This is the Trace Id: fdc9b55bb9afaf113068242fa9ee4b57
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er OIDC?

Finn ut mer om OpenID Connect (OIDC), en godkjenningsprotokoll som bekrefter brukeridentiteter når de logger på for å få tilgang til digitale ressurser.

OpenID Connect (OIDC) definert

OpenID Connect (OIDC) er en identitetsgodkjenningsprotokoll som er en utvidelse av åpen autorisasjon (OAuth) 2.0 for å standardisere prosessen for godkjenning og autorisering av brukere når de logger på for å få tilgang til digitale tjenester. OIDC gir godkjenning, noe som betyr å bekrefte at brukerne er den de sier de er. OAuth 2.0 godkjenner hvilke systemer disse brukerne har tilgang til. OAuth 2.0 brukes vanligvis til å aktivere to ikke-relaterte programmer for å dele informasjon uten å kompromittere brukerdata. Mange bruker for eksempel e-post- eller sosiale medier-kontoer til å logge på et tredjepartsnettsted i stedet for å opprette et nytt brukernavn og passord. OIDC brukes også til å gi single sign-on. Organisasjoner kan bruke et sikkert identitets- og tilgangsstyring (IAM)-system, som for eksempel Microsoft Entra ID (tidligere Azure Active Directory), som primær godkjenner av identiteter, og deretter bruke OIDC til å sende godkjenningen til andre apper. På denne måten trenger brukere bare å logge på én gang med ett brukernavn og passord for å få tilgang til flere apper.

 

 

Nøkkelkomponenter i OIDC

Det finnes seks primære komponenter i OIDC:

  • Godkjenning er prosessen med å bekrefte at brukeren er den de sier de er.

  • En klient er programvaren, for eksempel et nettsted eller et program, som ber om tokener som brukes til å godkjenne en bruker eller få tilgang til en ressurs.

  • Beroende parter er programmene som bruker OpenID-leverandører til å godkjenne brukere.  

  • Identitetstokener inneholder identitetsdata, inkludert resultatet av godkjenningsprosessen, en identifikator for brukeren og informasjon om hvordan og når brukeren er godkjent. 

  • OpenID-leverandører er programmene som en bruker allerede har en konto for. Deres rolle i OIDC er å godkjenne brukeren og sende denne informasjonen videre til den beroende parten.

  • Brukere er personer eller tjenester som søker å få tilgang til et program uten å opprette en ny konto eller oppgi brukernavn og passord. 

 

Hvordan fungerer OIDC-godkjenning?

OIDC-godkjenning fungerer ved å la brukere logge på ett program og få tilgang til et annet. Hvis en bruker for eksempel ønsker å opprette en konto på et nyhetsnettsted, kan de ha muligheten til å bruke Facebook til å opprette kontoen sin i stedet for å opprette en ny konto. Hvis de velger Facebook, bruker de OIDC-godkjenning. Facebook, som kalles OpenID-leverandøren, håndterer godkjenningsprosessen og innhenter brukerens samtykke til å gi spesifikk informasjon, for eksempel en brukerprofil, til nyhetsnettstedet, som er den beroende parten. 

ID-tokener 

OpenID-leverandøren bruker ID-tokener til å overføre godkjenningsresultater og eventuell relevant informasjon til den beroende parten. Eksempler på typen data som sendes, inkluderer en ID, e-postadresse og et navn.

Omfang

Omfang definerer hva brukeren kan gjøre med tilgangen sin. OIDC inneholder standardomfang, som definerer ting som hvilken beroende part tokenet ble generert for, når tokenet ble generert, når tokenet utløper, og krypteringsstyrken som brukes til å godkjenne brukeren. 

