This is the Trace Id: 17843284d485333107edf871a5e14172
Avançar para o conteúdo principal
Microsoft Security

O que é o OIDC?

Saiba mais sobre o OpenID Connect (OIDC), um protocolo de autenticação que verifica as identidades dos utilizadores quando estes iniciam sessão para aceder a recursos digitais.

OpenID Connect (OIDC) definido

O OpenID Connect (OIDC) é um protocolo de autenticação de identidade que é uma extensão da autorização aberta (OAuth) 2.0 para normalizar o processo de autenticação e autorização de utilizadores quando estes iniciam sessão para aceder a serviços digitais. O OIDC fornece autenticação, o que significa verificar se os utilizadores são quem dizem ser. O OAuth 2.0 autoriza quais os sistemas a que esses utilizadores podem aceder. O OAuth 2.0 é normalmente utilizado para permitir que duas aplicações não relacionadas partilhem informações sem comprometer os dados do utilizador. Por exemplo, muitas pessoas utilizam as suas contas de email ou de redes sociais para iniciar sessão num sítio de terceiros, em vez de criarem um novo nome de utilizador e uma nova palavra-passe. O OIDC também é utilizado para fornecer um início de sessão único. As organizações podem utilizar um sistema seguro de gestão de identidades e acessos (IAM) como o Microsoft Entra ID (anteriormente Azure Active Directory) como autenticador primário de identidades e, em seguida, utilizar o OIDC para transmitir essa autenticação a outras aplicações. Desta forma, os utilizadores só precisam de iniciar sessão uma vez com um nome de utilizador e uma palavra-passe para aceder a várias aplicações.

 

 

Principais componentes do OIDC

Existem seis componentes principais no OIDC:

  • A autenticação é o processo de verificação de que o utilizador é quem diz ser.

  • Um cliente é o software, como um sítio Web ou uma aplicação, que solicita tokens que são utilizados para autenticar um utilizador ou aceder a um recurso.

  • As partes confiantes são as aplicações que utilizam fornecedores OpenID para autenticar utilizadores.  

  • Os tokens de identidade contêm dados de identidade, incluindo o resultado do processo de autenticação, um identificador para o utilizador e informações sobre como e quando o utilizador é autenticado. 

  • Os fornecedores OpenID são as aplicações para as quais um utilizador já tem uma conta. O seu papel no OIDC consiste em autenticar o utilizador e transmitir essa informação à parte confiável.

  • Os utilizadores são pessoas ou serviços que procuram aceder a uma aplicação sem criar uma nova conta ou fornecer um nome de utilizador e uma palavra-passe. 

 

Como é que a autenticação CID funciona?

A autenticação OIDC funciona permitindo que os utilizadores iniciem sessão numa aplicação e recebam acesso a outra. Por exemplo, se um utilizador quiser criar uma conta num sítio de notícias, pode ter a opção de utilizar o Facebook para criar a sua conta em vez de criar uma nova conta. Se escolherem o Facebook, estão a utilizar a autenticação OIDC. O Facebook, que é referido como o fornecedor do OpenID, trata do processo de autenticação e obtém o consentimento do utilizador para fornecer informações específicas, como um perfil de utilizador, ao site de notícias, que é a parte confiável. 

Tokens de ID 

O fornecedor do OpenID utiliza tokens de ID para transmitir os resultados da autenticação e quaisquer informações pertinentes à parte confiável. Exemplos do tipo de dados que são enviados incluem um ID, endereço de correio eletrónico e nome.

Âmbito

Os âmbitos definem o que o utilizador pode fazer com o seu acesso. O OIDC fornece âmbitos normalizados, que definem aspectos como a parte confiável para a qual o token foi gerado, quando o token foi gerado, quando o token expirará e a força de encriptação utilizada para autenticar o utilizador. 

