OIDC คืออะไร
เรียนรู้เกี่ยวกับ OpenID Connect (OIDC) ซึ่งเป็นโพรโทคอลการรับรองความถูกต้องที่ตรวจสอบข้อมูลประจําตัวของผู้ใช้เมื่อพวกเขาลงชื่อเข้าใช้เพื่อเข้าถึงทรัพยากรดิจิทัล
-2?resMode=sharp2&op_usm=1.5,0.65,15,0&hei=360&qlt=100&fit=constrain)
กําหนด OpenID Connect (OIDC) แล้ว
OpenID Connect (OIDC) เป็นโพรโทคอลการรับรองความถูกต้องข้อมูลประจําตัวที่เป็นส่วนขยาย การอนุญาตแบบเปิด (OAuth) 2.0 เพื่อกําหนดมาตรฐานกระบวนการสําหรับการรับรองความถูกต้องและอนุญาตผู้ใช้เมื่อพวกเขาลงชื่อเข้าใช้เพื่อเข้าถึงบริการดิจิทัล OIDC มี การรับรองความถูกต้อง ซึ่งหมายความว่าการตรวจสอบว่าผู้ใช้เป็นบุคคลที่พวกเขากล่าวหา OAuth 2.0 จะอนุญาตระบบที่ผู้ใช้เหล่านั้นได้รับอนุญาตให้เข้าถึงได้ โดยทั่วไป OAuth 2.0 จะใช้เพื่อเปิดใช้งานแอปพลิเคชันที่ไม่เกี่ยวข้องสองรายการเพื่อแชร์ข้อมูลโดยไม่กระทบต่อข้อมูลผู้ใช้ ตัวอย่างเช่น หลายคนใช้บัญชีอีเมลหรือสื่อสังคมของพวกเขาเพื่อลงชื่อเข้าใช้ไซต์ของบริษัทอื่นแทนที่จะสร้างชื่อผู้ใช้และรหัสผ่านใหม่ OIDC ยังใช้เพื่อให้การลงชื่อเข้าระบบครั้งเดียว องค์กรสามารถใช้ ระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร (IAM) ที่ปลอดภัย เช่น Microsoft Entra ID (เดิม Azure Active Directory) เป็นตัวรับรองความถูกต้องของข้อมูลประจําตัวหลัก จากนั้นใช้ OIDC เพื่อส่งการรับรองความถูกต้องนั้นไปยังแอปอื่นๆ ด้วยวิธีนี้ ผู้ใช้จําเป็นต้องลงชื่อเข้าใช้เพียงครั้งเดียวด้วยชื่อผู้ใช้และรหัสผ่านเดียวเพื่อเข้าถึงหลายแอป
ส่วนประกอบหลักของ OIDC
มีคอมโพเนนต์หลักหกคอมโพเนนต์ใน OIDC:
- การรับรองความถูกต้อง คือกระบวนการตรวจสอบว่าผู้ใช้เป็นบุคคลที่พวกเขากล่าวหา
- ไคลเอ็นต์ คือซอฟต์แวร์ เช่น เว็บไซต์หรือแอปพลิเคชัน ที่ร้องขอโทเค็นที่ใช้ในการตรวจสอบสิทธิ์ผู้ใช้หรือเข้าถึงทรัพยากร
- ฝ่ายที่เกี่ยวข้อง คือแอปพลิเคชันที่ใช้ผู้ให้บริการ OpenID เพื่อรับรองความถูกต้องของผู้ใช้
- โทเค็นข้อมูลประจําตัว ประกอบด้วยข้อมูลประจําตัวรวมถึงผลลัพธ์ของกระบวนการตรวจสอบสิทธิ์ตัวระบุสําหรับผู้ใช้และข้อมูลเกี่ยวกับวิธีการและเวลาที่ผู้ใช้ได้รับการรับรองความถูกต้อง
- ผู้ให้บริการ OpenID คือแอปพลิเคชันที่ผู้ใช้มีบัญชีผู้ใช้อยู่แล้ว บทบาทของพวกเขาใน OIDC คือการรับรองความถูกต้องผู้ใช้และส่งต่อข้อมูลนั้นไปยังฝ่ายที่เกี่ยวข้อง
