This is the Trace Id: ce9e61d477e3b95130025d162c298f90
Preskoči na glavno vsebino
Microsoftova varnost

Kaj je OAuth?

Preberite, kaj je OAuth in kako se uporablja za pooblastitev dostopa za aplikacije in storitve brez ogrožanja občutljivih informacij.

Definicija standarda OAuth

OAuth je tehnološki standard, ki omogoča pooblastitev ene aplikacije ali storitve za vpis v drugo brez razkrivanja zasebnih informacij, kot so gesla. Če ste kadar koli prejeli sporočilo, kot je »Ali se želite vpisati s storitvijo Facebook?« ali "Ali želite omogočiti tej aplikaciji dostop do svojega računa?«, je to del postopka uporabe standarda OAuth.

OAuth je kratica za standard Open Authorization in ne za preverjanje pristnosti, kot se včasih predvideva. Preverjanje pristnosti je postopek, s katerim preverite identiteto. Standard OAuth sicer vključuje vašo identiteto, vendar je njegov namen dodelitev dovoljenja za nemoteno vzpostavljanje povezave z različnimi aplikacijami in storitvami, brez potrebe po ustvarjanju novega računa. OAuth zagotavlja preprosto izkušnjo, saj lahko pooblastite dve aplikaciji za skupno rabo nekaterih vaših podatkov, ne da bi pri tem razkrili svoje poverilnice. Zagotavlja ravnovesje med priročnostjo in varnostjo.

Standard OAuth je zasnovan za delovanje s protokolom HTTP (Hypertext Transfer Protocol). Za preverjanje identitete in interakcijo z drugo storitvijo v vašem imenu uporablja žetone za dostop. Če na primer pride do kršitve varnosti podatkov v drugi storitvi, ostanejo vaše poverilnice v prvi storitvi varne. OAuth je splošno uveden protokol odprtega standarda, ki ga uporablja večina razvijalcev spletnih mest in aplikacij.

OAuth aplikaciji ali storitvi tretje osebe ne omogoča neomejenega dostopa do vaših podatkov. V okviru protokola morate določiti, do katerih podatkov lahko tretja oseba dostopa in kako lahko te podatke uporablja. Nastavitev takšnih omejitev in splošna zaščita identitet sta še posebej pomembna v poslovnih scenarijih, kjer lahko veliko ljudi dostopa do številnih občutljivih in lastniških informacij.


 

Kako deluje OAuth?

Uporaba standarda OAuth je varna zaradi žetonov za dostop. Žeton za dostop je del podatkov, ki vsebuje informacije o uporabniku in viru, za katerega je žeton namenjen. Žeton vključuje tudi posebna pravila za skupno rabo podatkov.

Z aplikacijo za urejanje fotografij lahko na primer daste v skupno rabo fotografije iz svojega profila v družabnih omrežjih, hkrati pa želite aplikaciji omogočiti dostop samo do nekaterih fotografij. Prav tako aplikaciji ne želite omogočiti dostopa do vaših neposrednih sporočil ali seznama prijateljev. Žeton pooblasti samo dostop do podatkov, ki ste jih odobrili. Nastavite lahko tudi pravila, ki določajo, kdaj lahko aplikacija uporabi ta žeton – za enkratno ali ponavljajočo se uporabo – in datum poteka veljavnosti.

Postopek standarda OAuth vključuje večinoma interakcijo med napravami, z le nekaj stičnimi točkami uporabnika. V nekaterih scenarijih vam morda ne bo treba dodeliti odobritve, saj jo v ozadju tiho uredi programska oprema. Dva primera uporabe standarda OAuth sta razvidna v poslovnem scenariju podjetja, kjer platforma za identitete upravlja povezave med viri za zmanjšanje težav na področju IT-ja glede velikega števila uporabnikov ali pri interakcijah med nekaterimi pametnimi napravami.


 

Primeri tehnologije OAuth

Podobno kot številne tehnologije, ki omogočajo poenostavitev dolgotrajnih postopkov – v tem primeru ročno ustvarjanje računov v več aplikacijah – so ustvarjalci aplikacij globalno uvedli tudi tehnologijo OAuth. Tehnologijo je mogoče uporabljati v številnih različnih primerih za ljudi in podjetja.

