This is the Trace Id: ba957d554fa00186ef602323bb780c3e
Salt la conținutul principal
Microsoft Security

Ce este OAuth?

Aflați despre OpenID Connect (OIDC), un protocol de autentificare care verifică identitățile utilizatorilor atunci când se conectează pentru a accesa resurse digitale.

OpenID Connect (OIDC) definit

OpenID Connect (OIDC) este un protocol de autentificare a identității, care este o extensie a autorizare deschisă (OAuth) 2.0 pentru a standardiza procesul pentru autentificarea și autorizarea utilizatorilor atunci când se conectează pentru a accesa servicii digitale. OIDC furnizează autentificare, ceea ce înseamnă că se verifică dacă utilizatorii sunt cine spun că sunt. OAuth 2.0 autorizează sistemele pe care utilizatorii respectivi au permisiunea de a le accesa. OAuth 2.0 este utilizat de obicei pentru a permite ca două aplicații neasociate să utilizeze în comun informații fără a compromite datele utilizatorilor. De exemplu, multe persoane își utilizează conturile de e-mail sau de rețele sociale pentru a se conecta la un site terț, în loc să creeze un nume de utilizator și o parolă noi. OIDC este utilizat, de asemenea, pentru a furniza sign-on unic. Organizațiile pot utiliza un sistem securizat de gestionare a identității și accesului, precum Microsoft Entra ID (anterior Azure Active Directory) ca autentificator principal al identităților, apoi utilizează OIDC pentru a transmite autentificarea respectivă către alte aplicații. Astfel, utilizatorii trebuie să se conecteze o singură dată, cu un singur nume de utilizator și o parolă, pentru a accesa mai multe aplicații.

 

 

Componente cheie ale OIDC

Există șase componente principale în OIDC:

  • Autentificarea este procesul de verificare a identității utilizatorului.

  • Un client este software-ul, cum ar fi site-ul web sau aplicația, care solicită tokenuri care sunt utilizate pentru a autentifica un utilizator sau pentru a accesa o resursă.

  • Părțile intermediare de încredere sunt aplicațiile care utilizează furnizori OpenID pentru a autentifica utilizatorii.  

  • Tokenurile de identitate conțin date de identitate, inclusiv rezultatul procesului de autentificare, un identificator pentru utilizator și informații despre cum și când este autentificat utilizatorul. 

  • furnizorii OpenID sunt aplicațiile pentru care un utilizator are deja un cont. Rolul său în OIDC este de a autentifica utilizatorul și de a transmite aceste informații părții intermediare de încredere.

  • Utilizatorii sunt persoane sau servicii care caută să acceseze o aplicație fără să creeze un cont nou sau să furnizeze un nume de utilizator și o parolă. 

 

Cum funcționează autentificarea OIDC?

Autentificarea OIDC funcționează permițând utilizatorilor să se conecteze la o aplicație și să primească acces la alta. De exemplu, dacă un utilizator dorește să creeze un cont la un site de știri, poate avea opțiunea de a utiliza Facebook pentru a-și crea contul, în loc să creeze un cont nou. Dacă alege Facebook, utilizează autentificarea OIDC. Facebook, numit și furnizor OpenID, gestionează procesul de autentificare și obține consimțământul utilizatorului pentru a furniza informații specifice, precum un profil de utilizator, către site-ul de știri, care este partea intermediară de încredere. 

Tokenuri ID 

Furnizorul OpenID utilizează tokenuri ID pentru a transmite părții intermediare de încredere rezultate de autentificare și orice informații pertinente. Printre exemplele de tip de date trimise se numără un ID, o adresă de e-mail și un nume.

Domenii de aplicare

Domeniile de aplicare definesc ce poate face utilizatorul cu accesul său. OIDC furnizează domenii standard, care definesc lucruri precum partea intermediară de încredere pentru care a fost generat tokenul, când a fost generat tokenul, când va expira tokenul și puterea de criptare utilizată pentru autentificarea utilizatorului. 

