This is the Trace Id: f2250ad0c61cd1c2f546119e6afceda0
Gå till huvudinnehåll
Microsoft Security

Vad är OIDC?

Lär dig mer om OpenID Connect (OIDC), ett autentiseringsprotokoll som verifierar användaridentiteter när de loggar in för att få åtkomst till digitala resurser.

OpenID Connect (OIDC) har definierats

OpenID Connect (OIDC) är ett protokoll för identitetsautentisering som är en förlängning av open authorization (OAuth) 2.0 för att standardisera processen för att autentisera och auktorisera användare när de loggar in för att få åtkomst till digitala tjänster. OIDC tillhandahåller autentisering, vilket innebär att verifiera att användarna är de som de säger att de är. OAuth 2.0 auktoriserar vilka system som dessa användare har åtkomst till. OAuth 2.0 används vanligtvis för att göra det möjligt för två orelaterade program att dela information utan att kompromissa med användardata. Många använder till exempel sina e-postkonton eller konton för sociala medier för att logga in på en webbplats från tredje part i stället för att skapa ett nytt användarnamn och lösenord. OIDC används också för att tillhandahålla enkel inloggning. Organisationer kan använda en säker identitets- och åtkomsthantering (IAM) system som Microsoft Entra ID (tidigare Azure Active Directory) som primär autentisering av identiteter och sedan använda OIDC för att skicka den autentiseringen till andra appar. På så sätt behöver användarna bara logga in en gång med ett användarnamn och lösenord för att få åtkomst till flera appar.

 

 

Viktiga komponenter i OIDC

Det finns sex primära komponenter i OIDC:

  • Autentisering är processen att verifiera att användaren är den de säger att de är.

  • En klient är programvaran, till exempel webbplats eller program, som begär token som används för att autentisera en användare eller komma åt en resurs.

  • Förlitande parter är de program som använder OpenID-providers för att autentisera användare.  

  • Identitetstoken innehålla identitetsdata, inklusive resultatet av autentiseringsprocessen, en identifierare för användaren och information om hur och när användaren autentiseras. 

  • OpenID-providers är de program som en användare redan har ett konto för. Deras roll i OIDC är att autentisera användaren och vidarebefordra informationen till den förlitande parten.

  • Användare är personer eller tjänster som försöker komma åt ett program utan att skapa ett nytt konto eller ange ett användarnamn och lösenord. 

 

Hur fungerar OIDC-autentisering?

OIDC-autentisering fungerar genom att tillåta användare att logga in på ett program och få åtkomst till ett annat. Om en användare till exempel vill skapa ett konto på en nyhetswebbplats kan de ha möjlighet att använda Facebook för att skapa sitt konto i stället för att skapa ett nytt konto. Om de väljer Facebook använder de OIDC-autentisering. Facebook, som refereras till som OpenID-leverantören, hanterar autentiseringsprocessen och erhåller användarens samtycke för att tillhandahålla specifik information, såsom en användarprofil, till nyhetssidan, som är den beroende parten. 

ID tokens 

OpenID-providern använder ID-token för att överföra autentiseringsresultat och all relevant information till den förlitande parten. Exempel på vilken typ av data som skickas är ett ID, en e-postadress och ett namn.

Omfattning

Omfattning definierar vad användaren kan göra med sin åtkomst. OIDC tillhandahåller standardomfattning som definierar sådant som vilken förlitande part som token genererades för, när token genererades, när token upphör att gälla och krypteringsstyrkan som används för att autentisera användaren. 

En typisk OIDC-autentiseringsprocess innehåller följande steg:

  1. En användare går till det program som de vill komma åt (den förlitande parten).
  2. Användaren skriver in användarnamn och lösenord.
  3. Den förlitande parten skickar en begäran till OpenID-providern.
  4. OpenID-providern verifierar användarens autentiseringsuppgifter och erhåller auktorisering.
  5. OpenID-providern skickar en identitetstoken och ofta en åtkomsttoken till den förlitande parten.
  6. Den förlitande parten skickar åtkomsttoken till användarens enhet.
  7. Användaren får åtkomst baserat på den information som anges i åtkomsttoken och den förlitande parten. 

Vad är OIDC-flöden?

OIDC-flöden definierar hur token begärs och levereras till den förlitande parten. Några exempel:

  • OIDC-auktoriseringsflöden: OpenID-providern skickar en unik kod till den förlitande parten. Den förlitande parten skickar sedan tillbaka den unika koden till OpenID-providern i utbyte mot token. Den här metoden används så att OpenID-providern kan verifiera den förlitande parten innan token skickas. Webbläsaren kan inte se token i den här metoden, vilket hjälper till att skydda den.

  • OIDC-auktoriseringsflöden med PKCE-tillägg: Det här flödet är detsamma som OIDC-auktoriseringsflödet, förutom att det använder en offentlig nyckel för PKCE-tillägget (Code Exchange) för att skicka kommunikation som en hash. Detta minskar risken för att token fångas upp.