Um processo típico de autenticação OIDC inclui as seguintes etapas:

  1. Um utilizador dirige-se à aplicação a que pretende aceder (a parte confiável).
  2. O utilizador digita o nome de utilizador e a palavra-passe.
  3. A parte confiável envia um pedido ao fornecedor do OpenID.
  4. O fornecedor OpenID valida as credenciais do utilizador e obtém autorização.
  5. O fornecedor do OpenID envia um token de identidade e, frequentemente, um token de acesso à parte confiável.
  6. A parte confiável envia o token de acesso para o dispositivo do utilizador.
  7. O acesso é concedido ao utilizador com base nas informações fornecidas no token de acesso e na parte confiável. 

O que são fluxos OIDC?

Os fluxos OIDC definem a forma como os tokens são solicitados e entregues à parte confiante. Seguem-se alguns exemplos:

  • Fluxos de autorização OIDC: o fornecedor OpenID envia um código exclusivo para a entidade confiadora. A entidade confiadora envia então o código único de volta para o provedor OpenID em troca do token. Este método é utilizado para que o fornecedor do OpenID possa verificar a parte confiável antes de enviar o token. O browser não consegue ver o token neste método, o que ajuda a mantê-lo seguro.

  • fluxos de autorização OIDC com extensão PKCE: este fluxo é o mesmo que o fluxo de autorização OIDC, exceto que utiliza uma extensão de chave pública para troca de código (PKCE) para enviar comunicações como um hash. Isto reduz as hipóteses de o token ser intercetado.

  • Credenciais de cliente: Este fluxo fornece acesso a APIs da Web utilizando a identidade da própria aplicação. É normalmente utilizado para comunicação entre servidores e scripts automatizados que não requerem interação do utilizador.

  • Código de dispositivo: este fluxo permite que os utilizadores iniciem sessão e acedam a APIs baseadas na Web em dispositivos ligados à Internet que não têm navegadores ou que têm uma má experiência de teclado, como uma smart TV. 

Fluxos adicionais, como o fluxo implícito do OIDC, que foi concebido para aplicações baseadas no browser, não são recomendados por constituírem um risco de segurança.

OIDC vs. OAuth 2.0

O OIDC foi criado com base no OAuth 2.0 para adicionar autenticação. O protocolo OAuth 2.0 foi desenvolvido primeiro e depois o OIDC foi adicionado para melhorar as suas capacidades. A diferença entre os dois é que o OAuth 2.0 fornece autorização, enquanto o OIDC fornece autenticação. O OAuth 2.0 é o que permite aos utilizadores obter acesso a uma parte confiável, utilizando a sua conta com um fornecedor OpenID, e o OIDC é o que permite ao fornecedor OpenID transmitir um perfil de utilizador à parte confiável. O OIDC também permite que as organizações ofereçam aos seus utilizadores um início de sessão único.

 

 

Vantagens da autenticação CID

Ao reduzir o número de contas de que os utilizadores necessitam para aceder às aplicações, o OIDC oferece várias vantagens tanto a indivíduos como a organizações:

Reduz o risco de senhas roubadas

Quando as pessoas precisam de utilizar várias palavras-passe para aceder às aplicações de que necessitam para o trabalho e para a sua vida pessoal, escolhem frequentemente palavras-passe fáceis de memorizar, como Password1234! e utilizam a mesma palavra-passe em várias contas. Isto aumenta o risco de um mau ator adivinhar a palavra-passe. E se souberem a palavra-passe de uma conta, podem também conseguir aceder a outras contas. Ao reduzir o número de palavras-passe que uma pessoa tem de memorizar, aumenta a probabilidade de esta utilizar uma palavra-passe mais forte e mais segura.

Melhora os controlos de segurança

Ao centralizar a autenticação numa única aplicação, as organizações podem também salvaguardar o acesso em várias aplicações com controlos de acesso rigorosos. O OIDC suporta a autenticação de dois fatores e multifatores, que exige que as pessoas verifiquem a sua identidade utilizando pelo menos duas das seguintes opções:

  • Algo que o utilizador conhece, geralmente uma palavra-passe.