Un proces tipic de autentificare OIDC include următorii pași:

  1. Un utilizator accesează aplicația pe care dorește să o acceseze (partea intermediară de încredere).
  2. Utilizatorul tastează numele de utilizator și parola.
  3. Partea intermediară de încredere trimite o solicitare furnizorului OpenID.
  4. Furnizorul OpenID validează acreditările utilizatorului și obține autorizarea.
  5. Furnizorul OpenID trimite un token de identitate și, adeseori, un token acces părții intermediare de încredere.
  6. Partea intermediară de încredere trimite tokenul de acces la dispozitivul utilizatorului.
  7. Utilizatorului i se acordă acces pe baza informațiilor furnizate în tokenul de acces și în partea intermediară de încredere. 

Ce sunt fluxurile OIDC?

Fluxurile OIDC definesc modul în care tokenurile sunt solicitate și livrate părții intermediare de încredere. Iată câteva exemple:

  • Fluxuri de autorizare OIDC: furnizorul OpenID trimite un cod unic părții intermediare de încredere. Partea intermediară de încredere trimite apoi codul unic înapoi furnizorului OpenID, în schimbul tokenului. Această metodă este utilizată astfel încât furnizorul OpenID să poată verifica partea intermediară de încredere înainte de a trimite tokenul. Browserul nu poate vedea tokenul în această metodă, ceea ce ajută la menținerea acestuia în siguranță.

  • Fluxuri de autorizare OIDC cu extensia PKCE: acest flux este identic cu fluxul de autorizare OIDC, cu excepția faptului că utilizează o cheie publică pentru extensia de schimb de cod (PKCE) pentru a trimite comunicații ca cod hash. Acest lucru reduce șansele interceptării tokenului.

  • Acreditări de client: acest flux oferă acces la API-urile web utilizând identitatea aplicației propriu-zise. De obicei, este utilizat pentru comunicarea de la server la server și pentru scripturi automate care nu necesită interacțiunea cu utilizatorul.

  • Cod de dispozitiv: acest flux permite utilizatorilor să se conecteze și să acceseze API-uri bazate pe web pe dispozitive conectate la internet care nu au browsere sau au o experiență limitată cu tastatura, cum ar fi un smart TV. 

Fluxurile suplimentare, cum ar fi fluxul implicit OIDC, care este proiectat pentru aplicații bazate pe browser, nu sunt recomandate, deoarece reprezintă un risc de securitate.

OIDC versus OAuth 2.0

OIDC a fost construit pe baza OAuth 2.0, pentru a adăuga autentificare. Protocolul OAuth 2.0 a fost dezvoltat mai întâi, apoi OIDC a fost adăugat pentru a-i îmbunătăți capacitățile. Diferența dintre cele două este că OAuth 2.0 furnizează autorizare, în timp ce OIDC furnizează autentificare. OAuth 2.0 este ceea ce le permite utilizatorilor să obțină acces la o parte intermediară de încredere, utilizându-și contul cu un furnizor OpenID, iar OIDC este ceea ce permite furnizorului OpenID să transmită un profil de utilizator părții intermediare de încredere. De asemenea, OIDC permite organizațiilor să le ofere utilizatorilor un sign-on unic.

 

 

Avantajele autentificării OIDC

Prin reducerea numărului de conturi de care au nevoie utilizatorii pentru a accesa aplicații, OIDC oferă mai multe beneficii atât persoanelor, cât și organizațiilor:

Reduce riscul de furt de parole

Când utilizatorii trebuie să utilizeze mai multe parole pentru a accesa aplicațiile de care au nevoie pentru locul de muncă și pentru viața personală, aleg adesea parole ușor de memorat, precum Parola1234!, și utilizează aceeași parolă pentru mai multe conturi. Acest lucru crește riscul ca un actor rău intenționat să ghicească o parolă. Iar după ce află parola pentru un cont, este posibil să poată accesa și alte conturi. Reducerea numărului de parole pe care trebuie să le memoreze o persoană crește șansele ca aceasta să utilizeze o parolă mai puternică și mai sigură.

Îmbunătățește controalele de securitate

Prin centralizarea autentificării într-o singură aplicație, organizațiile pot, de asemenea, să protejeze accesul în mai multe aplicații, cu controale de acces puternice. OIDC acceptă autentificarea pe două niveluri și multifactor, care necesită ca utilizatorii să-și verifice identitatea utilizând cel puțin două dintre următoarele:

  • Ceva ce știe utilizatorul, de obicei o parolă.

