programos ir gauti prieigą prie kitos. Pavyzdžiui, norėdamas sukurti paskyrą naujienų svetainėje vartotojas gali turėti galimybę naudoti „Facebook“ savo paskyrai sukurti, o ne kurti naują paskyrą. Jei jis pasirenka „Facebook“, tuomet jis naudoja OIDC autentifikavimą. „Facebook“, kuri vadinama „OpenID“ teikėju, apdoroja autentifikavimo procesą ir gauna vartotojo sutikimą naujienų svetainei, kuri yra patikimumo tikrinimo subjektas, pateikti konkrečią informaciją, pvz., vartotojo profilį. 

ID atpažinimo ženklai 

„OpenID“ teikėjas naudoja ID atpažinimo ženklus, kad perduotų autentifikavimo rezultatus ir visą reikiamą informaciją patikimumo tikrinimo subjektui. Siunčiamų duomenų tipo pavyzdžiai yra: ID, el. pašto adresas ir vardas.

Aprėptys

Aprėptys apibrėžia, ką vartotojas gali daryti su savo prieiga. OIDC pateikia standartines aprėptis, kurios apibrėžia tokius dalykus kaip patikimumo tikrinimo subjektą, kuriam buvo sugeneruotas atpažinimo ženklas, atpažinimo ženklo sugeneravimo laiką, atpažinimo ženklo galiojimo pabaigos laiką ir vartotojui autentifikuoti naudojamo šifravimo stiprumą. 

Įprastą OIDC autentifikavimo procesą sudaro šie veiksmai:

  1. vartotojas eina į programą, kurią nori pasiekti (patikimumo tikrinimo subjektą).
  2. Vartotojas įveda savo vartotojo vardą ir slaptažodį.
  3. Patikimumo tikrinimo subjektas siunčia užklausą „OpenID“ teikėjui.
  4. „OpenID“ teikėjas patvirtina vartotojo kredencialus ir gauna įgaliojimą.
  5. „OpenID“ teikėjas siunčia tapatybės atpažinimo ženklą ir, dažnai, prieigos atpažinimo ženklą patikimumo tikrinimo subjektui.
  6. Patikimumo tikrinimo subjektas siunčia prieigos atpažinimo ženklą į vartotojo įrenginį.
  7. Vartotojui suteikiama prieiga pagal informaciją, pateiktą prieigos atpažinimo ženkle ir patikimumo tikrinimo subjekte. 

Kas yra OIDC srautai?

OIDC srautai apibrėžia, kaip prašoma atpažinimo ženklų ir kaip jie pristatomi patikimumo tikrinimo subjektui. Štai keli pavyzdžiai:

  • OIDC įgaliojimo srautai: „OpenID“ teikėjas siunčia unikalų kodą patikimumo tikrinimo subjektui. Patikimumo tikrinimo subjektas siunčia unikalų kodą atgal „OpenID“ teikėjui ir gauna atpažinimo ženklą. Šis metodas naudojamas, kad „OpenID“ teikėjas galėtų patikrinti patikimumo tikrinimo subjektą prieš siųsdamas atpažinimo ženklą. Naudojant šį metodą naršyklė negali matyti atpažinimo ženklo ir tai padeda jį apsaugoti.

  • OIDC įgaliojimo srautai su PKCE plėtiniu: šis srautas yra toks pat kaip OIDC įgaliojimo srautas, išskyrus tai, kad jis naudoja kodų mainų viešojo rakto (PKCE) plėtinį ryšiams kaip pranešimo suvestinei siųsti. Tai sumažina tikimybę, kad atpažinimo ženklas bus perimtas.

  • Kliento kredencialai: šis srautas suteikia prieigą prie žiniatinklio API naudojant pačios programos tapatybę. Paprastai jis naudojamas ryšiui tarp dviejų serverių ir automatizuotiems scenarijams, kuriems nereikia vartotojo sąveikos.

  • Įrenginio kodas: šis srautas leidžia vartotojams prisijungti ir pasiekti žiniatinkliu pagrįstas API prie interneto prijungtuose naršyklių neturinčiuose arba prastas klaviatūros funkcijas turinčiuose įrenginiuose, pvz., išmaniajame televizoriuje. 