- ผู้ใช้ คือบุคคลหรือบริการที่ต้องการเข้าถึงแอปพลิเคชันโดยไม่ต้องสร้างบัญชีใหม่หรือใส่ชื่อผู้ใช้และรหัสผ่าน
การรับรองความถูกต้อง OIDC ทํางานอย่างไร
การรับรองความถูกต้อง OIDC ทํางานโดยการอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันหนึ่งและรับการเข้าถึงอื่น ตัวอย่างเช่น ถ้าผู้ใช้ต้องการสร้างบัญชีที่ไซต์ข่าวสาร พวกเขาอาจมีตัวเลือกในการใช้ Facebook เพื่อสร้างบัญชีของพวกเขาแทนที่จะสร้างบัญชีใหม่ ถ้าพวกเขาเลือก Facebook พวกเขากําลังใช้การรับรองความถูกต้อง OIDC Facebook ซึ่งเรียกว่าผู้ให้บริการ OpenID จะจัดการกระบวนการตรวจสอบสิทธิ์และได้รับความยินยอมจากผู้ใช้ในการให้ข้อมูลเฉพาะ เช่น โปรไฟล์ผู้ใช้ แก่เว็บไซต์ข่าว ซึ่งเป็นฝ่ายที่เกี่ยวข้อง
โทเค็น ID
ผู้ให้บริการ OpenID ใช้โทเค็น ID เพื่อส่งผลลัพธ์การรับรองความถูกต้องและข้อมูลที่เกี่ยวข้องใดๆ ไปยังฝ่ายที่เกี่ยวข้อง ตัวอย่างของชนิดข้อมูลที่ถูกส่งได้แก่ ID ที่อยู่อีเมล และชื่อ
ขอบเขต
ขอบเขตจะกําหนดสิ่งที่ผู้ใช้สามารถทํากับการเข้าถึงของพวกเขาได้ OIDC มีขอบเขตมาตรฐาน ซึ่งกําหนดสิ่งต่างๆ เช่น กลุ่มที่เกี่ยวข้องที่โทเค็นถูกสร้างขึ้น เมื่อโทเค็นถูกสร้างขึ้น เมื่อโทเค็นจะหมดอายุ และความเข้มงวดของการเข้ารหัสที่ใช้ในการรับรองความถูกต้องของผู้ใช้
กระบวนการรับรองความถูกต้องของ OIDC ทั่วไปประกอบด้วยขั้นตอนต่อไปนี้:
- ผู้ใช้ไปยังแอปพลิเคชันที่พวกเขาต้องการเข้าถึง (กลุ่มบุคคลที่เกี่ยวข้อง)
- ผู้ใช้พิมพ์ชื่อผู้ใช้และรหัสผ่านของพวกเขา
- ฝ่ายที่เกี่ยวข้องส่งคําขอไปยังผู้ให้บริการ OpenID
- ผู้ให้บริการ OpenID จะตรวจสอบข้อมูลประจําตัวของผู้ใช้’และรับการอนุญาต
- ผู้ให้บริการ OpenID ส่งโทเค็นข้อมูลประจําตัวและมักจะเป็นโทเค็นการเข้าถึงไปยังฝ่ายที่เกี่ยวข้อง
- ฝ่ายที่เกี่ยวข้องส่งโทเค็นการเข้าถึงไปยังอุปกรณ์ของผู้ใช้’
- ผู้ใช้จะได้รับสิทธิ์การเข้าถึงตามข้อมูลที่ให้ไว้ในโทเค็นการเข้าถึงและฝ่ายที่เกี่ยวข้อง
โฟลว์ OIDC คืออะไร
โฟลว์ OIDC กําหนดวิธีการร้องขอโทเค็นและส่งไปยังฝ่ายที่เกี่ยวข้อง ตัวอย่างบางส่วน:
โฟลว์การอนุญาต OIDC: ผู้ให้บริการ OpenID ส่งรหัสเฉพาะไปยังฝ่ายที่เกี่ยวข้อง จากนั้นฝ่ายที่เกี่ยวข้องจะส่งรหัสเฉพาะกลับไปยังผู้ให้บริการ OpenID เพื่อแลกเปลี่ยนสำหรับโทเค็น ใช้วิธีนี้เพื่อให้ผู้ให้บริการ OpenID สามารถตรวจสอบฝ่ายที่เกี่ยวข้องก่อนที่จะส่งโทเค็น เบราว์เซอร์ไม่สามารถดูโทเค็นในวิธีนี้ซึ่งช่วยให้ปลอดภัย
โฟลว์การอนุญาต OIDC ที่มีส่วนขยาย PKCE: โฟลว์นี้จะเหมือนกับโฟลว์การให้สิทธิ์ OIDC ยกเว้นว่าโฟลว์นี้ใช้คีย์สาธารณะสำหรับส่วนขยายการแลกเปลี่ยนรหัส (PKCE) เพื่อส่งการสื่อสารเป็นแฮช ซึ่งจะช่วยลดโอกาสที่โทเค็นจะถูกดักจับ
ข้อมูลประจำตัวของลูกค้า: โฟลว์นี้ให้การเข้าถึง API ของเว็บโดยใช้ข้อมูลประจำตัวของแอปพลิเคชันเอง โดยทั่วไปจะใช้สำหรับการติดต่อสื่อสารแบบเซิร์ฟเวอร์กับเซิร์ฟเวอร์และสคริปต์อัตโนมัติที่ไม่ต้องมีการโต้ตอบกับผู้ใช้
รหัสอุปกรณ์: โฟลว์นี้อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้และเข้าถึง API บนเว็บบนอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตซึ่งไม่มีเบราว์เซอร์หรือมีประสบการณ์การใช้แป้นพิมพ์ที่ไม่ดี เช่น สมาร์ททีวี
ไม่แนะนำให้ใช้โฟลว์เพิ่มเติม เช่น โฟลว์โดยนัยของ OIDC ซึ่งออกแบบมาสำหรับแอปพลิเคชันบนเบราว์เซอร์ เนื่องจากเป็นความเสี่ยงด้านความปลอดภัย
OIDC เปรียบเทียบกับ OAuth 2.0
OIDC ถูกสร้างขึ้นจาก OAuth 2.0 เพื่อเพิ่มการรับรองความถูกต้อง โพรโทคอล OAuth 2.0 ได้รับการพัฒนาก่อน จากนั้นจึงเพิ่ม OIDC เพื่อปรับปรุงความสามารถ ความแตกต่างระหว่างทั้งสองอย่างคือ OAuth 2.0 ให้การอนุญาต ในขณะที่ OIDC มีการรับรองความถูกต้อง OAuth 2.0 คือสิ่งที่ช่วยให้ผู้ใช้สามารถเข้าถึงกลุ่มบุคคลที่เกี่ยวข้อง โดยใช้บัญชีของพวกเขากับผู้ให้บริการ OpenID และ OIDC คือสิ่งที่อนุญาตให้ผู้ให้บริการ OpenID ส่งต่อโปรไฟล์ผู้ใช้ไปยังฝ่ายที่เกี่ยวข้อง OIDC ยังช่วยให้องค์กรสามารถเสนอการลงชื่อเข้าระบบครั้งเดียวให้กับผู้ใช้ของพวกเขา
ประโยชน์ของการรับรองความถูกต้อง OIDC
ด้วยการลดจํานวนบัญชีที่ผู้ใช้จําเป็นต้องเข้าถึงแอป OIDC มีประโยชน์มากมายสําหรับทั้งบุคคลและองค์กร:
-1?resMode=sharp2&op_usm=1.5,0.65,15,0&wid=65&hei=65&qlt=100&fmt=png-alpha&fit=constrain)
ลดความเสี่ยงของการขโมยรหัสผ่าน
