This is the Trace Id: f6420413cbae58c11f9c6f3d8c7e6e87
Pređi na glavni sadržaj
Microsoft bezbednost

Šta je to OIDC?

Saznajte više o OpenID Connect (OIDC), protokolu za potvrdu identiteta koji verifikuje korisničke identitete kada se prijave za pristup digitalnim resursima.

OpenID Connect (OIDC) je definisan

OpenID Connect (OIDC) je protokol za potvrdu identiteta koji je proširenje otvorene autorizacije (OAuth) 2.0 za standardizaciju procesa za potvrdu identiteta i autorizaciju korisnika kada se prijave za pristup digitalnim uslugama. OIDC pruža potvrdu identiteta, što znači da se proverava da li su korisnici oni za koje kažu da jesu. OAuth 2.0 ovlašćuje kojim sistemima je tim korisnicima dozvoljen pristup. OAuth 2.0 se obično koristi za omogućavanje dve nepovezane aplikacije za deljenje informacija bez komprimovanih korisničkih podataka. Na primer, mnogi ljudi koriste svoje naloge e-pošte ili društvenih medija da bi se prijavili na sajt nezavisnog proizvođača umesto da kreiraju novo korisničko ime i lozinku. OIDC se takođe koristi za obezbeđivanje jedinstvenog prijavljivanja. Organizacije mogu da koriste sistem za upravljanje bezbednim identitetom i pristupom (IAM) kao što je Microsoft Entra ID (ranije Azure Active Directory) kao primarni autorizator identiteta, a zatim da koriste OIDC da proslede tu potvrdu identiteta drugim aplikacijama. Na taj način korisnici treba da se prijave samo jednom pomoću jednog korisničkog imena i lozinke da bi pristupili većem broju aplikacija.

 

 

Ključne komponente OIDC-a

Postoji šest primarnih komponenti u OIDC- u:

  • Potvrda identiteta je proces provere da je korisnik taj za koga se predstavlja.

  • Klijent je softver, kao što je veb lokacija ili aplikacija, koji zahteva tokene koji se koriste za potvrdu identiteta korisnika ili pristup resursu.

  • Pouzdane strane su aplikacije koje koriste OpenID dobavljače za potvrdu identiteta korisnika.  

  • Tokeni identiteta sadrže podatke o identitetu, uključujući ishod procesa potvrde identiteta, identifikator za korisnika i informacije o tome kako i kada je korisnik ovlašten. 

  • OpenID dobavljači su aplikacije za koje korisnik već ima nalog. Njihova uloga u programu OIDC je da potvrdi identitet korisnika i prosledi te informacije pouzdanoj strani.

  • Korisnici su osobe ili usluge koje traže pristup aplikaciji bez kreiranja novog naloga ili obezbeđivanja korisničkog imena i lozinke. 

 

Kako funkcioniše OIDC potvrda identiteta?

OIDC potvrda identiteta funkcioniše tako što omogućava korisnicima da se prijave u jednu aplikaciju i dobiju pristup drugoj. Na primer, ako korisnik želi da kreira nalog na sajtu za vesti, može imati opciju da koristi Facebook za kreiranje naloga umesto da kreira novi nalog. Ako odaberu Facebook, koriste OIDC potvrdu identiteta. Facebook, koji se naziva OpenID dobavljač, upravlja procesom potvrde identiteta i dobija saglasnost korisnika da pruži specifične informacije, kao što je korisnički profil, veb lokaciji za vesti, koja je pouzdana strana. 

ID tokeni 

OpenID dobavljač koristi ID tokene za prenos rezultata potvrde identiteta i sve potrebne informacije pouzdanoj strani. Primeri tipa podataka koji se šalju uključuju ID, adresu e-pošte i ime.

Opsezi

Opsezi definišu šta korisnik može da uradi sa pristupom. OIDC obezbeđuje standardne opsege, koji definišu stvari kao što su za koju pouzdanu stranu je token generisan, kada je token generisan, kada će token isteći i snagu šifrovanja koja se koristi za potvrdu identiteta korisnika. 

