This is the Trace Id: 41e123f70e2b7f7436e944bc4a15fcb2
Pāriet uz galveno saturu
Microsoft drošība

Kas ir OIDC?

Uzziniet par OpenID Connect (OIDC) — autentifikācijas protokolu, kas verificē lietotāju identitātes, kad viņi pierakstās, lai piekļūtu digitālajiem resursiem.

Definēts OpenID Connect (OIDC)

OpenID Connect (OIDC) ir identitātes autentifikācijas protokols, kas ir atvērtas autorizācijas (OAuth) 2.0 paplašinājums, lai standartizētu autentificēšanas un autorizācijas procesu lietotājiem, kad viņi pierakstās, lai piekļūtu digitālajiem pakalpojumiem. OIDC nodrošina autentifikāciju, kas nozīmē verificēt, vai lietotāji ir tie, par kuriem viņi uzdodas. OAuth 2.0 pilnvaro, kurām sistēmām šie lietotāji drīkst piekļūt. OAuth 2.0 parasti tiek izmantots, lai iespējotu divas nesaistītas programmas informācijas koplietošanai, neapdraudot lietotāju datus. Piemēram, daudzi lietotāji izmanto savu e-pasta vai sociālo tīklu kontus, lai pierakstītos trešās puses vietnē, nevis izveidotu jaunu lietotājvārdu un paroli. OIDC tiek izmantots arī, lai nodrošinātu vienoto pierakstīšanos. Organizācijas var izmantot drošu identitāšu un piekļuves pārvaldības (IAM) sistēmu, piemēram, Microsoft Entra ID (iepriekš Azure Active Directory), kā identitāšu primāro autentificētāju, un pēc tam izmantot OIDC, lai šo autentifikāciju nodotu citām programmām. Tādējādi lietotājiem ir jāpierakstās tikai vienreiz ar vienu lietotājvārdu un paroli, lai piekļūtu vairākām programmām.

 

 

OIDC galvenie komponenti

OIDC ir seši primārie komponenti:

  • Autentifikācija ir process, kurā tiek verificēts, vai lietotājs ir tas, par ko viņš uzdodas.

  • Klients ir programmatūra, piemēram, tīmekļa vietne vai programma, kas pieprasa marķierus, kas tiek izmantoti, lai autentificētu lietotāju vai piekļuvi resursam.

  • Uzticamās puses ir programmas, kas izmanto OpenID nodrošinātājus, lai autentificētu lietotājus.  

  • Identitātes marķieri satur identitātes datus, tostarp autentifikācijas procesa rezultātus, lietotāja identifikatoru un informāciju par to, kā un kad lietotājs ir autentificēts. 

  • OpenID nodrošinātāji ir programmas, kurām lietotājam jau ir konts. To loma pakalpojumā OIDC ir autentificēt lietotāju un nodot šo informāciju uzticamajai pusei.

  • Lietotāji ir personas vai pakalpojumi, kas mēģina piekļūt programmai, neizveidojot jaunu kontu un nenorādot lietotājvārdu un paroli. 

 

Kā darbojas OIDC autentifikācija?

OIDC autentifikācija darbojas, ļaujot lietotājiem pierakstīties vienā programmā un saņemt piekļuvi citai. Piemēram, ja lietotājs vēlas izveidot kontu jaunumu vietnē, lietotājam var būt iespēja izmantot Facebook, lai izveidotu savu kontu, nevis veidotu jaunu kontu. Ja lietotājs izvēlas Facebook, viņš izmanto OIDC autentifikāciju. Facebook, kas tiek dēvēts par OpenID nodrošinātāju, apstrādā autentifikācijas procesu un iegūst lietotāja piekrišanu sniegt konkrētu informāciju, piemēram, lietotāja profilu, jaunumu vietnei, kas ir uzticamā puse. 

ID marķieri 

OpenID nodrošinātājs izmanto ID marķierus, lai pārsūtītu autentifikācijas rezultātus un visu vajadzīgo informāciju uzticamajai pusei. Nosūtīto datu tipa piemēri ir ID, e-pasta adrese un vārds.

Tvērumi

Tvērumi definē, ko lietotājs var darīt ar savu piekļuvi. OIDC nodrošina standarta tvērumus, kas definē tādas lietas kā uzticamo pusi, kurai tika ģenerēta pilnvara, marķiera ģenerēšanas laiku, marķiera derīguma termiņu un izmantoto šifrēšanas stiprumu, lai autentificētu lietotāju. 

