This is the Trace Id: 30015938cea2fa1f885afd1f62e56296
Preskoči na glavno vsebino
Microsoftova varnost

Kaj je OIDC?

Preberite več o protokolu OpenID Connect (OIDC) za preverjanje pristnosti, ki preverja identitete uporabnikov, ko se vpišejo za dostop do digitalnih sredstev.

Definicija protokola OpenID Connect (OIDC)

OpenID Connect (OIDC) je protokol za preverjanje pristnosti identitete, ki je razširitev okvira odprto preverjanje pristnosti (OAuth) 2.0 za standardiziranje postopka preverjanja pristnosti in avtorizacije uporabnikov, kadar se vpišejo za dostop do digitalnih storitev. OIDC zagotavlja preverjanje pristnosti, kar pomeni preverjanje, ali so uporabniki res osebe, za katere se izdajajo. OAuth 2.0 določa, do katerih sistemov imajo ti uporabniki pooblaščen dostop. OAuth 2.0 se običajno uporablja za omogočanje skupne rabe informacij dvema nepovezanima aplikacijama, ne da bi bili pri tem ogroženi uporabniški podatki. Veliko ljudi na primer za vpis na spletnih mestih drugih ponudnikov uporablja e-poštni račun ali račun družabnih omrežij, namesto da bi ustvarili novo uporabniško ime in geslo. OIDC se uporablja tudi za zagotavljanje enotne prijave. Organizacije lahko za primarno preverjanje pristnosti identitet in dostopa uporabljajo varen sistem za upravljanje identitete in dostopa (IAM), kot je Microsoft Entra ID (prej Azure Active Directory), in nato uporabijo OIDC za posredovanje tega preverjanja pristnosti drugim aplikacijam. To uporabnikom omogoča, da se za dostop do več aplikacij vpišejo le enkrat z enim uporabniškim imenom in geslom.

 

 

Ključne komponente protokola OIDC

V protokolu OIDC je zajetih šest primarnih komponent:

  • Preverjanje pristnosti je postopek preverjanja, ali je uporabnik res oseba, za katero se izdaja.

  • Odjemalec je programska oprema, kot je spletno mesto ali aplikacija, ki zahteva žetone, ki se uporabljajo za preverjanje pristnosti uporabnika ali dostop do sredstva.

  • Sodelujoče strani so aplikacije, ki za preverjanje pristnosti uporabnikov uporabljajo ponudnike OpenID.  

  • Žetoni identitet vsebujejo podatke o identiteti, vključno z rezultatom postopka preverjanja pristnosti, identifikatorjem za uporabnika ter informacijami o tem, kako in kdaj je preverjena identiteta uporabnika. 

  • Ponudniki OpenID so aplikacije, za katere uporabnik že ima račun. Njihova vloga v okviru protokola OIDC je preverjanje pristnosti uporabnika in posredovanje teh informacij sodelujoči strani.

  • Uporabniki so osebe ali storitve, ki iščejo dostop do aplikacije brez ustvarjanja novega računa oz. vnašanja uporabniškega imena in gesla. 

 

Kako deluje preverjanje pristnosti OIDC?

Preverjanje pristnosti OIDC deluje tako, da uporabnikom omogoča vpis v eno aplikacijo, pri čemer pridobijo dostop tudi do druge aplikacije. Če želi uporabnik na primer ustvariti račun na spletnem mestu z novicami, bo morda imel možnost, da za ustvarjanje računa uporabi Facebook, namesto da ustvari nov račun. Če uporabnik izbere Facebook, to pomeni, da je za preverjanje pristnosti uporabil protokol OIDC. Facebook, ki velja za ponudnika protokola OpenID, obravnava postopek preverjanja pristnosti in pridobi uporabnikovo soglasje, da spletnemu mestu z novicami, ki je sodelujoča stran, posreduje določene informacije, kot je uporabniški profil. 

Žetoni ID 

Ponudnik protokola OpenID uporablja žetone ID za prenos rezultatov preverjanja pristnosti in vse pomembne informacije sodelujoči strani. Vrste poslanih podatkov med drugim vključujejo na primer ID, e-poštni naslov in ime.

Obsegi

Obsegi določajo, kaj lahko uporabnik naredi s svojim dostopom. OIDC zagotavlja standardne obsege, ki določajo na primer, za katere sodelujoče strani je bil ustvarjen žeton, kdaj je bil ustvarjen žeton, kdaj bo žeton potekel, in moč šifriranja, ki se uporablja za preverjanje pristnosti uporabnika. 