En vanlig OIDC-godkjenningsprosess inkluderer følgende trinn:

  1. En bruker går til programmet de ønsker tilgang til (den beroende parten).
  2. Brukeren skriver inn brukernavn og passord.
  3. Den beroende parten sender en forespørsel til OpenID-leverandøren.
  4. OpenID-leverandøren validerer brukerens legitimasjon og henter autorisasjon.
  5. OpenID-leverandøren sender et identitetstoken og ofte et tilgangstoken til den beroende parten.
  6. Den beroende parten sender tilgangstokenet til brukerens enhet.
  7. Brukeren får tilgang basert på informasjonen som er oppgitt i tilgangstokenet og den beroende parten. 

Hva er OIDC-flyter?

OIDC-flyter definerer hvordan tokener blir forespurt og levert til den beroende parten. Noen eksempler:

  • OIDC-godkjenningsflyter:OpenID-leverandøren sender en unik kode til den beroende parten. Den beroende parten sender deretter den unike koden tilbake til OpenID-leverandøren i bytte mot tokenet. Denne metoden brukes slik at OpenID-leverandøren kan bekrefte den beroende parten før tokenet sendes. Nettleseren kan ikke se tokenet i denne metoden, noe som bidrar til å holde det sikkert.

  • OIDC-godkjenningsflyter med PKCE-utvidelse: Denne flyten er den samme som OIDC-godkjenningsflyten, bortsett fra at den bruker en offentlig nøkkel for kodeutvekslingsutvidelsen (PKCE) for å sende kommunikasjon som en hash. Dette reduserer sjansen for at tokenet fanges opp.

  • Klientlegitimasjon: Denne flyten gir tilgang til nettbaserte API-er ved å bruke identiteten til selve programmet. Den brukes vanligvis til server-til-server-kommunikasjon og automatiserte skript som ikke krever noen brukermedvirkning.

  • Enhetskode: Denne flyten tillater brukere å logge på og gir tilgang til nettbaserte API-er på internett-tilkoblede enheter som ikke har nettlesere, eller som har en dårlig tastaturopplevelse, som for eksempel en smart-TV. 

Ytterligere flyter, for eksempel implisitt OIDC-flyt, som er utformet for nettleserbaserte programmer, anbefales ikke fordi de er en sikkerhetsrisiko.

OIDC vs. OAuth 2.0

OIDC ble bygget oppå OAuth 2.0 for å legge til godkjenning. OAuth 2.0-protokollen ble utviklet først, og deretter ble OIDC lagt til for å forbedre egenskapene. Forskjellen mellom de to er at OAuth 2.0 gir autorisasjon, mens OIDC gir godkjenning. OAuth 2.0 er det som gjør det mulig for brukere å få tilgang til en beroende part, bruke kontoen sin hos en OpenID-leverandør, og OIDC er det som gjør at OpenID-leverandøren kan sende en brukerprofil til den beroende parten. OIDC gjør det også mulig for organisasjoner å tilby brukerne sine single sign-on.

 

 

Fordeler med OIDC-godkjenning

Ved å redusere antall kontoer som brukere trenger for å få tilgang til apper, tilbyr OIDC flere fordeler til både enkeltpersoner og organisasjoner:

Reduserer risikoen for stjålne passord

Når folk trenger å bruke flere passord for å få tilgang til appene de trenger for jobb og privatliv, velger de ofte passord som er enkle å huske, for eksempel Passord1234! og bruker det samme på tvers av flere kontoer. Dette øker risikoen for at en aktør med uærlige hensikter gjetter et passord. Og når de vet passordet til én konto, kan de også få tilgang til andre kontoer. Ved å redusere antall passord som noen må huske, øker det sannsynligheten for at de vil bruke et sterkere og sikrere passord.

Forbedrer sikkerhetskontroller

Ved å sentralisere godkjenning i én app kan organisasjoner også beskytte tilgang på tvers av flere apper med sterke tilgangskontroller. OIDC støtter godkjenning med to faktorer og flere faktorer, noe som krever at personer bekrefter identiteten sin ved hjelp av minst to av følgende:

  • Noe brukeren vet, typisk et passord.

