Trace Id is missing
Prejsť na hlavný obsah
Zabezpečenie od spoločnosti Microsoft

Čo je OAuth?

Zistite, čo je OAuth a ako sa používa na oprávnenie prístupu medzi aplikáciami a službami bez ohrozenia citlivých informácií.

Vysvetlenie OAuth

OAuth je technologický štandard, ktorý vám umožňuje oprávniť jednu aplikáciu alebo službu na prihlásenie do druhej bez prezradenia súkromných informácií, ako sú napríklad heslá. Ak ste niekedy dostali napríklad správu s textom „Chcete sa prihlásiť sa pomocou Facebooku?“ alebo „Chcete povoliť tejto aplikácii prístup k vášmu kontu?“, videli ste OAuth v akcii.

OAuth je skratkou pre Open Authorization, a nie „authentication“ (overovanie), ako sa niekedy nesprávne predpokladá. Overovanie (authentication) je proces, ktorým sa overuje vaša identita. OAuth zahŕňa vašu identitu, ale účelom je udeliť vám povolenie na bezproblémové pripojenie pomocou rôznych aplikácií a služieb bez nutnosti vytvorenia nového konta. OAuth poskytuje túto jednoduchosť používania tým, že vám dáva možnosť oprávniť dve aplikácie na zdieľanie niektorých vašich údajov bez odhalenia vašich prihlasovacích údajov. Vytvára rovnováhu medzi pohodlím a zabezpečením.

OAuth je navrhnutý tak, aby fungoval s protokolom HTTP (Hypertext Transfer Protocol). Používa prístupové tokeny na overenie vašej identity a povolenie interakcie s ďalšou službou vo vašom mene. V prípade, že v tejto druhej službe dôjde k úniku údajov, vaše prihlasovacie údaje v prvej službe zostanú v bezpečí. OAuth je široko prijatý protokol s otvoreným štandardom a používa ho väčšina vývojárov webových lokalít a aplikácií.

Dôležité je, že OAuth neposkytuje aplikácii alebo službe tretej strany neobmedzený prístup k vašim údajom. Súčasťou protokolu je určiť, ku ktorým údajom má tretia strana povolený prístup a čo môže s týmito údajmi robiť. Nastavenie takýchto obmedzení a ochrana identít vo všeobecnosti sú obzvlášť dôležité v obchodných scenároch, v ktorých má veľa ľudí prístup k množstvu citlivých a vlastníckych informácií.


 

Ako funguje OAuth?

Používanie protokolu OAuth je bezpečné vďaka prístupovým tokenom. Prístupový token je časť údajov, ktorá obsahuje informácie o používateľovi a zdroji, pre ktorý je token určený. Token bude obsahovať aj konkrétne pravidlá zdieľania údajov.

Môžete chcieť napríklad zdieľať fotografie z profilu na sociálnych sieťach pomocou aplikácie na úpravu fotografií, ale chcete, aby mala prístup len k niektorým vašim fotografiám. Nepotrebuje ani prístup k vašim priamym správam či zoznamu priateľov. Token oprávňuje prístup iba k údajom, ktoré schvaľujete. Môžu existovať aj pravidlá, ktorými sa riadi, keď aplikácia môže použiť tento token, a to na jedno použitie alebo na opakované použitie, a dátum vypršania platnosti.

Proces OAuth je väčšinou interakciou medzi počítačmi s niekoľkými styčnými bodmi pre používateľa. V niektorých prípadoch možno nebudete musieť poskytnúť schválenie, pretože ho v tichosti spracováva softvér na pozadí. Dva takéto príklady protokolu OAuth by boli v podnikovom pracovnom scenári, kde platforma identity spracováva pripojenia medzi zdrojmi s cieľom znížiť vyťaženie IT pre veľký počet používateľov alebo v interakciách medzi niektorými inteligentnými zariadeniami.


 

Príklady technológie OAuth

Podobne ako mnohé technológie, ktoré zjednodušujú zdĺhavé veci, v tomto prípade manuálne vytváranie kont vo viacerých aplikáciách, OAuth je takmer univerzálne prijatí tvorcami aplikácií. Ponúka širokú škálu prípadov použitia pre ľudí a podniky.