  • Klientautentiseringsuppgifter: Det här flödet ger åtkomst till webb-API:er med hjälp av själva programmets identitet. Det används vanligtvis för server-till-server-kommunikation och automatiserade skript som inte kräver någon användarinteraktion.

  • Enhetskod: Det här flödet gör att användare kan logga in och komma åt webbaserade API:er på Internetanslutna enheter som inte har webbläsare eller har dålig tangentbordsupplevelse, till exempel en smart-TV. 

Ytterligare flöden, till exempel det implicita OIDC-flödet, som är utformat för webbläsarbaserade program, rekommenderas inte eftersom de utgör en säkerhetsrisk.

OIDC jämfört med OAuth 2.0

OIDC skapades ovanpå OAuth 2.0 för att lägga till autentisering. OAuth 2.0-protokollet utvecklades först och sedan lades OIDC till för att förbättra dess funktioner. Skillnaden mellan de två är att OAuth 2.0 tillhandahåller auktorisering, medan OIDC tillhandahåller autentisering. OAuth 2.0 är det som gör att användare kan få åtkomst till en förlitande part med sitt konto hos en OpenID-provider, och OIDC är det som gör att OpenID-providern kan skicka en användarprofil till den förlitande parten. OIDC gör det också möjligt för organisationer att erbjuda sina användare enkel inloggning.

 

 

Fördelar med OIDC-autentisering

Genom att minska antalet konton som användare behöver för att få åtkomst till appar erbjuder OIDC flera fördelar för både individer och organisationer:

Minskar risken för stulna lösenord

När personer behöver använda flera lösenord för att komma åt de appar de behöver för arbete och sitt personliga liv väljer de ofta lösenord som är lätta att komma ihåg, till exempel Lösenord1234!, och använder samma på flera konton. Detta ökar risken för att en dålig aktör gissar ett lösenord. Och när de känner till lösenordet till ett konto kanske de också kan komma åt andra konton. Genom att minska antalet lösenord som någon måste komma ihåg ökar risken för att de använder ett starkare och säkrare lösenord.

Förbättrar säkerhetskontroller

Genom att centralisera autentisering i en app kan organisationer även skydda åtkomsten mellan flera appar med starka åtkomstkontroller. OIDC stöder tvåfaktorautentisering och multifaktorautentisering, vilket kräver att personer verifierar sin identitet med minst två av följande:

  • Något som användaren känner till, vanligtvis ett lösenord.

  • Något de har, som en betrodd enhet eller en token som inte lätt kan dupliceras. 

  • Något som användaren är, till exempel ett fingeravtryck eller en ansiktsskanning.

Multifaktorautentisering är en beprövad metod för att minska risken för att konton komprometteras. Organisationer kan också använda OIDC för att tillämpa andra säkerhetsåtgärder, till exempel privilegierad åtkomsthantering, lösenordsskydd, inloggningssäkerhet eller identitetsskydd i flera appar. 

Förenklar användarupplevelsen

Det kan vara tidskrävande och frustrerande att logga in på flera konton under dagen. Och om de förlorar eller glömmer ett lösenord kan återställningen ytterligare störa produktiviteten. Företag som använder OIDC för att ge sina anställda enkel inloggning hjälper till att se till att personalen tillbringar mer tid på produktivt arbete i stället för att försöka få åtkomst till appar. Organisationer gör det också mer troligt att kunder registrerar sig för och använder sina tjänster om de tillåter enskilda användare att använda sitt Microsoft-, Facebook- eller Google-konto för att logga in. 

Standardiserar autentisering

OpenID Foundation som innehåller profilerade varumärken som Microsoft och Google, skapade OIDC. Det är utformat för att vara kompatibelt och stödjer många plattformar och bibliotek, inklusive iOS, Android, Microsoft Windows samt de största moln- och identitetsleverantörerna.

Effektiviserar identitetshantering

Organisationer som använder OIDC för att tillhandahålla enkel inloggning för sina anställda och partner kan minska antalet identitetshanteringslösningar som de behöver hantera. Det gör det enklare att hålla reda på ändrade behörigheter och gör det möjligt för administratörer att använda ett gränssnitt för att tillämpa åtkomstprinciper och regler i flera appar. Företag som använder OIDC för att tillåta att personer loggar in på sina appar med hjälp av en OpenID-provider minskar antalet identiteter som de behöver hantera alls. 

OIDC-exempel och användningsfall

Många organisationer använder OIDC för att aktivera säker autentisering i webb- och mobilappar. Här är några exempel:

  • När en användare registrerar sig för ett Spotify-konto erbjuds de tre alternativ: Registrera dig med Facebook, registrera dig med Google, registrera dig med din e-postadress. Användare som väljer att registrera sig på Facebook eller Google använder OIDC för att skapa ett konto. De omdirigeras till den OpenID-provider som de valde (Google eller Facebook) och när de har loggat in skickar OpenID-providern grundläggande profilinformation till Spotify. Användaren behöver inte skapa ett nytt konto för Spotify och deras lösenord förblir skyddade.