เมื่อผู้ใช้จําเป็นต้องใช้รหัสผ่านหลายรหัสเพื่อเข้าถึงแอปที่พวกเขาต้องการสําหรับการทํางานและชีวิตส่วนตัวของพวกเขา พวกเขามักจะเลือกรหัสผ่านที่จําง่าย เช่น Password1234! และใช้รหัสผ่านเดียวกันในหลายบัญชี สิ่งนี้จะเพิ่มความเสี่ยงที่ผู้ไม่ประสงค์ดีจะเดารหัสผ่าน และเมื่อพวกเขารู้รหัสผ่านของบัญชีหนึ่งแล้ว พวกเขาอาจสามารถเข้าถึงบัญชีอื่นได้เช่นกัน การลดจำนวนรหัสผ่านที่ผู้อื่นต้องจดจำ จะช่วยเพิ่มโอกาสที่พวกเขาจะใช้รหัสผ่านที่รัดกุมและปลอดภัยยิ่งขึ้น
-1?resMode=sharp2&op_usm=1.5,0.65,15,0&wid=65&hei=65&qlt=100&fmt=png-alpha&fit=constrain)
ปรับปรุงการควบคุมความปลอดภัย
โดยการรวมศูนย์การรับรองความถูกต้องในแอปเดียว องค์กรยังสามารถป้องกันการเข้าถึงแอปต่างๆ ด้วยการควบคุมการเข้าถึงที่รัดกุม OIDC สนับสนุน แบบสองปัจจัย และการรับรองความถูกต้องแบบหลายปัจจัย ซึ่งกําหนดให้บุคคลต้องตรวจสอบข้อมูลประจําตัวของตนโดยใช้อย่างน้อยสองรายการต่อไปนี้:
สิ่งที่ผู้ใช้ทราบ ซึ่งโดยทั่วไปแล้วคือรหัสผ่าน
สิ่งที่พวกเขามี เช่น อุปกรณ์ที่เชื่อถือได้หรือโทเค็นที่’ซ้ํากันไม่ง่าย
สิ่งที่ผู้ใช้มีติดตัว เช่น การสแกนลายนิ้วมือหรือใบหน้า
การรับรองความถูกต้องโดยใช้หลายปัจจัยเป็นวิธีที่ได้รับการพิสูจน์แล้วว่าลดช่องโหว่ของบัญชี องค์กรยังสามารถใช้ OIDC เพื่อใช้มาตรการรักษาความปลอดภัยอื่นๆ เช่น การจัดการการเข้าถึงที่มีสิทธิ์พิเศษ, การป้องกันด้วยรหัสผ่าน, การรักษาความปลอดภัยในการเข้าสู่ระบบ หรือการป้องกันข้อมูลประจําตัวในหลายแอป
?resMode=sharp2&op_usm=1.5,0.65,15,0&wid=65&hei=65&qlt=100&fmt=png-alpha&fit=constrain)
ทําให้ประสบการณ์ใช้งานของผู้ใช้ง่ายขึ้น
การลงชื่อเข้าใช้หลายบัญชีตลอดทั้งวันอาจใช้เวลานานและน่าหงุดหงิดสําหรับผู้คน นอกจากนี้ หากพวกเขาสูญเสียหรือลืมรหัสผ่าน การรีเซ็ตอาจรบกวนประสิทธิภาพการทํางานเพิ่มเติม ธุรกิจที่ใช้ OIDC เพื่อให้การลงชื่อเข้าระบบครั้งเดียวแก่พนักงาน’ ของพวกเขาช่วยให้พนักงานของตนใช้เวลาในการทํางานอย่างมีประสิทธิภาพมากกว่าการพยายามเข้าถึงแอป องค์กรยังทำให้มีโอกาสมากขึ้นที่ลูกค้าจะสมัครและใช้บริการของตน หากพวกเขาอนุญาตให้บุคคลต่างๆ ใช้บัญชี Microsoft, Facebook หรือ Google เพื่อลงชื่อเข้าใช้
ทําให้การรับรองความถูกต้องเป็นมาตรฐาน
OpenID Foundation ซึ่งประกอบด้วยแบรนด์ที่มีชื่อเสียงเช่น Microsoft และ Google ได้สร้าง OIDC ซึ่งถูกออกแบบมาให้ทํางานร่วมกันและสนับสนุนแพลตฟอร์มและไลบรารีจํานวนมาก รวมถึง iOS, Android, Microsoft Windows และผู้ให้บริการระบบคลาวด์และข้อมูลประจําตัวหลัก