Papildomi srautai, pvz., naršyklėmis pagrįstoms programoms skirtas OIDC netiesioginis srautas, nerekomenduojami, nes jie kelia grėsmę saugai.

OIDC ir „OAuth“ 2.0

OIDC buvo sukurtas papildomai prie „OAuth“ 2.0, kad būtų galima įtraukti autentifikavimą. Pirmiausia buvo sukurtas „OAuth“ 2.0 protokolas, tada siekiant padidinti jo galimybes buvo įtrauktas OIDC. Šie du protokolai skiriasi tuo, kad „OAuth“ 2.0 teikia įgaliojimą, o OIDC – autentifikavimą. Būtent „OAuth“ 2.0 leidžia vartotojams naudojant savo paskyrą su „OpenID“ teikėju gauti prieigą prie patikimumo tikrinimo subjekto, o OIDC leidžia „OpenID“ teikėjui perduoti vartotojo profilį patikimumo tikrinimo subjektui. OIDC taip pat leidžia organizacijoms pasiūlyti savo vartotojams bendrąją autentifikaciją.

 

 

OIDC autentifikavimo pranašumai

Sumažindamas paskyrų, kurių vartotojams reikia norint pasiekti programas, skaičių, OIDC asmenims ir organizacijoms suteikia keletą pranašumų:

  • Sumažėja pavogtų slaptažodžių rizika

    Kai žmonėms reikia naudoti kelis slaptažodžius, kad galėtų naudotis darbui ir asmeniniam gyvenimui reikalingomis programėlėmis, jie dažnai pasirenka lengvai įsimenamus slaptažodžius, pvz., „Slaptazodis1234!“, ir tą patį slaptažodį naudoja keliose paskyrose. Tai padidina riziką, kad piktavalis veikėjas atspės slaptažodį. O sužinojęs vienos paskyros slaptažodį galės pasiekti ir kitas paskyras. Sumažinus slaptažodžių, kuriuos asmuo turi įsiminti, skaičių, padidėja tikimybė, kad bus naudojamas sudėtingesnis ir saugesnis slaptažodis.

  • Pagerėja saugos valdikliai

    Centralizuodamos autentifikavimą vienoje programoje, organizacijos kartu gali apsaugoti prieigą prie kelių programų, naudodamos griežtus prieigos valdiklius. OIDC palaiko dviejų dalių ir kelių dalių autentifikavimą, pagal kurį privaloma, kad žmonės patvirtintų savo tapatybę panaudodami bent du iš šių elementų:

    • ką nors, ką žino vartotojas, įprastai – slaptažodį.

    • Turimą patikimą įrenginį ar atpažinimo ženklą, kuris nėra lengvai dubliuojamas. 

    • Biometrinius duomenis, pvz., pirštų atspaudus ar veido nuskaitymą.

    Kelių dalių autentifikavimas yra patvirtintas būdas sumažinti įsilaužimo į paskyrą pavojų. Organizacijos taip pat gali naudoti OIDC, kad pritaikytų kitas saugos priemones, pvz., privilegijuotąjį prieigos valdymą, apsaugą slaptažodžiu, prisijungimo saugąarba tapatybės apsaugą keliose programose. 

  • Supaprastina vartotojo patirtį

    Prisijungimas prie kelių paskyrų per dieną gali užimti daug laiko ir erzinti žmones. Be to, pametus arba pamiršus slaptažodį, naujo slaptažodžio nustatymas gali dar labiau sutrikdyti produktyvumą. OIDC naudojančios įmonės, kurios savo darbuotojams suteikia bendrąją autentifikaciją, padeda užtikrinti, kad darbuotojai daugiau laiko skirtų produktyviam darbui, o ne bandymams gauti prieigą prie programų. Organizacijos taip pat tiki, kad labiau tikėtina, jog klientai prisiregistruos ir naudos jų paslaugas, jei organizacijos leis asmenims prisijungti naudojant savo „Microsoft“, „Facebook“ arba „Google“ paskyrą. 