Primer uporabe tehnologije OAuth: uporabljate aplikacijo Microsoft Teams kot orodje za sodelovanje in želite dostopati do več informacij o ljudeh, s katerimi sodelujete, v organizaciji in zunaj nje. Odločite se, da omogočite integracijo storitve LinkedIn, ker želite med sodelovanjem z ljudmi pridobiti več informacij o njih, ne da morali zapreti aplikacijo Teams. Microsoft in LinkedIn nato z uporabo tehnologije OAuth pooblastita povezovanje vaših računov z vašo Microsoftovo identiteto.

Drug scenarij uporabe tehnologije OAuth je, če na primer prenesete aplikacijo za načrtovanje proračuna za lažje spremljanje porabe sredstev z opozorili in vizualnimi pripomočki, kot so grafikoni. Aplikacija za ustrezno delovanje potrebuje dostop do nekaterih vaših bančnih podatkov. Inicializirate lahko zahtevo za povezavo svojega bančnega računa z aplikacijo in s tem pooblastite le dostop do stanja na računu in transakcij. Aplikacija in banka to izmenjavo informacij izvedeta v vašem imenu s tehnologijo OAuth, ki aplikaciji ne razkrije vaših poverilnic za vpis v banko.

Drug primer uporabe tehnologije OAuth je, če ste razvijalec, ki uporablja GitHub, in ugotovite, da je na voljo aplikacija neodvisnega ponudnika, ki jo lahko integrirate s svojim računom za izvajanje avtomatiziranih pregledov kode. Odprete tržnico GitHub Marketplace in prenesite aplikacijo. Tehnologija vas pozove k pooblastitvi vzpostavitve povezave z aplikacijo z uporabo vaše identitete za GitHub – postopek je izveden z uporabo standarda OAuth. Aplikacija za pregledovanje lahko nato dostopa do vaše kode, ne da bi se morali vsakič vpisati v obe storitvi.

Kakšna je razlika med različicama standarda OAuth 1.0 in OAuth 2.0?

Prvotna različica standarda OAuth 1.0 je bila razvita samo za spletna mesta. Danes se ne uporablja pogosto, saj je različica OAuth 2.0 zasnovana za aplikacije in spletna mesta, poleg tega pa je hitrejša in lažja za izvajanje. Različica OAuth 1.0 ni prilagodljiva tako kot OAuth 2.0, poleg tega pa vključuje le tri možne toke pooblastitve v primerjavi s šestimi, ki jih omogoča OAuth 2.0.

Če nameravate uporabljati standard OAuth, je priporočljivo, da že od začetka uporabljate različico 2.0. Različice OAuth 1.0 ni mogoče nadgraditi na OAuth 2.0. Namen različice OAuth 2.0 je bil radikalno preoblikovanje različice OAuth 1.0, povratne informacije o njeni zasnovi pa je posredovalo tudi več velikih tehnoloških podjetij. Spletno mesto lahko podpira tako OAuth 1.0 kot tudi OAuth 2.0, vendar so ustvarjalci želeli, da bi različica 2.0 popolnoma nadomestila različico 1.0.

OAuth in OIDC

OAuth in Open ID Connect (OIDC) sta tesno povezana protokola. Podobna sta si v tem, da oba v imenu uporabnika omogočata eni aplikaciji dostop do virov druge aplikacije. Razlikujeta pa se v tem, da se OAuth uporablja za pooblastitev dostopa do virov, OIDC pa za preverjanje pristnosti identitete osebe. Oba imata pomembno vlogo pri omogočanju posredovanja informacij med nepovezanima aplikacijama, ne da bi bili pri tem ogroženi podatki uporabnika.

Ponudniki identitet običajno skupaj uporabljajo standard OAuth 2.0 in protokol OIDC. Protokol OIDC je bil razvit posebej za namene izboljšanja zmogljivosti standarda OAuth 2.0 z dodajanjem plasti identitete. Ker OIDC temelji na standardu OAuth 2.0, ni združljiv s standardom OAuth 1.0.

 

Uvod v OAuth

Z uporabo standarda OAuth 2.0 na spletnih mestih in v aplikacijah lahko bistveno izboljšate izkušnje uporabnikov ali zaposlenih tako, da poenostavite postopek preverjanja pristnosti identitete. Začnite z naložbo v rešitev ponudnika identitet, kot je Microsoft Entra, ki varuje uporabnike in podatke z vgrajeno varnostjo

Microsoft Entra ID (prej Azure Active Directory) podpira vse toke standarda OAuth 2.0. Razvijalci aplikacij lahko uporabljajo storitev ID kot ponudnika preverjanja pristnosti na podlagi standardov za lažjo integracijo sodobnih zmogljivosti identitete na ravni podjetja v aplikacije. Skrbniki za IT lahko storitev uporabljajo za nadzor dostopa.

