This is the Trace Id: a937bffbbce9c936b233f1f94519d40d
Prejsť na hlavný obsah
Zabezpečenie od spoločnosti Microsoft

Čo je OIDC?

Získajte informácie o OpenID Connect (OIDC), overovanom protokole, ktorý overuje identity používateľov pri prihlásení na prístup k digitálnym zdrojom.

Definícia protokolu OpenID Connect (OIDC)

OpenID Connect (OIDC) je protokol overovania identity, ktorý je rozšírením protokolu open authorization (OAuth) 2.0 na štandardizáciu procesu overovania a autorizovania používateľov, keď sa prihlásia na prístup k digitálnym službám. Protokol OIDC poskytuje overovanie, čo znamená, že overuje, či používatelia sú naozaj tými, kým tvrdia, že sú. Protokol OAuth 2.0 autorizuje, ku ktorým systémom majú títo používatelia prístup. Protokol OAuth 2.0 sa zvyčajne používa na povolenie zdieľania informácií medzi dvomi nesúvisiacimi aplikáciami bez ohrozenia používateľských údajov. Mnohí ľudia napríklad používajú svoje e-mailové kontá alebo kontá sociálnych sietí na prihlásenie na lokalitu tretej strany namiesto vytvárania nového mena používateľa a hesla. Protokol OIDC sa používa aj na poskytovanie jediného prihlásenia. Organizácie môžu používať zabezpečený systém správy identít a prístupu (IAM), ako je napríklad Microsoft Entra ID (predtým Azure Active Directory) ako primárneho overovateľa identít, a potom použiť protokol OIDC na odovzdanie tohto overovania iným aplikáciám. Používatelia sa tak na prístup k viacerým aplikáciám musia prihlásiť len raz s jedným menom používateľa a heslom.

 

 

Kľúčové súčasti protokolu OIDC

V protokole OIDC existuje šesť primárnych súčastí:

  • Overovanie je proces overenia, či používateľ je tá osoba, ktorá to o sebe tvrdí.

  • Klient je softvér, napríklad webová lokalita alebo aplikácia, ktorý vyžaduje tokeny, ktoré sa používajú na overenie používateľa alebo prístup k zdroju.

  • Priestupné strany sú aplikácie, ktoré používajú poskytovateľov OpenID na overovanie používateľov.  

  • Tokeny identity obsahujú údaje o identite vrátane výsledku procesu overovania, identifikátora používateľa a informácií o tom, ako a kedy je používateľ overený. 

  • Poskytovatelia OpenID sú aplikácie, pre ktoré už používateľ má konto. Ich úlohou v OIDC je overiť používateľa a odovzdať tieto informácie priestupnej strane.

  • Používatelia sú ľudia alebo služby, ktoré sa snažia získať prístup k aplikácii bez vytvorenia nového konta alebo poskytnutia mena používateľa a hesla. 

 

Ako funguje overovanie OIDC?

Overovanie OIDC funguje tak, že umožňuje používateľom prihlásiť sa do jednej aplikácie a získať prístup k inej. Ak si napríklad používateľ chce vytvoriť konto na lokalite so správami, môže mať možnosť použiť Facebook na vytvorenie konta namiesto vytvorenia nového konta. Ak si vyberie Facebook, používa overovanie OIDC. Facebook, ktorý sa označuje ako poskytovateľ OpenID, spracúva proces overovania a získava súhlas používateľa na poskytnutie konkrétnych informácií, ako je napríklad používateľský profil, lokalite správ, ktorá je priestupnou stranou. 

Tokeny ID 

Poskytovateľ OpenID používa tokeny ID na prenos výsledkov overovania a akýchkoľvek relevantných informácií priestupnej strane. Medzi príklady typu odoslaných údajov patria ID, e-mailová adresa a meno.

Rozsahy

Rozsahy definujú, čo môže používateľ robiť so svojím prístupom. Protokol OIDC poskytuje štandardné rozsahy, ktoré definujú napríklad pre ktorú priestupnú stranu bol token vygenerovaný, kedy bol token vygenerovaný, kedy uplynie platnosť tokenu, a intenzitu šifrovania použitú na overenie používateľa. 