  • LinkedIn är också ett sätt för användare att skapa ett konto med sitt Google-konto i stället för att skapa ett separat konto för LinkedIn. 

  • Ett företag vill ge enkel inloggning till anställda som behöver åtkomst till Microsoft Office 365, Salesforce, Box och Workday för att kunna utföra sitt jobb. I stället för att kräva att anställda skapar ett separat konto för var och en av dessa appar använder företaget OIDC för att ge åtkomst till alla fyra. Anställda skapar ett konto och varje gång de loggar in får de åtkomst till alla appar de behöver för arbetet.  

Implementera OIDC för säker autentisering

OIDC tillhandahåller ett autentiseringsprotokoll för att förenkla inloggningsupplevelser för användare och förbättra säkerheten. Det är en bra lösning för företag som vill uppmuntra kunder att registrera sig för sina tjänster utan att behöva hantera konton. Det ger också organisationer möjlighet att erbjuda sina anställda och andra användare säker enkel inloggning till flera appar. Organisationer kan använda identitets- och åtkomstlösningar som stöder OIDC, till exempel Microsoft Entra, för att hantera alla deras identiteter och autentiseringssäkerhetsprinciper på en enda plats.

   

 

Mer information om Microsoft Security

Vanliga frågor och svar

  • OIDC är ett protokoll för identitetsautentisering som fungerar med OAuth 2.0 för att standardisera processen för att autentisera och auktorisera användare när de loggar in för att få åtkomst till digitala tjänster. OIDC tillhandahåller autentisering, vilket innebär att verifiera att användarna är de som de säger att de är. OAuth 2.0 auktoriserar vilka system som dessa användare har åtkomst till. OIDC och OAuth 2.0 används vanligtvis för att göra det möjligt för två orelaterade program att dela information utan att kompromissa med användardata. 

  • Både OIDC och SAML (Security Assertion Markup Language) är identitetsautentiseringsprotokoll som gör det möjligt för användare att logga in en gång på ett säkert sätt och få åtkomst till flera program. SAML är ett äldre protokoll som har använts för enkel inloggning. Det överför data med XML-format. OIDC är ett nyare protokoll som använder JSON-format för att överföra användardata. OIDC blir allt populärare eftersom det är enklare att implementera än SAML och fungerar bättre med mobilappar.

  • OIDC står för OpenID Connect protokoll, som är ett protokoll för identitetsautentisering som används för att göra det möjligt för två orelaterade program att dela användarprofilinformation utan att kompromissa med användarautentiseringsuppgifterna.

  • OIDC skapades ovanpå OAuth 2.0 för att lägga till autentisering. OAuth 2.0-protokollet utvecklades först och sedan lades OIDC till för att förbättra dess funktioner. Skillnaden mellan de två är att OAuth 2.0 tillhandahåller auktorisering, medan OIDC tillhandahåller autentisering. OAuth 2.0 är det som gör att användare kan få åtkomst till en förlitande part med sitt konto hos en OpenID-provider, och OIDC är det som gör att OpenID-providern kan skicka en användarprofil till den förlitande parten. Den här funktionen gör det också möjligt för organisationer att erbjuda sina användare enkel inloggning. OAuth 2.0- och OIDC-flödena liknar varandra, förutom att de använder något annorlunda terminologi. 

    Ett typiskt OAuth 2.0-flöde har följande steg:

    1. En användare går till det program som de vill komma åt (resursservern).
    2. Resursservern omdirigerar användaren till programmet där de har ett konto (klienten).
    3. Användaren loggar in med sina autentiseringsuppgifter för klienten.
    4. Klienten verifierar användarens åtkomst.
    5. Klienten skickar en åtkomsttoken till resursservern.
    6. Resursservern ger användaren åtkomst.

    Ett typiskt OIDC-flöde har följande steg:

    1. En användare går till det program som de vill komma åt (den förlitande parten).
    2. Användaren skriver in användarnamn och lösenord.
    3. Den förlitande parten skickar en begäran till OpenID-providern.
    4. OpenID-providern verifierar användarens autentiseringsuppgifter och erhåller auktorisering.
    5. OpenID-providern skickar en identitetstoken och ofta en åtkomsttoken till den förlitande parten.
    6. Den förlitande parten skickar åtkomsttoken till användarens enhet.
    7. Användaren får åtkomst baserat på den information som anges i åtkomsttoken och den förlitande parten. 

  • OpenID-leverantören använder ID-token för att överföra autentiseringsresultat och all relevant information till den beroende partens applikation. Exempel på vilken typ av data som skickas är ett ID, en e-postadress och ett namn.

Följ Microsoft Security