?resMode=sharp2&op_usm=1.5,0.65,15,0&wid=65&hei=65&qlt=100&fmt=png-alpha&fit=constrain)
ทําให้การจัดการข้อมูลประจําตัวเป็นไปอย่างคล่องตัว
องค์กรที่ใช้ OIDC เพื่อให้การลงชื่อเพียงครั้งเดียวสําหรับพนักงานและคู่ค้าสามารถลดจํานวนโซลูชันการจัดการข้อมูลประจําตัวที่พวกเขาจําเป็นต้องจัดการได้ ซึ่งทําให้ง่ายต่อการติดตามการเปลี่ยนแปลงสิทธิ์และอนุญาตให้ผู้ดูแลระบบใช้ส่วนติดต่อเดียวเพื่อนํานโยบายการเข้าถึงและกฎไปใช้กับหลายแอป บริษัทที่ใช้ OIDC เพื่ออนุญาตให้บุคคลลงชื่อเข้าใช้แอปของตนโดยใช้ผู้ให้บริการ OpenID จะลดจํานวนข้อมูลประจําตัวที่พวกเขาต้องจัดการเลย
ตัวอย่าง OIDC และกรณีการใช้งาน
องค์กรจํานวนมากใช้ OIDC เพื่อเปิดใช้งานการรับรองความถูกต้องที่ปลอดภัยทั่วทั้งเว็บและแอปสําหรับอุปกรณ์เคลื่อนที่ ตัวอย่างบางส่วนมีดังนี้:
เมื่อผู้ใช้ลงทะเบียนบัญชี Spotify พวกเขาจะมีสามตัวเลือก: ลงทะเบียนด้วย Facebook, ลงทะเบียนด้วย Google และลงทะเบียนด้วยที่อยู่อีเมลของคุณ ผู้ใช้ที่เลือกลงทะเบียนด้วย Facebook หรือ Google กำลังใช้ OIDC เพื่อสร้างบัญชี พวกเขาจะถูกเปลี่ยนเส้นทางไปยังผู้ให้บริการ OpenID ใดก็ตามที่พวกเขาเลือก (Google หรือ Facebook) จากนั้นเมื่อพวกเขาลงชื่อเข้าใช้ผู้ให้บริการ OpenID จะส่งรายละเอียดโปรไฟล์พื้นฐานของ Spotify ผู้ใช้ไม่จําเป็นต้องสร้างบัญชีใหม่สําหรับ Spotify และรหัสผ่านของพวกเขายังคงได้รับการป้องกัน
LinkedIn ยังมีวิธีสําหรับผู้ใช้ในการสร้างบัญชีโดยใช้บัญชี Google แทนที่จะสร้างบัญชีแยกต่างหากสําหรับ LinkedIn
บริษัทต้องการลงชื่อเข้าระบบครั้งเดียวแก่พนักงานที่จําเป็นต้องเข้าถึง Microsoft Office 365, Salesforce, Box และ Workday เพื่อทํางานของพวกเขา แทนที่จะกำหนดให้พนักงานสร้างบัญชีแยกต่างหากสำหรับแต่ละแอปเหล่านั้น บริษัทใช้ OIDC เพื่อให้สามารถเข้าถึงทั้งสี่แอปได้ พนักงานสร้างบัญชีหนึ่งบัญชีและทุกครั้งที่พวกเขาลงชื่อเข้าใช้ พวกเขาสามารถเข้าถึงแอปทั้งหมดที่จําเป็นสําหรับการทํางาน
ใช้ OIDC สําหรับการรับรองความถูกต้องที่ปลอดภัย