Več informacij o Microsoftovi varnosti

  • Raziščite storitvi Microsoft Entra

    Zaščitite identitete in zavarujte dostop v oblakih s celostno družino rešitev.

    Več informacij

  • Microsoft Entra ID (prej Azure Active Directory)

    Zaščitite dostop do virov in podatkov z zmogljivim preverjanjem pristnosti ter prilagodljivim dostopom, ki temelji na tveganju.

    Več informacij

  • Vgradite zaupanje v svoje aplikacije

    Uvedite enotno prijavo, tako da bodo lahko zaposleni dostopali do vseh želenih virov z eno poverilnico.

    Več informacij

  • Izboljšajte učinkovitost izkušenj vpisa

    Uvedite enotno prijavo, tako da bodo lahko zaposleni dostopali do vseh želenih virov z eno poverilnico.

    Več informacij

  • Zaščitite se pred napadi

    Uporabite večkratno preverjanje pristnosti za izboljšanje zaščite virov organizacije.

    Več informacij

  • Uporabite standard OAuth za poenostavitev dostopa do e-poštnih podatkov

    Oglejte si kako lahko preverite pristnost povezav z aplikacijami, ki uporabljajo starejše protokole.

    Preberite več

 

 

Pogosta vprašanja

  • OAuth je kratica za Open Authorization in je tehnološki standard, ki omogoča pooblastitev ene aplikacije ali storitve za vpis v drugo brez razkrivanja zasebnih informacij, kot so gesla. Ko aplikacija pošlje poziv za pooblastitev za namene prikaza informacij o vašem profilu, uporablja standard OAuth.

  • OAuth deluje po principu izmenjave žetonov za dostop – delov podatkov, ki vsebuje informacije o uporabniku in viru, za katerega je žeton namenjen. Ena aplikacija ali spletno mesto izmenja šifrirane informacije o uporabniku z drugo aplikacijo ali spletnim mestom in vključuje posebna pravila za skupno rabo podatkov. Na voljo so lahko tudi pravila, ki določajo, kdaj lahko aplikacija uporabi ta žeton, in datum poteka veljavnosti. Postopek standarda OAuth vključuje večinoma interakcijo med napravami, z le nekaj stičnimi točkami uporabnika, če so sploh na voljo.

  • Številna podjetja uporabljajo OAuth za poenostavitev dostopa do aplikacij in spletnih mest tretjih oseb, ne da bi pri tem razkrila gesla ali občutljive podatke uporabnikov. Google, Amazon, Microsoft, Facebook in Twitter uporabljajo ta standard za posredovanje informacij o svojih računih za različne namene, vključno s poenostavitvijo nakupov. Microsoftova platforma za identitete uporablja OAuth za pooblastitev dovoljenj za službene in šolske račune, osebne račune, račune za družabna omrežja in račune za igre.

  • OAuth in Open ID Connect (OIDC) sta tesno povezana protokola. Podobna sta si v tem, da oba v imenu uporabnika omogočata eni aplikaciji dostop do virov druge aplikacije. Razlikujeta pa se v tem, da se OAuth uporablja za pooblastitev dostopa do virov, OIDC pa za preverjanje pristnosti identitete osebe. Oba imata pomembno vlogo pri omogočanju posredovanja informacij med nepovezanima aplikacijama, ne da bi bili pri tem ogroženi podatki uporabnika.

  • Med standardoma OAuth 1.0 in OAuth 2.0 so številne razlike, saj je bila različica OAuth 2.0 zasnovana za namene korenitega preoblikovanja različice OAuth 1.0, zaradi česar je postala skoraj zastarela. Različica OAuth 1.0 je bila razvita samo za spletna mesta, medtem ko je različica OAuth 2.0 zasnovana za aplikacije in spletna mesta. Standard OAuth 2.0 je hitrejši in preprostejši za uvajanje, mogoče ga je prilagoditi in vključuje šest možnih tokov pooblastitve v primerjavi s tremi, ki jih vključuje OAuth 1.0.

Spremljajte Microsoft 365