Typický proces overovania OIDC zahŕňa tieto kroky:

  1. Používateľ prejde do aplikácie, do ktorej chce získať prístup (priestupná strana).
  2. Používateľ zadá svoje meno používateľa a heslo.
  3. Priestupná strana odošle požiadavku poskytovateľovi OpenID.
  4. Poskytovateľ OpenID overí prihlasovacie údaje používateľa a získa autorizáciu.
  5. Poskytovateľ OpenID odošle token identity a často tiež prístupový token priestupnej strane.
  6. Priestupná strana odošle prístupový token do zariadenia používateľa.
  7. Používateľ získa prístup na základe informácií uvedených v prístupovom tokene a od priestupnej strany. 

Aké sú toky protokolu OIDC?

Toky protokolu OIDC definujú, ako sa tokeny požadujú a doručujú priestupnej strane. Tu je niekoľko príkladov:

  • Toky oprávnenia OIDC: Poskytovateľ OpenID odošle priestupnej strane jedinečný kód. Priestupná strana potom odošle jedinečný kód späť poskytovateľovi OpenID výmenou za token. Táto metóda sa používa na to, aby poskytovateľ OpenID mohol pred odoslaním tokenu overiť priestupnú stranu. Prehliadač nemôže v tejto metóde token vidieť, čo ho pomáha udržiavať zabezpečený.

  • Toky oprávnenia OIDC s rozšírením PKCE: Tento tok je rovnaký ako tok autorizácie protokolu OIDC s tým rozdielom, že používa verejný kľúč pre rozšírenie výmeny kódov (PKCE) na odoslanie komunikácie ako hodnotu hash. Tým sa zníži pravdepodobnosť zachytenia tokenu.

  • Prihlasovacie údaje klienta: Tento tok poskytuje prístup k webovým rozhraniam API pomocou identity samotnej aplikácie. Zvyčajne sa používa na komunikáciu medzi servermi a na automatizované skripty, ktoré nevyžadujú interakciu používateľa.

  • Kód zariadenia: Tento tok umožňuje používateľom prihlásiť sa a získať prístup k webovým rozhraniam API v zariadeniach s pripojením na internet, ktoré nemajú prehliadače alebo majú nepohodlné možnosti klávesnice, ako je napríklad smart TV. 

Ďalšie toky, ako je napríklad implicitný tok protokolu OIDC, ktorý je navrhnutý pre aplikácie v prehliadači, sa neodporúčajú, pretože predstavujú riziko zabezpečenia.

Porovnanie OIDC a OAuth 2.0

OIDC bol vytvorený na základe OAuth 2.0 na pridanie overenia. Najskôr bol vyvinutý protokol OAuth 2.0 a potom bol pridaný protokol OIDC, aby sa zlepšili jeho možnosti. Rozdiel medzi nimi je v tom, že OAuth 2.0 poskytuje autorizáciu, zatiaľ čo OIDC poskytuje overenie. OAuth 2.0 umožňuje používateľom získať prístup k priestupnej strane pomocou ich konta u poskytovateľa OpenID a OIDC umožňuje poskytovateľovi OpenID odovzdať používateľský profil priestupnej strane. OIDC tiež umožňuje organizáciám ponúknuť svojim používateľom jediné prihlásenie.

 

 

Výhody overovania OIDC

Znížením počtu kont, ktoré používatelia potrebujú na prístup k aplikáciám, ponúka OIDC niekoľko výhod jednotlivcom aj organizáciám:

Znižuje riziko krádeže hesiel

Keď používatelia potrebujú na prístup k aplikáciám, ktoré potrebujú na prácu a svoj osobný život, používať viacero hesiel, často si vyberú heslá, ktoré si jednoducho zapamätajú, napríklad Heslo1234!, a používajú rovnaké heslo vo viacerých kontách. Zvýši sa tým riziko, že zlý aktér uhádne heslo. A keď pozná heslo k jednému kontu, môže získať prístup aj k iným kontám. Znížením počtu hesiel, ktoré si človek musí zapamätať, sa zvyšuje pravdepodobnosť, že bude používať silnejšie a bezpečnejšie heslo.

Vylepšuje ovládacie mechanizmy zabezpečenia

Centralizovaním overovania v jednej aplikácii môžu organizácie tiež zabezpečiť prístup vo viacerých aplikáciách pomocou silných ovládacích mechanizmov prístupu. OIDC podporuje dvojfaktorové a viacfaktorové overovanie, ktoré vyžaduje, aby ľudia overili svoju identitu pomocou aspoň dvoch z nasledujúcich:

  • niečo, čo používateľ pozná, zvyčajne heslo,

  • niečo, čo má, napríklad dôveryhodné zariadenie alebo token, ktoré sa nedajú jednoducho duplikovať, 

  • niečo, čo je jeho súčasťou, napríklad odtlačok prsta alebo sken tváre.