Tipičan proces OIDC potvrde identiteta obuhvata sledeće korake:

  1. Korisnik odlazi u aplikaciju u koju želi da pristupi (pouzdana strana).
  2. Korisnički tipovi u korisničkom imenu i lozinki.
  3. Pouzdana strana šalje zahtev OpenID dobavljaču.
  4. OpenID dobavljač proverava valjanost akreditiva korisnika i dobija autorizaciju.
  5. OpenID dobavljač šalje token identiteta i često token za pristup pouzdanoj strani.
  6. Pouzdana strana šalje token za pristup uređaju korisnika.
  7. Korisniku je dat pristup na osnovu informacija navedenih u tokenu za pristup i pouzdanoj strani. 

Šta su to OIDC tokovi?

OIDC tokovi definišu kako se tokeni zahtevaju i isporučuju pouzdanoj strani. Nekoliko primera:

  • OIDC tokovi autorizacije: Dobavljač za OpenID šalje jedinstveni kôd pouzdanoj strani. Pouzdana strana zatim šalje dobavljaču za OpenID jedinstveni kôd u zamenu za token. Ovaj metod se koristi tako da OpenID provajder može da proveri pouzdanu stranu pre slanja tokena. Budući da pregledač ne vidi token, on ostaje bezbedan.

  • OIDC tokovi autorizacije sa PKCE proširenjem: Ovaj tok je isti kao OIDC tok autorizacije, osim što koristi proširenje javnog ključa za razmenu koda (PKCE) za slanje komunikacije kao heš. Time se smanjuje verovatnoća da se token presretne.

  • Akreditivi klijenta: Ovaj tok omogućava pristup veb API-jima korišćenjem identiteta same aplikacije. Obično se koristi za direktnu komunikaciju među serverima i automatizovane skripte koje ne zahtevaju interakciju korisnika.

  • Kôd uređaja: Ovaj tok omogućava korisnicima da se prijave i pristupe API-jima zasnovanim na vebu na uređajima koji su povezani sa internetom ali nemaju pregledače ili je funkcija tastature loša, recimo za pametni TV. 

Dodatni tokovi, kao što je OIDC implicitni tok, dizajniran za aplikacije koje se zasnivaju na pregledaču, predstavljaju bezbednosni rizik te se stoga ne preporučuju.

OIDC u odnosu na OAuth 2.0

OIDC je napravljen na vrhu OAuth 2.0 da bi se dodala potvrda identiteta. Protokol OAuth 2.0 je prvo razvijen, a zatim je dodat OIDC kako bi se poboljšale njegove mogućnosti. Razlika između njih je u tome što OAuth 2.0 pruža autorizaciju, dok OIDC pruža potvrdu identiteta. OAuth 2.0 je ono što omogućava korisnicima da dobiju pristup pouzdanoj strani, koristeći svoj nalog kod OpenID dobavljača usluga, a OIDC je ono što omogućava OpenID dobavljaču usluga da prosledi korisnički profil strani koja se oslanja. OIDC takođe omogućava organizacijama da svojim korisnicima ponude jedinstveno prijavljivanje.

 

 

Pogodnosti OIDC potvrde identiteta

Smanjenjem broja naloga koji su korisnicima potrebni za pristup aplikacijama, OIDC nudi nekoliko pogodnosti i pojedincima i organizacijama:

Smanjuje rizik od ukradenih lozinki

Kada ljudi moraju da koriste više lozinki za pristup aplikacijama koje su im potrebne za posao i lični život, često biraju lozinke koje se lako pamte, kao što je Lozinka1234!, i koriste istu na nekoliko naloga. Ovo povećava rizik da će loš akter pogoditi lozinku. A kada znaju lozinku za jedan nalog, možda će moći da pristupe i drugim nalozima. Smanjenjem broja lozinki koje neko mora da zapamti, povećava se verovatnoća da će koristiti jaču, sigurniju lozinku.

Poboljšava bezbednosne kontrole

Centralizacijom potvrde identiteta u jednoj aplikaciji, organizacije takođe mogu da zaštite pristup u nekoliko aplikacija sa jakim kontrolama pristupa. OIDC podržava dvostruku i višestruku potvrdu identiteta, koje zahtevaju od ljudi da verifikuju svoj identitet koristeći najmanje dva od sledećeg:

  • Nešto što korisnik zna, obično lozinka.