  • Ceva ce deține utilizatorul, precum un dispozitiv de încredere sau un token care nu este ușor de dublat. 

  • Ceva ce îi aparține utilizatorului, cum ar fi o amprentă sau o scanare facială.

Autentificarea multifactor este o metodă dovedită pentru reducerea compromiterii contului. De asemenea, organizațiile pot utiliza OIDC pentru a aplica alte măsuri de securitate, gestionare a accesului privilegiat, protecție prin parolă, securitate de conectare sau protecția identității, în mai multe aplicații. 

Simplificați experiența utilizatorului

Conectarea la mai multe conturi pe parcursul zilei poate consuma tip și poate fi frustrantă pentru utilizatori. În plus, dacă pierd sau uită o parolă, resetarea acesteia poate perturba și mai mult productivitatea. Firmele care utilizează OIDC pentru a le oferi angajaților un sign-on unic asigură că forța lor de muncă petrece mai mult timp pentru lucru productiv, în loc să încerce să obțină acces la aplicații. De asemenea, organizațiile fac mai probabil posibilitatea ca clienții să se înregistreze și să-și utilizeze serviciile dacă le permit persoanelor să-și utilizeze contul Microsoft, Facebook sau Google pentru a se conecta. 

Standardizează autentificarea

OpenID Foundation, care include mărci de profil înalt, precum Microsoft și Google, a construit OIDC. Acesta a fost conceput pentru a fi interoperabil și acceptă multe platforme și biblioteci, inclusiv iOS, Android, Microsoft Windows și furnizorii principali de servicii cloud și de identitate.

Modernizează gestionarea identităților

Organizațiile care utilizează OIDC pentru a furniza sign-on unic pentru angajații și partenerii lor pot reduce numărul de soluții de gestionare a identității pe care trebuie să le gestioneze. Acest lucru ajută la urmărirea modificărilor permisiunilor și permite administratorilor să utilizeze o interfață pentru a aplica politici și reguli de acces în mai multe aplicații. Firmele care utilizează OIDC pentru a permite utilizatorilor să se conecteze la aplicațiile lor utilizând un furnizor OpenID reduc numărul de identități de care au nevoie aceștia pentru a le gestiona. 

Exemple și cazuri de utilizare OIDC

Multe organizații utilizează OIDC pentru a activa autentificarea securizată în aplicațiile web și mobile. Iată câteva exemple:

  • Atunci când un utilizator se înregistrează pentru un cont Spotify, i se oferă trei opțiuni: Înregistrați-vă cu Facebook, Înregistrați-vă cu Google, Înregistrați-vă cu adresa de e-mail. Utilizatorii care aleg să se înregistreze cu Facebook sau Google utilizează OIDC pentru a crea un cont. Acestea vor fi redirecționate către furnizorul OpenID selectat (Google sau Facebook), apoi, după ce se conectează, furnizorul OpenID va trimite detaliile de profil de bază către Spotify. Utilizatorul nu trebuie să creeze un cont nou pentru Spotify, iar parolele sale rămân protejate.

  • LinkedIn oferă, de asemenea, o modalitate prin care utilizatorii pot crea un cont utilizându-și contul Google, în loc să creeze un cont separat pentru LinkedIn. 

  • O firmă dorește să furnizeze sign-on unic angajaților care trebuie să acceseze Microsoft Office 365, Salesforce, Box și Workday pentru a-și face treaba. În loc să le solicite angajaților să creeze un cont separat pentru fiecare dintre aceste aplicații, firma utilizează OIDC pentru a le oferi acces la toate cele patru. Angajații creează un cont și, de fiecare dată când se conectează, obțin acces la toate aplicațiile de care au nevoie pentru lucru.  

Implementați OIDC pentru autentificare securizată

OIDC oferă un protocol de autentificare pentru simplificarea experiențelor de conectare pentru utilizatori și îmbunătățirea securității. Acesta este o soluție excelentă pentru firmele care doresc să-i încurajeze pe clienți să se înscrie în serviciile lor fără a avea grija gestionării conturilor. De asemenea, permite organizațiilor să le ofere angajaților și altor utilizatori să sign-on unic securizat pentru mai multe aplicații. Organizațiile pot utiliza soluții de identitate și acces care acceptă OIDC, precum Microsoft Entra, pentru a-și gestiona toate identitățile și politicile de securitate de autentificare într-un singur loc.