Tipisks OIDC autentifikācijas process ietver tālāk norādītās darbības:

  1. Lietotājs dodas uz programmu, kurai vēlas piekļūt (uzticamā puse).
  2. Lietotājs ieraksta savu lietotājvārdu un paroli.
  3. Uzticamā puse nosūta pieprasījumu OpenID nodrošinātājam.
  4. OpenID nodrošinātājs validē lietotāja akreditācijas datus un iegūst autorizāciju.
  5. OpenID nodrošinātājs nosūta identitātes marķieri un bieži vien piekļuves pilnvaru uzticamajai pusei.
  6. Uzticamā puse nosūta piekļuves pilnvaru uz lietotāja ierīci.
  7. Lietotājam tiek piešķirta piekļuve, pamatojoties uz piekļuves pilnvarā sniegto informāciju un uzticamo pusi. 

Kas ir OIDC plūsmas?

OIDC plūsmas definē, kā marķierus pieprasa un piegādā uzticamajai pusei. Daži piemēri:

  • OIDC autorizācijas plūsmas: OpenID nodrošinātājs uzticamajai pusei nosūta unikālu kodu. Uzticamā puse pēc tam nosūta unikālo kodu atpakaļ OpenID nodrošinātājam apmaiņā pret marķieri. Šī metode tiek izmantota, lai OpenID nodrošinātājs pirms marķiera nosūtīšanas varētu verificēt uzticamo pusi. Pārlūkprogramma nevar redzēt marķieri šajā metodē, kas palīdz to uzturēt drošu.

  • OIDC autorizācijas plūsmas ar PKCE paplašinājumu: šī plūsma ir tāda pati kā OIDC autorizācijas plūsma, izņemot to, ka tā izmanto publisko atslēgu kodu apmaiņas (PKCE) paplašinājumam, lai sūtītu saziņu kā jaukšanu. Tas samazina iespēju, ka marķieris tiks pārtverts.

  • Klienta akreditācijas dati: šī plūsma nodrošina piekļuvi tīmekļa API, izmantojot pašas programmas identitāti. Parasti to izmanto saziņai starp serveriem un automatizētiem skriptiem, kam nav nepieciešama lietotāja mijiedarbība.

  • Ierīces kods: šī plūsma ļauj lietotājiem pierakstīties un piekļūt tīmekļa API internetam pieslēgtās ierīcēs, kurās nav pārlūkprogrammu vai kurām ir vāja tastatūras pieredze, piemēram, viedtelevizoros. 

Papildu plūsmas, piemēram, OIDC netiešā plūsma, kas paredzēta uz pārlūkprogrammu balstītām programmām, nav ieteicamas, jo tās rada drošības risku.

OIDC salīdzinājumā ar OAuth 2.0

OIDC tika veidots, izmantojot OAuth 2.0, lai pievienotu autentifikāciju. Vispirms tika izstrādāts OAuth 2.0 protokols, un pēc tam tika pievienots OIDC, lai uzlabotu tā iespējas. Atšķirība starp šiem diviem ir tāda, ka OAuth 2.0 nodrošina autorizāciju, bet OIDC nodrošina autentifikāciju. OAuth 2.0 ir tas, kas ļauj lietotājiem iegūt piekļuvi uzticamajai pusei, izmantojot savu kontu ar OpenID nodrošinātāju, un OIDC ļauj OpenID nodrošinātājam nodot lietotāja profilu uzticamajai pusei. OIDC arī ļauj organizācijām piedāvāt lietotājiem vienoto pierakstīšanos.

 

 

OIDC autentifikācijas ieguvumi

Samazinot kontu skaitu, kas lietotājiem ir nepieciešams, lai piekļūtu programmām, OIDC piedāvā vairākus ieguvumus gan privātpersonām, gan organizācijām:

Samazina nozagtu paroļu risku

Kad cilvēkiem ir jāizmanto vairākas paroles, lai piekļūtu programmām, kas vajadzīgas darbam un personiskajai dzīvei, viņi bieži izvēlas viegli iegaumējamas paroles, piemēram, Password1234!, un izmanto vienu un to pašu paroli vairākos kontos. Tas palielina risku, ka slikts aktors uzminēs paroli. Kad viņi uzzina viena konta paroli, viņi, iespējams, varēs piekļūt arī citiem kontiem. Samazinot paroļu skaitu, kuras kādam ir jāiegaumē, palielinās iespēja, ka viņi izmantos stiprāku un daudz drošāku paroli.

Uzlabo drošības vadīklas

Centralizējot autentifikāciju vienā programmā, organizācijas var arī aizsargāt piekļuvi vairākās programmās ar stiprām piekļuves vadīklām. OIDC atbalsta divfaktoru un daudzfaktoru autentifikāciju, kas pieprasa, lai personas verificētu savu identitāti, izmantojot vismaz divus no šiem:

  • Kaut kas, ko lietotājs zina. Parasti tā ir parole.