Viacfaktorové overovanie je osvedčený spôsob na obmedzenie zneužitia konta. Organizácie môžu používať OIDC aj na uplatňovanie iných bezpečnostných opatrení, ako sú napríklad správa privilegovaného prístupu, ochrana heslom, zabezpečenie prihlasovania alebo ochrana identity, vo viacerých aplikáciách. 

Zjednodušuje používateľskú skúsenosť

Prihlasovanie do viacerých kont počas dňa môže byť pre ľudí časovo náročné a frustrujúce. Navyše, ak heslo stratia alebo zabudnú, jeho resetovanie môže ešte viac narušiť produktivitu. Podniky, ktoré používajú protokol OIDC na poskytovanie jediného prihlásenia svojim zamestnancom, pomáhajú zaistiť, že ich pracovníci trávia viac času produktívnou prácou, a nie pokúšaním sa o získanie prístupu k aplikáciám. Organizácie tiež zvyšujú pravdepodobnosť, že sa zákazníci zaregistrujú a budú používať ich služby, ak umožnia ľuďom používať na prihlásenie ich konto Microsoft, Facebook alebo Google. 

Štandardizuje overovanie

Protokol OIDC vytvorila nadácia OpenID Foundation, ktorá zahŕňa významné značky ako Microsoft a Google. Bol navrhnutý tak, aby bol interoperabilný a podporoval mnoho platforiem a knižníc vrátane systémov iOS, Android, Microsoft Windows a hlavných poskytovateľov cloudu a identity.

Zjednodušuje správu identít

Organizácie, ktoré používajú protokol OIDC na poskytovanie jediného prihlásenia pre svojich zamestnancov a partnerov, môžu znížiť počet riešení na správu identít, ktoré musia spravovať. Uľahčuje to sledovanie meniacich sa oprávnení a umožňuje to správcom používať jedno rozhranie na uplatňovanie politík a pravidiel prístupu vo viacerých aplikáciách. Spoločnosti, ktoré používajú protokol OIDC, aby umožnili ľuďom prihlásiť sa do svojich aplikácií pomocou poskytovateľa OpenID, znižujú počet identít, ktoré musia vôbec spravovať. 

Príklady a prípady použitia overovania OIDC

Mnohé organizácie používajú protokol OIDC na povolenie zabezpečeného overovania vo webových a mobilných aplikáciách. Tu je niekoľko príkladov:

  • Keď sa používateľ registruje do konta Spotify, dostane na výber tri možnosti: zaregistrovať sa cez Facebook, zaregistrovať sa cez Google a zaregistrovať sa pomocou svojej e-mailovej adresy. Používatelia, ktorí sa rozhodnú zaregistrovať sa cez Facebook alebo Google, používajú na vytvorenie konta OIDC. Budú presmerovaní na poskytovateľa OpenID, ktorého si vybrali (Google alebo Facebook), a keď sa potom prihlásia, poskytovateľ OpenID odošle službe Spotify základné podrobnosti o profile. Používateľ si nemusí vytvoriť nové konto pre Spotify a jeho heslá zostávajú chránené.

  • Aj LinkedIn poskytuje používateľom spôsob, ako si vytvoriť konto pomocou svojho konta Google namiesto vytvorenia samostatného konta pre LinkedIn. 

  • Spoločnosť chce poskytnúť jediné prihlásenie zamestnancom, ktorí pre svoju prácu potrebujú mať prístup k službám Microsoft Office 365, Salesforce, Box a Workday. Spoločnosť namiesto toho, aby vyžadovala od zamestnancov vytvorenie samostatného konta pre každú z týchto aplikácií, používa protokol OIDC na poskytnutie prístupu ku všetkým štyrom. Zamestnanci si vytvoria jedno konto a pri každom prihlásení získajú prístup ku všetkým aplikáciám, ktoré potrebujú na prácu.  