OIDC มีโพรโทคอลการรับรองความถูกต้องเพื่อลดความซับซ้อนของประสบการณ์การลงชื่อเข้าใช้สําหรับผู้ใช้และปรับปรุงความปลอดภัย ซึ่งเป็นโซลูชันที่ยอดเยี่ยมสําหรับธุรกิจที่ต้องการสนับสนุนให้ลูกค้าลงทะเบียนสําหรับบริการของพวกเขาโดยไม่ต้องยุ่งยากในการจัดการบัญชี นอกจากนี้ยังช่วยให้องค์กรสามารถเสนอพนักงานและผู้ใช้รายอื่นๆ ได้รักษาความปลอดภัยของการลงชื่อเข้าระบบครั้งเดียวไปยังหลายแอป องค์กรสามารถใช้โซลูชันข้อมูลประจําตัวและการเข้าถึงที่สนับสนุน OIDC เช่น Microsoft Entra เพื่อจัดการข้อมูลประจําตัวและนโยบายความปลอดภัยการรับรองความถูกต้องทั้งหมดในที่เดียว
เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security
-
Microsoft Entra ID
เชื่อมต่อพนักงาน ลูกค้า และคู่ค้ากับแอป อุปกรณ์ และข้อมูลอย่างปลอดภัยด้วยข้อมูลประจําตัวบนระบบคลาวด์และโซลูชันการจัดการการเข้าถึง
-
Microsoft Entra ID Governance
ตรวจสอบโดยอัตโนมัติว่าบุคคลที่เหมาะสมมีสิทธิ์เข้าถึงแอปและบริการที่ถูกต้อง
-
Microsoft Entra Verified ID
ให้ข้อมูลประจําตัวแบบกระจายศูนย์ด้วยบริการข้อมูลประจําตัวที่สามารถตรวจสอบได้ที่มีการจัดการตามมาตรฐานแบบเปิด
-
Microsoft Entra Workload ID
จัดการและรักษาความปลอดภัยข้อมูลประจำตัวที่มอบให้กับแอปและบริการ
-
คำถามที่ถามบ่อย
-
OIDC คือโพรโทคอลการรับรองความถูกต้องข้อมูลประจําตัวที่ทํางานร่วมกับ OAuth 2.0 เพื่อกําหนดมาตรฐานกระบวนการสําหรับการรับรองความถูกต้องและอนุญาตผู้ใช้เมื่อพวกเขาลงชื่อเข้าใช้เพื่อเข้าถึงบริการดิจิทัล OIDC มีการรับรองความถูกต้องซึ่งหมายความว่าการตรวจสอบว่าผู้ใช้เป็นบุคคลที่พวกเขากล่าวหา OAuth 2.0 จะอนุญาตระบบที่ผู้ใช้เหล่านั้นได้รับอนุญาตให้เข้าถึงได้ โดยทั่วไป OIDC และ OAuth 2.0 จะใช้เพื่อเปิดใช้งานแอปพลิเคชันที่ไม่เกี่ยวข้องสองรายการเพื่อแชร์ข้อมูลโดยไม่ทําให้ข้อมูลผู้ใช้มีช่องโหว่
-
ทั้ง OIDC และภาษามาร์กอัปการยืนยันความปลอดภัย (SAML) คือโพรโทคอลการรับรองความถูกต้องข้อมูลประจําตัวที่อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ครั้งเดียวและเข้าถึงแอปพลิเคชันหลายแอปได้อย่างปลอดภัย SAML เป็นโพรโทคอลเก่าที่ถูกนํามาใช้อย่างกว้างขวางสําหรับการลงชื่อเข้าระบบครั้งเดียว ซึ่งส่งข้อมูลโดยใช้รูปแบบ XML OIDC คือโพรโทคอลที่ใหม่กว่าที่ใช้รูปแบบ JSON เพื่อส่งข้อมูลผู้ใช้ OIDC ได้รับความนิยมเนื่องจากง่ายต่อการใช้งานมากกว่า SAML และทํางานได้ดียิ่งขึ้นกับแอปพลิเคชันสําหรับอุปกรณ์เคลื่อนที่
-