  • Nešto što imaju, kao što je pouzdani uređaj ili token koji nije lako duplirati. 

  • Nešto što je deo korisnikovog identiteta. Na primer, skeniranje otiska prsta ili lica.

Višestruka potvrda identiteta je dokazani metod za smanjenje ugrožavanja naloga. Organizacije takođe mogu da koriste OIDC za primenu drugih bezbednosnih mera, kao što su upravljanje privilegovanim pristupom, zaštita lozinkom, bezbednost prijavljivanjaili zaštita identiteta u više aplikacija. 

Pojednostavljuje iskustva korisnika

Prijavljivanje na više naloga tokom dana može biti dugotrajno i frustrirajuće za ljude. Osim toga, ako izgube ili zaborave lozinku, njeno resetovanje može dodatno poremetiti produktivnost. Preduzeća koja koriste OIDC da obezbede pomoć za jedinstveno prijavljivanje svojih zaposlenih da obezbede da njihova radna snaga troši više vremena na produktivan rad umesto da pokušava da dobije pristup aplikacijama. Organizacije takođe povećaju verovatnoću da će se klijenti prijaviti za usluge i koristiti ih ako dozvoljavaju pojedincima da koriste svoj Microsoft, Facebook ili Google nalog za prijavljivanje. 

Standardizuje potvrdu identiteta

OpenID fondacija koja uključuje brendove visokog profila kao što su Microsoft i Google, napravila je OIDC. Dizajniran je da bude interoperabilan i podržava mnoge platforme i biblioteke, uključujući iOS, Android, Microsoft Windows i glavne dobavljače oblaka i identiteta.

Unapređuje upravljanje identitetima

Organizacije koje koriste OIDC za pružanje jedinstvenog prijavljivanja za zaposlene i partnere mogu da smanje broj rešenja za upravljanje identitetima kojima treba da upravljaju. Ovo olakšava praćenje promena dozvola i omogućava administratorima da koriste jedan interfejs za primenu smernica i pravila pristupa u više aplikacija. Preduzeća koja koriste OIDC da bi omogućile ljudima da se prijave u svoje aplikacije pomoću OpenID dobavljača usluga smanjuju broj identiteta kojima uopšte treba da upravljaju. 

OIDC primeri i slučajevi korišćenja

Mnoge organizacije koriste OIDC za omogućavanje bezbedne potvrde identiteta u veb aplikacijama i aplikacijama za mobilne uređaje. Evo nekoliko primera:

  • Kada se korisnik upisuje za Spotify nalog, nude mu se tri mogućnosti: Upišite se pomoću Facebook naloga, Upišite se pomoću Google naloga, Upišite se pomoću adrese e-pošte. Korisnici koji odluče da se upišu uz Facebook ili Google, za kreiranje naloga koriste OIDC. Oni će biti preusmereni na bilo kog OpenID dobavljača usluga kojeg su izabrali (ili Google ili Facebook), a kada se prijave, OpenID dobavljač usluga će poslati osnovne detalje o Spotify profilu. Korisnik ne mora da kreira novi nalog za Spotify i njegove lozinke ostaju zaštićene.

  • LinkedIn takođe pruža način na koji korisnici mogu da otvore nalog koristeći svoj Google nalog umesto da kreiraju poseban nalog za LinkedIn. 

  • Preduzeće želi da obezbedi jedinstveno prijavljivanje zaposlenima koji moraju da pristupe uslugama Microsoft Office 365, Salesforce, Box i Workday da bi obavili svoj posao. Umesto da zahteva od zaposlenih da kreiraju poseban nalog za svaku od tih aplikacija, preduzeće koristi OIDC da obezbedi pristup sve četiri. Zaposleni kreiraju jedan nalog i svaki put kada se prijave, dobijaju pristup svim aplikacijama koje su im potrebne za posao.  

Primeni OIDC za bezbednu potvrdu identiteta

OIDC obezbeđuje protokol potvrde identiteta za pojednostavljivanje iskustava prijavljivanja za korisnike i poboljšanje bezbednosti. To je odlično rešenje za preduzeća koja žele da podstaknu klijente da se prijave za njihove usluge bez muke oko upravljanja nalozima. Takođe podstiče organizacije da svojim zaposlenima i drugim korisnicima obezbede jedinstveno prijavljivanje u više aplikacija. Organizacije mogu da koriste rešenja za identitet i pristup koja podržavaju OIDC, kao što je Microsoft Entra, za upravljanje svim svojim identitetima i bezbednosnim smernicama za potvrdu identiteta na jednom mestu.