Običajni postopek preverjanja pristnosti OIDC vključuje naslednje korake:

  1. Uporabnik odpre aplikacijo, do katere želi dostopati (sodelujoča stran).
  2. Uporabnik vnese svoje uporabniško ime in geslo.
  3. Sodelujoča stran pošlje zahtevo ponudniku OpenID.
  4. Ponudnik OpenID preveri veljavnost uporabnikovih poverilnic in pridobi pooblastilo.
  5. Ponudnik OpenID pošlje žeton identitete, pogosto pa tudi žeton za dostop sodelujoči strani.
  6. Sodelujoča stran pošlje žeton za dostop v napravo uporabnika.
  7. Uporabnik pridobi dostop na podlagi informacij, ki so navedene v žetonu za dostop in pri sodelujoči strani. 

Kaj so tokovi OIDC?

Tokovi OIDC določajo način, kako so žetoni zahtevani in zagotovljeni sodelujoči strani. Nekaj primerov:

  • Poteki pooblaščanja OIDC: Ponudnik OpenID pošlje enolično kodo sodelujoči strani. Sodelujoča stran nato pošlje enolično kodo nazaj ponudniku OpenID v zameno za žeton. Z uporabo tega načina lahko ponudnik OpenID preveri sodelujočo stran, preden pošlje žeton. V tem načinu brskalnik ne vidi žetona, kar prispeva k njegovi zaščiti.

  • Tok pooblastila OIDC z razširitvijo PKCE: Ta tok je enak toku avtorizacije OIDC, le da za pošiljanje sporočil kot zgoščena vrednost uporablja javni ključ za razširitev izmenjavo kode (PKCE). S tem se zmanjša verjetnost, da bo žeton prestrežen.

  • Poverilnice odjemalca: Ta tok omogoča dostop do spletnih API-jev z uporabo identitete same aplikacije. Običajno se uporablja za komunikacijo med strežniki in avtomatiziranimi skripti, ki ne zahtevajo interakcije uporabnika.

  • Koda naprave: Ta tok omogoča uporabnikom vpis in dostop do spletnih API-jev v napravah, povezanih z internetom, ki nimajo brskalnikov ali nudijo slabo izkušnjo z uporabo tipkovnice, kot je pametna TV. 

Dodatni tokovi, kot je implicitni tok OIDC, ki je zasnovan za aplikacije na osnovi internetnega brskalnika, niso priporočeni, ker predstavljajo varnostno tveganje.

OIDC v primerjavi z okvirom OAuth 2.0

OIDC je bil ustvarjen na podlagi okvira OAuth 2.0 za dodatno preverjanja pristnosti. Protokol OAuth 2.0 je bil najprej razvit, nato pa je bil dodan OIDC za izboljšanje njegovih zmogljivosti. Razlika med njima je v tem, da OAuth 2.0 zagotavlja pooblastilo, OIDC pa preverjanje pristnosti. S protokolom OAuth 2.0 lahko uporabniki pridobijo dostop do sodelujoče strani z uporabo računa pri ponudniku OpenID, OIDC pa je protokol, ki ponudniku OpenID omogoča, da posreduje profil uporabnika sodelujoči strani. OIDC organizacijam omogoča tudi, da svojim uporabnikom nudijo možnost enotne prijave.

 

 

Prednosti preverjanja pristnosti OIDC

Z zmanjšanjem števila računov, ki jih uporabniki potrebujejo za dostop do aplikacij, OIDC ponuja več prednosti za posameznike in organizacije:

Manjše tveganje za krajo gesel

Ko morajo uporabniki za dostop do aplikacij, ki jih potrebujejo za službeno in zasebno rabo, uporabiti več gesel, pogosto izberejo gesla, kot je Geslo1234!, in uporabljajo enako geslo za več računov. S tem povečajo tveganje, da bo nepridiprav uganil geslo. Ko nepridiprav pozna geslo za en račun, bo morda lahko dostopal tudi do drugih računov. Z zmanjšanjem števila gesel, ki si jih mora uporabnik zapomniti, se poveča verjetnost, da bo uporabil močnejše in varnejše geslo.

Boljši varnostni nadzor

S centralizacijo preverjanja pristnosti v eni aplikaciji lahko organizacije zaščitijo dostop v več aplikacijah z močnim nadzorom dostopa. OIDC podpira dvojno in večkratno preverjanje pristnosti, ki od oseb zahteva, da potrdijo svojo identiteto z uporabo vsaj dveh možnosti v nadaljevanju:

  • Nekaj, kar uporabnik pozna – običajno je to geslo.