OIDC ย่อมหมายถึงโพรโทคอล OpenID Connect ซึ่งเป็นโพรโทคอลการรับรองความถูกต้องข้อมูลประจําตัวที่ใช้เพื่อเปิดใช้งานแอปพลิเคชันที่ไม่เกี่ยวข้องสองรายการเพื่อแชร์ข้อมูลโปรไฟล์ผู้ใช้โดยไม่ทําให้ข้อมูลประจําตัวของผู้ใช้มีช่องโหว่
-
OIDC ถูกสร้างขึ้นจาก OAuth 2.0 เพื่อเพิ่มการรับรองความถูกต้อง โพรโทคอล OAuth 2.0 ได้รับการพัฒนาก่อน จากนั้นจึงเพิ่ม OIDC เพื่อปรับปรุงความสามารถ ความแตกต่างระหว่างทั้งสองอย่างคือ OAuth 2.0 ให้การอนุญาต ในขณะที่ OIDC มีการรับรองความถูกต้อง OAuth 2.0 คือสิ่งที่ช่วยให้ผู้ใช้สามารถเข้าถึงกลุ่มบุคคลที่เกี่ยวข้อง โดยใช้บัญชีของพวกเขากับผู้ให้บริการ OpenID และ OIDC คือสิ่งที่อนุญาตให้ผู้ให้บริการ OpenID ส่งต่อโปรไฟล์ผู้ใช้ไปยังฝ่ายที่เกี่ยวข้อง ฟังก์ชันการทํางานนี้ยังช่วยให้องค์กรสามารถเสนอการลงชื่อเข้าระบบครั้งเดียวให้กับผู้ใช้ของพวกเขา โฟลว์ OAuth 2.0 และ OIDC จะคล้ายกัน ยกเว้นว่าใช้คําศัพท์ที่แตกต่างกันเล็กน้อย
โฟลว์ OAuth 2.0 ทั่วไปมีขั้นตอนต่อไปนี้:
- ผู้ใช้ไปยังแอปพลิเคชันที่พวกเขาต้องการเข้าถึง (เซิร์ฟเวอร์ทรัพยากร)
- เซิร์ฟเวอร์ทรัพยากรเปลี่ยนเส้นทางผู้ใช้ไปยังแอปพลิเคชันที่พวกเขามีบัญชี (ไคลเอ็นต์)
- ผู้ใช้ลงชื่อเข้าใช้โดยใช้ข้อมูลประจําตัวของพวกเขาสําหรับไคลเอ็นต์
- ไคลเอ็นต์ตรวจสอบการเข้าถึงของผู้ใช้
- ไคลเอ็นต์ส่งโทเค็นการเข้าถึงไปยังเซิร์ฟเวอร์ทรัพยากร
- เซิร์ฟเวอร์ทรัพยากรให้สิทธิ์การเข้าถึงแก่ผู้ใช้
โฟลว์ OIDC ทั่วไปมีขั้นตอนต่อไปนี้:
- ผู้ใช้ไปยังแอปพลิเคชันที่พวกเขาต้องการเข้าถึง (กลุ่มบุคคลที่เกี่ยวข้อง)
- ผู้ใช้พิมพ์ชื่อผู้ใช้และรหัสผ่านของพวกเขา
- ฝ่ายที่เกี่ยวข้องส่งคําขอไปยังผู้ให้บริการ OpenID
- ผู้ให้บริการ OpenID จะตรวจสอบข้อมูลประจําตัวของผู้ใช้’และรับการอนุญาต
- ผู้ให้บริการ OpenID ส่งโทเค็นข้อมูลประจําตัวและมักจะเป็นโทเค็นการเข้าถึงไปยังฝ่ายที่เกี่ยวข้อง
- ฝ่ายที่เกี่ยวข้องส่งโทเค็นการเข้าถึงไปยังอุปกรณ์ของผู้ใช้’
- ผู้ใช้จะได้รับสิทธิ์การเข้าถึงตามข้อมูลที่ให้ไว้ในโทเค็นการเข้าถึงและฝ่ายที่เกี่ยวข้อง
-
ผู้ให้บริการ OpenID ใช้โทเค็น ID เพื่อส่งผลลัพธ์การรับรองความถูกต้องและข้อมูลที่เกี่ยวข้องใดๆ ไปยังแอปพลิเคชันของฝ่ายที่เกี่ยวข้อง ตัวอย่างของชนิดข้อมูลที่ถูกส่งได้แก่ ID ที่อยู่อีเมล และชื่อ
ติดตาม Microsoft Security