  • Standartizuoja autentifikavimą

    „OpenID Foundation“, kuris apima tokius garsius prekių ženklus kaip „Microsoft“ ir „Google“, sukūrė OIDC. Jis sukurtas taip, kad veikia sąveikaujančiai ir palaiko daugelį platformų ir bibliotekų, įskaitant „iOS“, „Android“, „Microsoft Windows“ ir pagrindinius debesies bei tapatybės teikėjus.

  • Supaprastina tapatybės valdymą

    Organizacijos, kurios naudoja OIDC, kad teiktų bendrąją autentifikaciją savo darbuotojams ir partneriams, gali sumažinti tapatybės valdymo sprendimų, kuriuos jos turi valdyti, skaičių. Tai padeda lengviau stebėti besikeičiančias teises ir leidžia administratoriams naudoti vieną sąsają prieigos strategijoms ir taisyklėms taikyti keliose programose. OIDC naudojančios įmonės, leidžiančios žmonėms prisijungti prie savo programų naudojant „OpenID“ teikėją, apskritai sumažina tapatybių, kurias joms reikia valdyti, skaičių. 

OIDC pavyzdžiai ir naudojimo atvejai

Daugelis organizacijų naudoja OIDC, kad įgalintų saugų autentifikavimą žiniatinklio ir mobiliųjų įrenginių programėlėse. Štai keli pavyzdžiai:

  • kai vartotojas prisiregistruoja gauti „Spotify“ paskyrą, jam siūlomi trys pasirinkimai: prisiregistruoti naudojant „Facebook“, prisiregistruoti naudojant „Google“, prisiregistruoti naudojant savo el. pašto adresą. Vartotojai, kurie pasirenka prisiregistruoti naudojant „Facebook“ arba „Google“, paskyrai sukurti naudoja OIDC. Tokie vartotojai bus nukreipti į jų pasirinktą „OpenID“ teikėją („Google“ arba „Facebook“) ir kai jie prisijungs, „OpenID“ teikėjas nusiųs „Spotify“ pagrindinę profilio informaciją. Vartotojui nereikia kurti naujos „Spotify“ paskyros ir slaptažodžiai lieka apsaugoti.

  • „LinkedIn“ taip pat suteikia galimybę vartotojams sukurti paskyrą naudojant savo „Google“ paskyrą, o ne sukurti atskirą „LinkedIn“ paskyrą. 

  • Įmonė nori suteikti bendrąją autentifikaciją darbuotojams, kuriems darbui atlikti reikia prieigos prie „Microsoft Office 365“, „Salesforce“, „Box“ ir „Workday“. Užuot reikalavusi darbuotojams susikurti atskiras paskyras kiekvienai iš šių programų, įmonė naudoja OIDC, kad suteiktų prieigą prie visų keturių. Darbuotojai sukuria vieną paskyrą ir kiekvieną kartą prisijungę gauna prieigą prie visų programų, kurių jiems reikia darbui.  

Įdiekite OIDC, kad autentifikavimas būtų saugus

OIDC suteikia autentifikavimo protokolą, skirtą supaprastinti vartotojų prisijungimo funkciją ir pagerinti saugą. Tai – puikus sprendimas įmonėms, kurios nori paskatinti klientus prisiregistruoti naudoti jų paslaugas ir neapsikrauti paskyrų valdymu. OIDC taip pat suteikia organizacijoms galimybę pasiūlyti savo darbuotojams ir kitiems vartotojams užtikrinti kelių programų bendrąją autentifikaciją. Organizacijos gali naudoti OIDC palaikančius tapatybės ir prieigos sprendimus, pvz., „Microsoft Entra“, visoms savo tapatybėms ir autentifikavimo saugos strategijoms tvarkyti vienoje vietoje.

   

 

Sužinokite daugiau apie „Microsoft“ saugą

Dažnai užduodami klausimai

  • OIDC yra kartu su „OAuth“ 2.0 veikiantis tapatybės autentifikavimo protokolas, skirtas standartizuoti vartotojų autentifikavimo ir įgaliojimo procesą, kai jie prisijungia norėdami pasiekti skaitmenines tarnybas. OIDC teikia autentifikavimą, o tai reiškia, kad tikrinama, ar vartotojai yra tie, kuriais sakosi esą. „OAuth“ 2.0 įgalioja, kurias sistemas šiems vartotojams leidžiama pasiekti. OIDC ir „OAuth“ 2.0 paprastai naudojami norint įgalinti dvi nesusijusias programas bendrinti informaciją nesukeliant grėsmės vartotojo duomenims. 