Aby sme uviedli jeden príklad protokolu OAuth, predpokladajme, že používate Microsoft Teams ako nástroj na spoluprácu a chcete získať prístup k ďalším informáciám o ľuďoch, s ktorými pracujete, a to v rámci aj mimo vašej organizácie. Rozhodnete sa povoliť integráciu LinkedInu, aby ste sa počas interakcie s nimi mohli dozvedieť viac o ľuďoch bez toho, aby ste museli opustiť Teams. Microsoft a LinkedIn by potom použili OAuth na oprávnenie prepojenia vašich kont s vašou identitou Microsoft.

Ďalším scenárom použitia protokolu OAuth by bolo stiahnutie aplikácie na rozpočet, ktorá vám pomôže sledovať výdavky vďaka upozorneniam a vizuálnym pomôckam, ako sú napríklad grafy. Na vykonanie úlohy bude aplikácia potrebovať prístup k niektorým vašim bankovým údajom. Môžete iniciovať žiadosť o prepojenie bankového účtu s aplikáciou a oprávniť len prístup k zostatku a transakciám na účte. Aplikácia a vaša banka by použili OAuth na výmenu informácií vo vašom mene bez toho, aby sa aplikácii odhalili vaše bankové prihlasovacie údaje.

Ďalším príkladom protokolu OAuth by bolo, keby ste boli vývojárom, ktorý používa GitHub. Zistíte, že je k dispozícii aplikácia tretej strany, ktorá sa môže integrovať s vaším kontom na vykonávanie automatických revízií kódu. Prejdete na GitHub Marketplace a stiahnete si aplikáciu. Potom vás požiada, aby ste oprávnili pripojenie aplikácie pomocou vašej identity v službe GitHub. Tento proces by sa spracoval pomocou protokolu OAuth. Aplikácia na revíziu by potom mohla získať prístup k vášmu kódu bez toho, aby ste sa museli zakaždým prihlásiť do oboch služieb.

Aký je rozdiel medzi verziami OAuth 1.0 a OAuth 2.0?

Pôvodná verzia OAuth 1.0 bola vytvorená len pre webové lokality. V súčasnosti sa bežne nepoužíva, pretože verzia OAuth 2.0 je navrhnutá pre aplikácie aj webové lokality. Navyše sa rýchlejšie a jednoduchšie implementuje. OAuth 1.0 nemá rozsah ako OAuth 2.0 a má len tri možné postupy oprávnenia, pričom OAuth 2.0 ich má šesť.

Ak plánujete používať OAuth, najlepšie je od začiatku používať verziu 2.0. Žiaľ, OAuth 1.0 sa nedá inovovať na OAuth 2.0. OAuth 2.0 mal byť výrazným pretvorením verzie OAuth 1.0 a niekoľko veľkých technologických spoločností prispelo k návrhu pripomienkami. Webová lokalita môže podporovať OAuth 1.0 aj OAuth 2.0, ale úmyslom tvorcov bolo úplne nahradiť verziu 1.0 verziou 2.0.

OAuth a OIDC

OAuth a Open ID Connect (OIDC) sú úzko súvisiace protokoly. Sú podobné v tom, že oba hrajú úlohu pri poskytovaní prístupu jednej aplikácii k zdrojom inej aplikácie v mene používateľa. Rozdiel je v tom, že zatiaľ čo OAuth sa používa na oprávnenie prístupu k zdrojom, OIDC sa používa na overenie identity osoby. Oba majú rolu pri umožnení zdieľania informácií dvom nesúvisiacim aplikáciám bez ohrozenia používateľských údajov.

Poskytovatelia identity (IdP) zvyčajne používajú OAuth 2.0 aj OIDC spoločne. Protokol OIDC bol vyvinutý špeciálne na vylepšenie funkcií protokolu OAuth 2.0 pridaním vrstvy identity. OIDC je postavený na protokole OAuth 2.0, preto nie je spätne kompatibilný s protokolom OAuth 1.0.

 

Začíname so štandardom OAuth

Používanie protokolu OAuth 2.0 s webovými lokalitami a aplikáciami môže výrazne zlepšiť možnosti používateľov alebo zamestnancov tým, že zjednoduší proces overovania identity. Ak chcete začať, investujte do riešenia poskytovateľa identity (IdP), ako je napríklad Microsoft Entra, ktoré chráni používateľov a údaje pomocou vstavaného zabezpečenia

Microsoft Entra ID (predtým Azure Active Directory) podporuje všetky postupy protokolu OAuth 2.0. Vývojári aplikácií môžu používať ID ako poskytovateľa overenia založeného na štandardoch, ktorý im pomôže integrovať moderné funkcie identity na podnikovej miere do aplikácií. Správcovia ho môžu použiť na riadenie prístupu.