  • Algo que possuem, como um dispositivo ou token de confiança que não é facilmente duplicado. 

  • Algo único em cada indivíduo, como uma impressão digital ou reconhecimento facial.

A autenticação multifator é um método comprovado para reduzir o comprometimento de contas. As organizações também podem utilizar o OIDC para aplicar outras medidas de segurança, como a gestão do acesso privilegiado, a proteção por palavra-passe, a segurança do início de sessão ou a proteção da identidade, em várias aplicações. 

Simplifica a experiência do utilizador

Iniciar sessão em várias contas ao longo do dia pode ser moroso e frustrante para as pessoas. Além disso, se perderem ou se esquecerem de uma palavra-passe, a reposição da mesma pode perturbar ainda mais a produtividade. As empresas que utilizam o OIDC para fornecer o início de sessão único aos seus funcionários ajudam a garantir que a sua força de trabalho passa mais tempo em trabalho produtivo do que a tentar obter acesso a aplicações. As organizações também aumentam a probabilidade de os clientes se inscreverem e utilizarem os seus serviços se permitirem que as pessoas utilizem a sua conta Microsoft, Facebook ou Google para iniciar sessão. 

Uniformiza a autenticação

A OpenID Foundation, que inclui marcas de renome como a Microsoft e a Google, criou o OIDC. Foi concebido para ser interoperável e suporta muitas plataformas e bibliotecas, incluindo iOS, Android, Microsoft Windows e os principais fornecedores de nuvem e identidade.

Simplifica a gestão de identidades

As organizações que utilizam o OIDC para fornecer um início de sessão único aos seus funcionários e parceiros podem reduzir o número de soluções de gestão de identidades que precisam de gerir. Isto facilita o controlo das permissões alteradas e permite que os administradores utilizem uma interface para aplicar políticas e regras de acesso em várias aplicações. As empresas que utilizam o OIDC para permitir que as pessoas iniciem sessão nas suas aplicações utilizando um fornecedor OpenID reduzem o número de identidades que necessitam de gerir. 

Exemplos e casos de utilização do OIDC

Muitas organizações utilizam o OIDC para permitir a autenticação segura em aplicações Web e móveis. Seguem-se alguns exemplos:

  • Quando um utilizador se inscreve para uma conta Spotify, são-lhe oferecidas três opções: Inscrever-se com o Facebook, Inscrever-se com o Google, Inscrever-se com o seu endereço de email. Os utilizadores que optam por se inscrever no Facebook ou no Google estão a utilizar o OIDC para criar uma conta. Os utilizadores serão redirecionados para o fornecedor de OpenID que selecionaram (Google ou Facebook) e, depois de iniciarem sessão, o fornecedor de OpenID enviará ao Spotify os dados básicos do perfil. O utilizador não tem de criar uma nova conta no Spotify e as suas palavras-passe permanecem protegidas.

  • O LinkedIn também oferece uma forma de os utilizadores criarem uma conta utilizando a sua conta Google em vez de criarem uma conta separada para o LinkedIn. 

  • Uma empresa pretende fornecer um início de sessão único aos funcionários que precisam de aceder ao Microsoft Office 365, Salesforce, Box e Workday para fazer o seu trabalho. Em vez de exigir que os funcionários criem uma conta separada para cada uma dessas aplicações, a empresa utiliza o OIDC para fornecer acesso a todas as quatro. Em vez de exigir que os funcionários criem uma conta separada para cada uma dessas aplicações, a empresa utiliza o OIDC para fornecer acesso a todas as quatro.  

Implementar o OIDC para autenticação segura

O OIDC fornece um protocolo de autenticação para simplificar as experiências de início de sessão dos utilizadores e aumentar a segurança. É uma ótima solução para as empresas que pretendem incentivar os clientes a subscreverem os seus serviços sem o incómodo de gerir contas. Também permite que as organizações ofereçam aos seus funcionários e outros utilizadores um início de sessão único seguro para várias aplicações. As organizações podem utilizar soluções de identidade e acesso que suportem OIDC, como o Microsoft Entra, para gerir todas as suas identidades e políticas de segurança de autenticação num único local.