  • Nekaj, kar je na voljo uporabniku – na primer zaupanja vredna naprava ali žeton, ki ga ni mogoče zlahka podvojiti. 

  • Nekaj, kar je osebna lastnost uporabnika – na primer prstni odtis ali optično branje obraza.

Večkratno preverjanje pristnosti je preizkušen način za zmanjšanje ogroženosti računa. Organizacije lahko OIDC uporabijo tudi za izvajanje drugih varnostnih ukrepov, kot so upravljanje prednostnega dostopa, zaščita z geslom, varnost prijaveali zaščita identitete v več aplikacijah. 

Poenostavljena uporabniška izkušnja

Vpisovanje v več računov čez dan lahko uporabnikom vzame veliko časa in je moteče. Poleg lahko predstavlja dodatno motnjo produktivnosti, če na primer uporabnik izgubi ali pozabi geslo. Podjetja, ki uporabljajo OIDC za zagotavljanje enotne prijave, zaposlenim omogočajo, da porabijo več časa za produktivno delo in ne za ukvarjanje s poskusi pridobivanja dostopa do aplikacij. Organizacije s tem prav tako povečajo verjetnost, da se bodo stranke prijavile za uporabo njihovih storitev, če imajo možnost, da za prijavo uporabijo svoj Microsoft, Facebook ali Google račun. 

Standardizirano preverjanje pristnosti

Fundacija OpenID Foundation, ki vključuje visoko prepoznavne blagovne znamke, kot sta Microsoft in Google, je ustvarila OIDC. Zasnovana je bila tako, da je interoperabilna ter podpira številne platforme in knjižnice, tudi iOS, Android, Microsoft Windows ter glavne ponudnike storitev v oblaku in identitet.

Učinkovitejše upravljanje identitet

Organizacije, ki uporabljajo OIDC za zagotavljanje enotne prijave za svoje zaposlene in partnerje, lahko zmanjšajo število rešitev za upravljanje identitet, ki jih morajo nadzirati. To olajša spremljanje spreminjanja dovoljenj in skrbnikom omogoča uporabo enega vmesnika za uvajanje pravilnikov za dostop in pravil v več aplikacijah. Podjetja, ki s protokolom OIDC uporabnikom omogočajo vpis v aplikacije z uporabo ponudnika OpenID, zmanjšajo število identitet, ki jih potrebujejo za upravljanje. 

Primeri in zgledi uporabe protokola OIDC

Številne organizacije uporabljajo OIDC za omogočanje varnega preverjanja pristnosti v spletnih in mobilnih aplikacijah. Tu je nekaj primerov:

  • Ko se uporabnik prijavi za račun Spotify, ima na voljo tri možnosti: Prijavi se s Facebook računom, Prijavi se z Google računom, Prijavi se s svojim e-poštnim naslovom. Uporabniki, ki se prijavijo s Facebook ali Google računom, za ustvarjanje računa uporabijo OIDC. Pri tem so preusmerjeni na izbranega ponudnika OpenID (Google ali Facebook). Ko se vpišejo v svoj račun, ponudnik OpenID storitvi Spotify pošlje osnovne podrobnosti o profilu. Uporabniku ni treba ustvariti novega računa za Spotify, s tem pa njegova gesla ostanejo zaščitena.

  • Tudi LinkedIn svojim uporabnikom omogoča, da za ustvarjanje računa uporabijo svoj Google račun in se s tem izognejo ustvarjanju ločenega računa za LinkedIn. 

  • Podjetje želi zagotoviti enotno prijavo zaposlenim, ki za svoje delo potrebujejo dostop do aplikacij Microsoft Office 365, Salesforce, Box in Workday. Namesto da morajo zaposleni za vsako od teh aplikacij ustvariti ločen račun, podjetje uporablja OIDC in s tem zaposlenim omogoča dostop do vseh štirih aplikacij. Zaposleni ustvari en račun in vsakič, ko se vpiše, dobi dostop do vseh aplikacij, ki jih potrebujejo za delo.  

Uvedba protokola OIDC za varno preverjanje pristnosti

OIDC zagotavlja protokol za preverjanje pristnosti, s katerim je mogoče poenostaviti izkušnjo vpisa za uporabnike in izboljšati varnosti. To je odlična rešitev za podjetja, ki želijo stranke spodbuditi, da se prijavijo za njihove storitve, ne da bi se morale ukvarjati z upravljanjem več računov. Poleg tega organizacijam omogoča, da svojim zaposlenim in drugim uporabnikom ponudijo varno enotno prijavo v več aplikacij. Organizacije lahko z rešitvami za identitete in dostop, ki podpirajo OIDC, kot je Microsoft Entra, upravljajo vse svoje identitete in varnostne pravilnike za preverjanje pristnosti na enem mestu.