  • Noe de har, for eksempel en klarert enhet eller et token som ikke er lett å duplisere. 

  • Noe brukeren er, som et fingeravtrykk eller ansiktsskanning.

Godkjenning med flere faktorer er en velprøvd metode for å redusere risiko for kontoen. Organisasjoner kan også bruke OIDC til å bruke andre sikkerhetstiltak, for eksempel privilegert tilgangsadministrasjon, passordbeskyttelse, påloggingssikkerheteller identitetsbeskyttelse, på tvers av flere apper. 

Forenkler brukeropplevelsen

Det kan være tidkrevende og frustrerende for personer å logge på flere kontoer i løpet av dagen. I tillegg, hvis de mister eller glemmer et passord, kan tilbakestilling av det ytterligere forstyrre produktiviteten. Bedrifter som bruker OIDC til å gi de ansatte single sign-on bidrar til å sikre at arbeidsstyrken bruker mer tid på produktivt arbeid i stedet for å prøve å få tilgang til apper. Organisasjoner gjør det også mer sannsynlig at kunder registrerer seg for og bruker tjenestene deres hvis de tillater enkeltpersoner å bruke Microsoft-, Facebook- eller Google-kontoen sin til å logge på. 

Standardiserer godkjenning

OpenID Foundation, som inkluderer høyprofilmerkevarer som Microsoft og Google, bygget OIDC. Den er utformet for å være interoperabel og støtter mange plattformer og biblioteker, inkludert iOS, Android, Microsoft Windows og de største sky- og identitetsleverandørene.

Strømlinjeformer identitetsadministrasjon

Organisasjoner som bruker OIDC til å tilby single sign-on for ansatte og partnere, kan redusere antallet løsninger for identitetsbehandling som de trenger å administrere. Dette gjør det enklere å holde oversikt over endring av tillatelser og lar administratorer bruke ett grensesnitt til å bruke tilgangspolicyer og regler på tvers av flere apper. Firmaer som bruker OIDC til å la personer logge på appene sine ved hjelp av en OpenID-leverandør, reduserer antall identiteter de trenger å administrere i det hele tatt. 

OIDC-eksempler og brukstilfeller

Mange organisasjoner bruker OIDC for å muliggjøre sikker godkjenning på tvers av nett- og mobilapper. Her er noen eksempler:

  • Når en bruker registrerer seg for en Spotify-konto får de tre valg: Registrering med Facebook, registrering med Google, registrering med e-postadresse. Brukere som velger å registrere seg med Facebook eller Google, bruker OIDC til å opprette en konto. De blir omdirigert til den OpenID-leverandøren de valgte (enten Google eller Facebook), og når de har logget på, sender OpenID-leverandøren grunnleggende profildetaljer til Spotify. Brukeren trenger ikke å opprette en ny konto for Spotify, og passordene forblir beskyttet.

  • LinkedIn gjør det også mulig for brukere å opprette en konto ved hjelp av Google-kontoen i stedet for å opprette en egen konto for LinkedIn. 

  • Et selskap ønsker å gi single sign-on til ansatte som trenger tilgang Microsoft Office 365, Salesforce, Box og Workday for å gjøre jobben sin. I stedet for å kreve at ansatte oppretter en egen konto for hver av disse appene, bruker firmaet OIDC for å gi tilgang til alle fire. Ansatte oppretter én konto, og hver gang de logger på, får de tilgang til alle appene de trenger for arbeidet.  

Implementer OIDC for sikker godkjenning

OIDC gir en godkjenningsprotokoll for å forenkle påloggingsopplevelser for brukere og forbedre sikkerheten. Det er en flott løsning for bedrifter som ønsker å oppmuntre kunder til å registrere seg for tjenestene deres uten å måtte administrere kontoer. Det gjør det også mulig for organisasjoner å tilby ansatte og andre brukere sikker single sign-on til flere apper. Organisasjoner kan bruke identitets- og tilgangsløsninger som støtter OIDC, for eksempel Microsoft Entra, til å administrere alle identiteter og sikkerhetspolicyer for godkjenning på ett sted.