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

  • Preskúmajte riešenie Microsoft Entra

    Chráňte identity a zabezpečte prístup v cloudoch pomocou holistického radu riešení.

    Ďalšie informácie

  • Microsoft Entra ID (predtým Azure Active Directory)

    Chráňte prístup k zdrojom a údajom pomocou silného overovania a adaptívneho prístupu s vyhodnocovaním rizík.

    Ďalšie informácie

  • Budujte dôveryhodné aplikácie

    Implementujte jediné prihlásenie, aby zamestnanci mali prístup ku všetkým potrebným zdrojom pomocou jedných prihlasovacích údajov.

    Ďalšie informácie

  • Jednoduchšie prihlasovanie

    Implementujte jediné prihlásenie, aby zamestnanci mali prístup ku všetkým potrebným zdrojom pomocou jedných prihlasovacích údajov.

    Ďalšie informácie

  • Ochrana pred útokmi

    Ochranu zdrojov organizácie môžete vylepšiť pomocou viacfaktorového overovania.

    Ďalšie informácie

  • Zjednodušenie prístupu k e-mailovým údajom pomocou protokolu OAuth

    Zistite, ako overiť pripojenia k aplikáciám pomocou starších protokolov.

    Prečítať si viac

 

 

Najčastejšie otázky

  • OAuth je skratkou pre Open Authorization a ide o technologický štandard, ktorý vám umožňuje oprávniť jednu aplikáciu alebo službu na prihlásenie do druhej bez prezradenia súkromných informácií, ako sú napríklad heslá. Keď vás aplikácia požiada o oprávnenie na zobrazenie informácií o vašom profile, používa OAuth.

  • OAuth funguje na výmene prístupových tokenov, teda častí údajov, ktoré obsahujú informácie o používateľovi a zdroji, pre ktorý je token určený. Jedna aplikácia alebo webová lokalita si s inou vymieňa šifrované informácie o používateľovi a zahŕňa konkrétne pravidlá zdieľania údajov. Môžu existovať aj pravidlá, ktorými sa riadi, keď aplikácia môže použiť tento token, a dátum vypršania platnosti. Proces OAuth je väčšinou interakciou medzi počítačmi s niekoľkými styčnými bodmi pre používateľa, ak existuje

  • Mnohé spoločnosti používajú OAuth na zjednodušenie prístupu k aplikáciám a webovým lokalitám tretích strán bez odhalenia hesiel alebo citlivých údajov používateľov. Google, Amazon, Microsoft, Facebook a Twitter ho používajú na zdieľanie informácií o kontách na širokú škálu účelov vrátane zjednodušenia nákupov. Microsoft identity platform používa OAuth na oprávnenie povolení pre pracovné a školské kontá, osobné kontá, kontá na sociálnych sieťach a herné kontá.

  • OAuth a Open ID Connect (OIDC) sú úzko súvisiace protokoly. Sú podobné v tom, že oba hrajú úlohu pri poskytovaní prístupu jednej aplikácii k zdrojom inej aplikácie v mene používateľa. Rozdiel je však v tom, že OAuth sa používa na oprávnenie prístupu k zdrojom, zatiaľ čo OIDC sa používa na overenie identity osoby. Oba hrajú rolu pri umožnení zdieľania informácií dvom nesúvisiacim aplikáciám bez ohrozenia používateľských údajov.

  • Medzi verziami OAuth 1.0 a OAuth 2.0 existujú mnohé rozdiely, pretože verzia OAuth 2.0 bola navrhnutá ako výrazné pretvorenie verzie OAuth 1.0, ktorá sa tým stala takmer zastaranou. Verzia OAuth 1.0 bola vytvorená len pre webové lokality, zatiaľ čo verzia OAuth 2.0 je určená pre aplikácie aj webové lokality. OAuth 2.0 sa rýchlejšie a jednoduchšie implementuje, dá sa škálovať a má šesť možných postupov oprávnenia, pričom OAuth 1.0 má iba tri.

Sledujte Microsoft 365