Implementácia protokolu OIDC na zabezpečené overovanie

OIDC poskytuje overovací protokol na zjednodušenie prihlasovania pre používateľov a zlepšenie zabezpečenia. Je to skvelé riešenie pre podniky, ktoré chcú podporiť zákazníkov, aby sa zaregistrovali do ich služieb bez starostí so spravovaním kont. Umožňuje tiež organizáciám ponúknuť svojim zamestnancom a iným používateľom bezpečné jediné prihlásenie do viacerých aplikácií. Organizácie môžu používať riešenia identity a prístupu, ktoré podporujú OIDC, ako napríklad Microsoft Entra, na spravovanie všetkých svojich identít a politík zabezpečenia overovania na jednom mieste.

   

 

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

Najčastejšie otázky

  • OIDC je protokol overovania identity, ktorý funguje s protokolom OAuth 2.0 na štandardizáciu procesu overovania a autorizovania používateľov, keď sa prihlásia na prístup k digitálnym službám. Protokol OIDC poskytuje overovanie, čo znamená, že overuje, či používatelia sú naozaj tými, kým tvrdia, že sú. Protokol OAuth 2.0 autorizuje, ku ktorým systémom majú títo používatelia prístup. Protokoly OIDC a OAuth 2.0 sa zvyčajne používajú na povolenie zdieľania informácií medzi dvomi nesúvisiacimi aplikáciami bez ohrozenia používateľských údajov. 

  • OIDC aj SAML (security assertion markup language) sú protokoly overovania identity, ktoré používateľom umožňujú raz sa bezpečne prihlásiť a pristupovať k viacerým aplikáciám. SAML je starší protokol, ktorý bol široko prijatý na jediné prihlásenie. Prenáša údaje pomocou formátu XML. OIDC je novší protokol, ktorý používa formát JSON na prenos používateľských údajov. Protokol OIDC získava na popularite, pretože sa jednoduchšie implementuje ako SAML a lepšie funguje s mobilnými aplikáciami.

  • OIDC je skratka pre protokol OpenID Connect, čo je protokol overovania identity, ktorý sa používa na povolenie zdieľania informácií používateľského profilu dvomi nesúvisiacimi aplikáciami bez ohrozenia prihlasovacích údajov používateľa.

  • OIDC bol vytvorený na základe OAuth 2.0 na pridanie overenia. Najskôr bol vyvinutý protokol OAuth 2.0 a potom bol pridaný protokol OIDC, aby sa zlepšili jeho možnosti. Rozdiel medzi nimi je v tom, že OAuth 2.0 poskytuje autorizáciu, zatiaľ čo OIDC poskytuje overenie. OAuth 2.0 umožňuje používateľom získať prístup k priestupnej strane pomocou ich konta u poskytovateľa OpenID a OIDC umožňuje poskytovateľovi OpenID odovzdať používateľský profil priestupnej strane. Táto funkcia tiež umožňuje organizáciám ponúknuť svojim používateľom jediné prihlásenie. Toky protokolov OAuth 2.0 a OIDC sú podobné s tým rozdielom, že používajú mierne odlišnú terminológiu. 

    Typický tok protokolu OAuth 2.0 má tieto kroky:

    1. Používateľ prejde do aplikácie, do ktorej chce získať prístup (server zdrojov).
    2. Server zdrojov presmeruje používateľa do aplikácie, v ktorej má konto (klienta).
    3. Používateľ sa prihlási pomocou svojich prihlasovacích údajov pre klienta.
    4. Klient overí prístup používateľa.
    5. Klient odošle prístupový token na server zdrojov.
    6. Server zdrojov udelí používateľovi prístup.

    Typický tok protokolu OIDC má tieto kroky:

    1. Používateľ prejde do aplikácie, do ktorej chce získať prístup (priestupná strana).
    2. Používateľ zadá svoje meno používateľa a heslo.
    3. Priestupná strana odošle požiadavku poskytovateľovi OpenID.
    4. Poskytovateľ OpenID overí prihlasovacie údaje používateľa a získa autorizáciu.
    5. Poskytovateľ OpenID odošle token identity a často tiež prístupový token priestupnej strane.
    6. Priestupná strana odošle prístupový token do zariadenia používateľa.
    7. Používateľ získa prístup na základe informácií uvedených v prístupovom tokene a od priestupnej strany. 

  • Poskytovateľ OpenID používa tokeny ID na prenos výsledkov overovania a akýchkoľvek relevantných informácií do aplikácie priestupnej strany. Medzi príklady typu odoslaných údajov patria ID, e-mailová adresa a meno.

Sledujte zabezpečenie od spoločnosti Microsoft