   

 

Več informacij o Microsoftovi varnosti

Pogosta vprašanja

  • OpenID Connect (OIDC) je protokol za preverjanje pristnosti identitete, ki deluje v kombinaciji z okvirom OAuth 2.0 za standardiziranje postopka preverjanja pristnosti in avtorizacije uporabnikov, kadar se vpišejo za dostop do digitalnih storitev. OIDC zagotavlja preverjanje pristnosti, kar pomeni preverjanje, ali so uporabniki res osebe, za katere se izdajajo. OAuth 2.0 določa, do katerih sistemov imajo ti uporabniki pooblaščen dostop. OIDC in OAuth 2.0 se običajno uporabljata za omogočanje skupne rabe informacij dvema nepovezanima aplikacijama, ne da bi bili pri tem ogroženi uporabniški podatki. 

  • OIDC in označevalni jezik za potrditev varnosti (SAML) sta protokola za preverjanja pristnosti identitete, ki uporabnikom omogočata, da se vpišejo samo enkrat in pridobijo dostop do več aplikacij. SAML je starejši protokol, ki je bil splošno sprejet za enotno prijavo. Podatke prenaša v obliki zapisa XML. OIDC je novejši protokol, ki za prenos uporabniških podatkov uporablja obliko zapisa JSON. OIDC je vedno bolj priljubljen, saj ga je lažje uvesti kot SAML in bolje deluje z mobilnimi aplikacijami.

  • OIDC je kratica za protokol OpenID Connect, ki je protokol za preverjanje pristnosti identitete, ki dvema nepovezanima aplikacijama omogoča skupno rabo podatkov uporabniškega profila brez ogrožanja uporabniških poverilnic.

  • OIDC je bil ustvarjen na podlagi okvira OAuth 2.0 za dodatno preverjanja pristnosti. Protokol OAuth 2.0 je bil najprej razvit, nato pa je bil dodan OIDC za izboljšanje njegovih zmogljivosti. Razlika med njima je v tem, da OAuth 2.0 zagotavlja pooblastilo, OIDC pa preverjanje pristnosti. S protokolom OAuth 2.0 lahko uporabniki pridobijo dostop do sodelujoče strani z uporabo računa pri ponudniku OpenID, OIDC pa je protokol, ki ponudniku OpenID omogoča, da posreduje profil uporabnika sodelujoči strani. Funkcija omogoča tudi, da organizacije svojim uporabnikom nudijo možnost enotne prijave. Toka OAuth 2.0 in OIDC sta podobna, le da uporabljata nekoliko drugačno terminologijo. 

    Običajni tok OAuth 2.0 vključuje naslednje korake:

    1. Uporabnik odpre aplikacijo, do katere želi dostopati (strežnik vira).
    2. Strežnik vira preusmeri uporabnika v aplikacijo, v kateri ima račun (odjemalec).
    3. Uporabnik se vpiše s svojimi poverilnicami za odjemalca.
    4. Odjemalec preveri veljavnost uporabnikovega dostopa.
    5. Odjemalec pošlje žeton za dostop strežniku vira.
    6. Strežnik vira omogoči dostop uporabniku.

    Običajni tok OIDC vključuje naslednje korake:

    1. Uporabnik odpre aplikacijo, do katere želi dostopati (sodelujoča stran).
    2. Uporabnik vnese svoje uporabniško ime in geslo.
    3. Sodelujoča stran pošlje zahtevo ponudniku OpenID.
    4. Ponudnik OpenID preveri veljavnost uporabnikovih poverilnic in pridobi pooblastilo.
    5. Ponudnik OpenID pošlje žeton identitete, pogosto pa tudi žeton za dostop sodelujoči strani.
    6. Sodelujoča stran pošlje žeton za dostop v napravo uporabnika.
    7. Uporabnik pridobi dostop na podlagi informacij, ki so navedene v žetonu za dostop in pri sodelujoči strani. 

  • Ponudnik protokola OpenID uporablja žetone ID za prenos rezultatov preverjanja pristnosti in morebitne pomembne informacije aplikaciji sodelujoče strani. Vrste poslanih podatkov med drugim vključujejo na primer ID, e-poštni naslov in ime.

Spremljajte Microsoftovo varnost