  • Kaut kas, kas viņiem ir, piemēram, uzticama ierīce vai marķieris, ko nav viegli dublēt. 

  • Kaut kas, kas ir lietotājs, piemēram, pirksta nospiedums vai skenēts sejas attēls.

Daudzfaktoru autentifikācija ir pārbaudīta metode konta apdraudējuma samazināšanai. Organizācijas var arī izmantot OIDC, lai vairākās programmās lietotu citus drošības pasākumus, piemēram, privileģētas piekļuves pārvaldību, paroles aizsardzību, pieteikšanās drošību vai identitātes aizsardzību. 

Vienkāršo lietotāju ērtības

Pierakstīšanās vairākos kontos visas dienas garumā personām var būt laikietilpīga un kaitinoša. Turklāt, ja parole tiek pazaudēta vai aizmirsta, atiestatīšana var vēl vairāk traucēt produktivitātei. Uzņēmumi, kas izmanto OIDC, lai nodrošinātu savu darbinieku vienoto pierakstīšanos, palīdz nodrošināt, ka viņu darbaspēks tērē vairāk laika produktīvam darbam, nevis mēģina iegūt piekļuvi programmām. Organizācijas arī nodrošina lielāku iespējamību, ka klienti reģistrēsies un izmantos viņu pakalpojumus, ja tie ļauj lietotājiem izmantot savu Microsoft, Facebook vai Google kontu, lai pierakstītos. 

Standartizē autentifikāciju

OpenID Foundation, kas ietver augsta profila zīmolus, piemēram, Microsoft un Google, izveidoja OIDC. Tas ir paredzēts sadarbspējai un atbalsta daudzas platformas un bibliotēkas, tostarp iOS, Android, Microsoft Windows un galvenos mākoņa un identitātes nodrošinātājus.

Racionalizē identitātes pārvaldību

Organizācijas, kas izmanto OIDC, lai nodrošinātu vienoto pierakstīšanos saviem darbiniekiem un partneriem, var samazināt pārvaldāmo identitātes pārvaldības risinājumu skaitu. Tas atvieglo atļauju maiņu izsekošanu un ļauj administratoriem izmantot vienu interfeisu, lai piemērotu piekļuves politikas un kārtulas vairākām programmām. Uzņēmumi, kas izmanto OIDC, lai atļautu lietotājiem pierakstīties savās programmās, izmantojot OpenID nodrošinātāju, samazina to identitāšu skaitu, kas viņiem ir jāpārvalda. 

OIDC piemēri un lietošanas gadījumi

Daudzas organizācijas izmanto OIDC, lai iespējotu drošu autentifikāciju tīmekļa un mobilajās programmās. Lūk, daži piemēri:

  • Kad lietotājs reģistrējas Spotify kontam, viņam tiek piedāvātas trīs izvēles iespējas: reģistrēties ar Facebook, reģistrēties ar Google, reģistrēties ar e-pasta adresi. Lietotāji, kuri izvēlas reģistrēties, izmantojot Facebook vai Google, izmanto OIDC, lai izveidotu kontu. Viņi tiks novirzīti uz jebkuru atlasīto OpenID nodrošinātāju (Google vai Facebook) un pēc tam, kad viņi būs pierakstījušies, OpenID nodrošinātājs nosūtīs Spotify profila pamatinformāciju. Lietotājam nav jāizveido jauns konts pakalpojumam Spotify, un viņa paroles paliek aizsargātas.

  • LinkedIn nodrošina arī veidu, kā lietotāji var izveidot kontu, izmantojot savu Google kontu, nevis izveidot atsevišķu kontu pakalpojumā LinkedIn. 

  • Uzņēmums vēlas nodrošināt vienoto pierakstīšanos darbiniekiem, kuriem ir nepieciešama piekļuve pakalpojumam Microsoft Office 365, Salesforce, Box un Workday, lai veiktu savu darbu. Tā vietā, lai pieprasītu darbiniekiem izveidot atsevišķu kontu katrai no šīm programmām, uzņēmums izmanto OIDC, lai nodrošinātu piekļuvi visām četrām. Darbinieki izveido vienu kontu un ikreiz, kad pierakstās, viņi iegūst piekļuvi visām programmām, kas nepieciešamas darbam.  

Ieviesiet OIDC drošai autentifikācijai

OIDC nodrošina autentifikācijas protokolu, lai lietotājiem vienkāršotu pierakstīšanās iespējas un uzlabotu drošību. Tas ir lielisks risinājums uzņēmumiem, kuri vēlas iedrošināt klientus reģistrēties saviem pakalpojumiem bez problēmām pārvaldīt kontus. Tas arī ļauj organizācijām piedāvāt saviem darbiniekiem un citiem lietotājiem drošu vienoto pierakstīšanos vairākās programmās. Organizācijas var izmantot identitātes un piekļuves risinājumus, kas atbalsta OIDC, piemēram, Microsoft Entra, lai pārvaldītu visas to identitātes un autentifikācijas drošības politikas vienuviet.