   

 

Saznajte više o Microsoft bezbednosti

Najčešća pitanja

  • OIDC je protokol za potvrdu identiteta koji radi sa OAuth 2.0 kako bi standardizovao proces potvrde identiteta i autorizacije korisnika kada se prijave za pristup digitalnim uslugama. OIDC pruža potvrdu identiteta, što znači da se proverava da li su korisnici oni za koje kažu da jesu. OAuth 2.0 ovlašćuje kojim sistemima je tim korisnicima dozvoljen pristup. OIDC i OAuth 2.0 se obično koriste za omogućavanje dve nepovezane aplikacije da dele informacije bez ugrožavanja korisničkih podataka. 

  • I OIDC i jezik označavanja bezbednosne potvrde (SAML) su protokoli potvrde identiteta koji omogućavaju korisnicima da se bezbedno prijave jednom i pristupe većem broju aplikacija. SAML je stariji protokol koji je široko prihvaćen za jedinstveno prijavljivanje. Prenosi podatke pomoću XML formata. OIDC je noviji protokol koji koristi JSON format za prenos korisničkih podataka. OIDC stiče popularnost jer se lakše primenjuje od SAML-a i bolje radi sa aplikacijama za mobilne uređaje.

  • OIDC je skraćenica za OpenID Connect protokol, koji je protokol za potvrdu identiteta koji se koristi da omogući dvema nepovezanim aplikacijama da dele informacije o korisničkom profilu bez ugrožavanja korisničkih akreditiva.

  • OIDC je napravljen na vrhu OAuth 2.0 da bi se dodala potvrda identiteta. Protokol OAuth 2.0 je prvo razvijen, a zatim je dodat OIDC kako bi se poboljšale njegove mogućnosti. Razlika između njih je u tome što OAuth 2.0 pruža autorizaciju, dok OIDC pruža potvrdu identiteta. OAuth 2.0 je ono što omogućava korisnicima da dobiju pristup pouzdanoj strani, koristeći svoj nalog kod OpenID dobavljača usluga, a OIDC je ono što omogućava OpenID dobavljaču usluga da prosledi korisnički profil pouzdanoj strani. Ova funkcionalnost takođe omogućava organizacijama da svojim korisnicima ponude jedinstveno prijavljivanje. OAuth 2.0 i OIDC tokovi su slični, osim što koriste malo drugačiju terminologiju. 

    Tipičan OAuth 2.0 tok ima sledeće korake:

    1. Korisnik odlazi u aplikaciju kojoj želi da pristupi (server resursa).
    2. Server resursa preusmerava korisnika na aplikaciju u kojoj ima nalog (klijent).
    3. Korisnik se prijavljuje pomoću svojih akreditiva za klijenta.
    4. Klijent proverava valjanost korisničkog pristupa.
    5. Klijent šalje token za pristup serveru resursa.
    6. Server resursa dodeljuje korisniku pristup.

    Tipičan OIDC tok ima sledeće korake:

    1. Korisnik odlazi u aplikaciju u koju želi da pristupi (pouzdana strana).
    2. Korisnički tipovi u korisničkom imenu i lozinki.
    3. Pouzdana strana šalje zahtev OpenID dobavljaču.
    4. OpenID dobavljač proverava valjanost akreditiva korisnika i dobija autorizaciju.
    5. OpenID dobavljač šalje token identiteta i često token za pristup pouzdanoj strani.
    6. Pouzdana strana šalje token za pristup uređaju korisnika.
    7. Korisniku je dat pristup na osnovu informacija navedenih u tokenu za pristup i pouzdanoj strani. 

  • OpenID dobavljač koristi ID tokene za prenos rezultata potvrde identiteta i sve potrebne informacije aplikaciji pouzdane strane. Primeri tipa podataka koji se šalju uključuju ID, adresu e-pošte i ime.

Pratite Microsoft bezbednost