   

 

Aflați mai multe despre Microsoft Security

Întrebări frecvente

  • OIDC este un protocol de autentificare a identității care funcționează cu OAuth 2.0 pentru a standardiza procesul pentru autentificarea și autorizarea utilizatorilor atunci când se conectează pentru a accesa servicii digitale. OIDC furnizează autentificare, ceea ce înseamnă că se verifică dacă utilizatorii sunt cine spun că sunt. OAuth 2.0 autorizează sistemele pe care utilizatorii respectivi au permisiunea de a le accesa. OIDC și OAuth 2.0 sunt utilizate de obicei pentru a permite ca două aplicații neasociate să partajeze informații fără a compromite datele utilizatorilor. 

  • Atât OIDC, cât și limbajul de marcare al aserțiunii de securitate (SAML) sunt protocoale de autentificare a identității care le permit utilizatorilor să se conecteze în siguranță o dată și să acceseze mai multe aplicații. SAML este un protocol mai vechi, care a fost adoptat pe scară largă pentru sign-on unic. Acesta transmite date utilizând formatul XML. OIDC este un protocol mai nou care utilizează formatul JSON pentru a transmite date de utilizator. OIDC câștigă popularitate, deoarece este mai ușor de implementat decât SAML și funcționează mai bine cu aplicațiile mobile.

  • OIDC înseamnă protocolul OpenID Connect, care este un protocol de autentificare a identității utilizat pentru a permite ca două aplicații neasociate să partajeze informații despre profilurile utilizatorilor fără a compromite acreditările de utilizator.

  • OIDC a fost construit pe baza OAuth 2.0, pentru a adăuga autentificare. Protocolul OAuth 2.0 a fost dezvoltat mai întâi, apoi OIDC a fost adăugat pentru a-i îmbunătăți capacitățile. Diferența dintre cele două este că OAuth 2.0 furnizează autorizare, în timp ce OIDC furnizează autentificare. OAuth 2.0 este ceea ce le permite utilizatorilor să obțină acces la o parte intermediară de încredere, utilizându-și contul cu un furnizor OpenID, iar OIDC este ceea ce permite furnizorului OpenID să transmită un profil de utilizator părții intermediare de încredere. Această funcționalitate permite, de asemenea, organizațiilor să ofere utilizatorilor un sign-on unic. Fluxurile OAuth 2.0 și OIDC sunt similare, cu excepția faptului că utilizează o terminologie ușor diferită. 

    Un flux OAuth 2.0 obișnuit are următorii pași:

    1. Un utilizator accesează aplicația pe care dorește să o acceseze (serverul de resurse).
    2. Serverul de resurse redirecționează utilizatorul la aplicația în care acesta are un cont (clientul).
    3. Utilizatorul se conectează utilizându-și acreditările pentru client.
    4. Clientul validează accesul utilizatorului.
    5. Clientul trimite un token de acces la serverul de resurse.
    6. Serverul de resurse acordă acces utilizatorului.

    Un flux OIDC obișnuit are următorii pași:

    1. Un utilizator accesează aplicația pe care dorește să o acceseze (partea intermediară de încredere).
    2. Utilizatorul tastează numele de utilizator și parola.
    3. Partea intermediară de încredere trimite o solicitare furnizorului OpenID.
    4. Furnizorul OpenID validează acreditările utilizatorului și obține autorizarea.
    5. Furnizorul OpenID trimite un token de identitate și, adeseori, un token acces părții intermediare de încredere.
    6. Partea intermediară de încredere trimite tokenul de acces la dispozitivul utilizatorului.
    7. Utilizatorului i se acordă acces pe baza informațiilor furnizate în tokenul de acces și în partea intermediară de încredere. 

  • Furnizorul OpenID utilizează tokenuri ID pentru a transmite rezultate de autentificare și orice informații pertinente către aplicația parte intermediară de încredere. Printre exemplele de tip de date trimise se numără un ID, o adresă de e-mail și un nume.

Urmăriți Microsoft Security