   

 

Mer informasjon om Microsoft Sikkerhet

Vanlige spørsmål

  • OIDC er en identitetsgodkjenningsprotokoll som fungerer med OAuth 2.0 for å standardisere prosessen for godkjenning og autorisering av brukere når de logger på for å få tilgang til digitale tjenester. OIDC gir godkjenning, noe som betyr å bekrefte at brukerne er den de sier de er. OAuth 2.0 godkjenner hvilke systemer disse brukerne har tilgang til. OIDC og OAuth 2.0 brukes vanligvis til å aktivere to ikke-relaterte programmer for å dele informasjon uten å kompromittere brukerdata. 

  • Både OIDC og SAML (Security Assertion Markup Language) er identitetsgodkjenningsprotokoller som gjør det mulig for brukere å logge på på en sikker måte og få tilgang til flere programmer. SAML er en eldre protokoll som har blitt mye tatt i bruk for single sign-on. Den overfører data ved hjelp av XML-format. OIDC er en nyere protokoll som bruker JSON-format til å overføre brukerdata. OIDC blir stadig mer populær fordi det er enklere å implementere enn SAML og fungerer bedre med mobilprogrammer.

  • OIDC står for OpenID Connect protokoll, som er en identitetsgodkjenningsprotokoll som brukes til å aktivere to ikke-relaterte programmer for å dele brukerprofilinformasjon uten å kompromittere brukerlegitimasjon.

  • OIDC ble bygget oppå OAuth 2.0 for å legge til godkjenning. OAuth 2.0-protokollen ble utviklet først, og deretter ble OIDC lagt til for å forbedre egenskapene. Forskjellen mellom de to er at OAuth 2.0 gir autorisasjon, mens OIDC gir godkjenning. OAuth 2.0 er det som gjør det mulig for brukere å få tilgang til en beroende part, bruke kontoen sin hos en OpenID-leverandør, og OIDC er det som gjør at OpenID-leverandøren kan sende en brukerprofil til den beroende parten. Denne funksjonaliteten gjør det også mulig for organisasjoner å tilby brukerne single sign-on. OAuth 2.0- og OIDC-flytene er like, bortsett fra at de bruker litt forskjellig terminologi. 

    En typisk OAuth 2.0-flyt har følgende trinn:

    1. En bruker går til programmet de ønsker tilgang til (ressursserveren).
    2. Ressursserveren omdirigerer brukeren til programmet der de har en konto (klienten).
    3. Brukeren logger på med legitimasjonen for klienten.
    4. Klienten validerer brukerens tilgang.
    5. Klienten sender et tilgangstoken til ressursserveren.
    6. Ressursserveren gir brukeren tilgang.

    En vanlig OIDC-flyt har følgende trinn:

    1. En bruker går til programmet de ønsker tilgang til (den beroende parten).
    2. Brukeren skriver inn brukernavn og passord.
    3. Den beroende parten sender en forespørsel til OpenID-leverandøren.
    4. OpenID-leverandøren validerer brukerens legitimasjon og henter autorisasjon.
    5. OpenID-leverandøren sender et identitetstoken og ofte et tilgangstoken til den beroende parten.
    6. Den beroende parten sender tilgangstokenet til brukerens enhet.
    7. Brukeren får tilgang basert på informasjonen som er oppgitt i tilgangstokenet og den beroende parten. 

  • OpenID-leverandøren bruker ID-tokener til å overføre godkjenningsresultater og eventuell relevant informasjon til det beroende programmet. Eksempler på typen data som sendes, inkluderer en ID, e-postadresse og et navn.

Følg Microsoft Sikkerhet