   

 

Saiba mais sobre o Microsoft Security

Perguntas Mais Frequentes

  • O OIDC é um protocolo de autenticação de identidade que funciona com o OAuth 2.0 para normalizar o processo de autenticação e autorização de utilizadores quando estes iniciam sessão para aceder a serviços digitais. O OIDC fornece autenticação, o que significa verificar se os utilizadores são quem dizem ser. O OAuth 2.0 autoriza quais os sistemas a que esses utilizadores podem aceder. O OIDC e o OAuth 2.0 são normalmente utilizados para permitir que duas aplicações não relacionadas partilhem informações sem comprometer os dados do utilizador. 

  • Tanto o OIDC como a linguagem de marcação de asserção de segurança (SAML) são protocolos de autenticação de identidade que permitem aos utilizadores iniciarem sessão de forma segura uma vez e acederem a várias aplicações. O SAML é um protocolo mais antigo que tem sido amplamente adotado para o início de sessão único. Transmite dados utilizando o formato XML. O OIDC é um protocolo mais recente que utiliza o formato JSON para transmitir os dados do utilizador. O OIDC está a ganhar popularidade porque é mais fácil de implementar do que o SAML e funciona melhor com aplicações móveis.

  • OIDC significa protocolo OpenID Connect, que é um protocolo de autenticação de identidade utilizado para permitir que duas aplicações não relacionadas partilhem informações de perfil de utilizador sem comprometer as credenciais do utilizador.

  • O OIDC foi criado com base no OAuth 2.0 para adicionar autenticação. O protocolo OAuth 2.0 foi desenvolvido primeiro e depois o OIDC foi adicionado para melhorar as suas capacidades. A diferença entre os dois é que o OAuth 2.0 fornece autorização, enquanto o OIDC fornece autenticação. O OAuth 2.0 é o que permite aos utilizadores obter acesso a uma parte confiável, utilizando a sua conta com um fornecedor OpenID, e o OIDC é o que permite ao fornecedor OpenID transmitir um perfil de utilizador à parte confiável. Esta funcionalidade também permite que as organizações ofereçam aos seus utilizadores um início de sessão único. Os fluxos OAuth 2.0 e OIDC são semelhantes, mas utilizam uma terminologia ligeiramente diferente. 

    Um fluxo OAuth 2.0 típico tem os seguintes passos:

    1. Um utilizador dirige-se à aplicação a que pretende aceder (o servidor de recursos).
    2. O servidor de recursos redireciona o utilizador para a aplicação onde tem uma conta (o cliente).
    3. O utilizador inicia sessão utilizando as suas credenciais para o cliente.
    4. O cliente valida o acesso do utilizador.
    5. O cliente envia um token de acesso ao servidor de recursos.
    6. O servidor de recursos concede o acesso ao utilizador.

    Um fluxo típico de CID tem as seguintes etapas:

    1. Um utilizador dirige-se à aplicação a que pretende aceder (a parte confiável).
    2. O utilizador digita o nome de utilizador e a palavra-passe.
    3. A parte confiável envia um pedido ao fornecedor do OpenID.
    4. O fornecedor OpenID valida as credenciais do utilizador e obtém autorização.
    5. O fornecedor do OpenID envia um token de identidade e, frequentemente, um token de acesso à parte confiável.
    6. A parte confiável envia o token de acesso para o dispositivo do utilizador.
    7. O acesso é concedido ao utilizador com base nas informações fornecidas no token de acesso e na parte confiável. 

  • O fornecedor do OpenID utiliza tokens de ID para transmitir os resultados da autenticação e quaisquer informações pertinentes para a aplicação da parte confiável. Exemplos do tipo de dados que são enviados incluem um ID, endereço de correio eletrónico e nome.

Siga o Microsoft Security