  • OIDC ir saugos patvirtinimo aprašų kalba (SAML) yra tapatybės autentifikavimo protokolai, leidžiantys vartotojams saugiai prisijungus vieną kartą pasiekti kelias programas. SAML yra senesnis protokolas, kuris plačiai pritaikytas bendrajai autentifikacijai. Jis perduoda duomenis naudodamas XML formatą. OIDC yra naujesnis protokolas, kuris vartotojo duomenims perduoti naudoja JSON formatą. OIDC tampa vis populiaresnis, nes yra lengviau įdiegiamas nei SAML ir geriau veikia su mobiliųjų įrenginių programomis.

  • OIDC reiškia „OpenID Connect“ protokolą, kuris yra tapatybės autentifikavimo protokolas, naudojamas norint leisti dviem nesusijusioms programoms bendrinti vartotojo profilio informaciją nekeliant pavojaus vartotojo kredencialams.

  • OIDC buvo sukurtas papildomai prie „OAuth“ 2.0, kad būtų galima įtraukti autentifikavimą. Pirmiausia buvo sukurtas „OAuth“ 2.0 protokolas, tada siekiant padidinti jo galimybes buvo įtrauktas OIDC. Šie du protokolai skiriasi tuo, kad „OAuth“ 2.0 teikia įgaliojimą, o OIDC – autentifikavimą. Būtent „OAuth“ 2.0 leidžia vartotojams naudojant savo paskyrą su „OpenID“ teikėju gauti prieigą prie patikimumo tikrinimo subjekto, o OIDC leidžia „OpenID“ teikėjui perduoti vartotojo profilį patikimumo tikrinimo subjektui. Ši funkcija taip pat leidžia organizacijoms pasiūlyti savo vartotojams bendrąją autentifikaciją. „OAuth“ 2.0 ir OIDC srautai yra panašūs, tik juose naudojama šiek tiek skirtinga terminologija. 

    Įprastą „OAuth“ 2.0 srautą sudaro šie veiksmai:

    1. vartotojas eina į programą, kurią nori pasiekti (ištekliaus serverį).
    2. Išteklių serveris nukreipia vartotoją į programą, kurioje vartotojas turi paskyrą (klientas).
    3. Vartotojas prisijungia naudodamas kliento kredencialus.
    4. Klientas patikrina vartotojo prieigą.
    5. Klientas siunčia prieigos atpažinimo ženklą į išteklių serverį.
    6. Išteklių serveris suteikia vartotojui prieigą.

    Įprastą OIDC srautą sudaro šie veiksmai:

    1. vartotojas eina į programą, kurią nori pasiekti (patikimumo tikrinimo subjektą).
    2. Vartotojas įveda savo vartotojo vardą ir slaptažodį.
    3. Patikimumo tikrinimo subjektas siunčia užklausą „OpenID“ teikėjui.
    4. „OpenID“ teikėjas patvirtina vartotojo kredencialus ir gauna įgaliojimą.
    5. „OpenID“ teikėjas siunčia tapatybės atpažinimo ženklą ir, dažnai, prieigos atpažinimo ženklą patikimumo tikrinimo subjektui.
    6. Patikimumo tikrinimo subjektas siunčia prieigos atpažinimo ženklą į vartotojo įrenginį.
    7. Vartotojui suteikiama prieiga pagal informaciją, pateiktą prieigos atpažinimo ženkle ir patikimumo tikrinimo subjekte. 

  • „OpenID“ teikėjas naudoja ID atpažinimo ženklus, kad perduotų autentifikavimo rezultatus ir visą reikiamą informaciją patikimumo tikrinimo subjekto programai. Siunčiamų duomenų tipo pavyzdžiai yra: ID, el. pašto adresas ir vardas.

Sekite „Microsoft 365“