   

 

Papildinformācija par Microsoft drošību

Bieži uzdotie jautājumi

  • OIDC ir identitātes autentifikācijas protokols, kas darbojas ar OAuth 2.0, lai standartizētu lietotāju autentificēšanas un autorizēšanas procesu, kad viņi pierakstās, lai piekļūtu digitālajiem pakalpojumiem. OIDC nodrošina autentifikāciju, kas nozīmē verificēšanu, vai lietotāji ir tie, par kuriem uzdodas. OAuth 2.0 pilnvaro, kurām sistēmām šie lietotāji drīkst piekļūt. OIDC un OAuth 2.0 parasti tiek izmantoti, lai iespējotu divas nesaistītas programmas informācijas koplietošanai, neapdraudot lietotāju datus. 

  • Gan OIDC, gan drošības apgalvojuma iezīmēšanas valoda (SAML) ir identitātes autentifikācijas protokoli, kas ļauj lietotājiem droši pierakstīties vienreiz un piekļūt vairākām programmām. SAML ir vecāks protokols, kas ir plaši izmantots, lai veiktu vienoto pierakstīšanos. Tas pārsūta datus, izmantojot XML formātu. OIDC ir jaunāks protokols, kas izmanto JSON formātu, lai pārraidītu lietotāja datus. OIDC iegūst popularitāti, jo to ir vieglāk ieviest nekā SAML un tas labāk darbojas ar mobilajām programmām.

  • OIDC nozīmē OpenID Connect protokolu, kas ir identitātes autentifikācijas protokols, ko izmanto, lai iespējotu divas nesaistītas programmas lietotāja profila informācijas koplietošanai, neapdraudot lietotāja akreditācijas datus.

  • OIDC tika veidots, izmantojot OAuth 2.0, lai pievienotu autentifikāciju. Vispirms tika izstrādāts OAuth 2.0 protokols, un pēc tam tika pievienots OIDC, lai uzlabotu tā iespējas. Atšķirība starp šiem diviem ir tāda, ka OAuth 2.0 nodrošina autorizāciju, bet OIDC nodrošina autentifikāciju. OAuth 2.0 ir tas, kas ļauj lietotājiem iegūt piekļuvi uzticamajai pusei, izmantojot viņu kontu ar OpenID nodrošinātāju, un OIDC ļauj OpenID nodrošinātājam nodot lietotāja profilu uzticamajai pusei. Šī funkcionalitāte arī ļauj organizācijām piedāvāt lietotājiem vienoto pierakstīšanos. OAuth 2.0 un OIDC plūsmas ir līdzīgas, izņemot nedaudz atšķirīgas terminoloģijas. 

    Tipiskā OAuth 2.0 plūsmā ir šādas darbības:

    1. Lietotājs dodas uz programmu, kurai vēlas piekļūt (resursu serveris).
    2. Resursu serveris novirza lietotāju uz programmu, kurā tam ir konts (klients).
    3. Lietotājs pierakstās, izmantojot savus klienta akreditācijas datus.
    4. Klients validē lietotāja piekļuvi.
    5. Klients resursu serverim nosūta piekļuves pilnvaru.
    6. Resursu serveris piešķir lietotājam piekļuvi.

    Tipiskā OIDC plūsmā ir šādas darbības:

    1. Lietotājs dodas uz programmu, kurai vēlas piekļūt (uzticamā puse).
    2. Lietotājs ieraksta savu lietotājvārdu un paroli.
    3. Uzticamā puse nosūta pieprasījumu OpenID nodrošinātājam.
    4. OpenID nodrošinātājs validē lietotāja akreditācijas datus un iegūst autorizāciju.
    5. OpenID nodrošinātājs nosūta identitātes marķieri un bieži vien piekļuves pilnvaru uzticamajai pusei.
    6. Uzticamā puse nosūta piekļuves pilnvaru uz lietotāja ierīci.
    7. Lietotājam tiek piešķirta piekļuve, pamatojoties uz piekļuves pilnvarā sniegto informāciju un uzticamo pusi. 

  • OpenID nodrošinātājs izmanto ID marķierus, lai pārsūtītu autentifikācijas rezultātus un visu vajadzīgo informāciju uzticamās puses programmai. Nosūtīto datu tipa piemēri ir ID, e-pasta adrese un vārds.

Sekot Microsoft drošībai