Verificatie vs. autorisatie

  • Artikel

In dit artikel worden verificatie en autorisatie gedefinieerd. Ook wordt kort beschreven hoe u Multi-Factor Authentication gebruikt en hoe u het Microsoft Identity Platform kunt gebruiken om gebruikers te verifiëren en autoriseren in uw web-apps, web-API's of apps die beveiligde web-API's aanroepen. Als u een term ziet waarmee u niet bekend bent, kunt u onze woordenlijst of onze Microsoft Identity Platform-video's proberen, waarin de basisconcepten worden behandeld.

Verificatie

Verificatie is het proces om aan te tonen dat u bent wie u zegt dat u bent. Dit wordt bereikt door verificatie van de identiteit van een persoon of apparaat. Het wordt soms ingekort tot AuthN. Het Microsoft Identity Platform maakt gebruik van het OpenID-Verbinding maken-protocol voor het verwerken van verificatie.

Autorisatie

Autorisatie is het verlenen van een geverifieerde partijmachtiging om iets te doen. Hiermee geeft u op welke gegevens u toegang hebt en wat u met die gegevens kunt doen. Autorisatie wordt soms ingekort tot AuthZ. Het Microsoft Identity Platform maakt gebruik van het OAuth 2.0-protocol voor het afhandelen van autorisatie.

Meervoudige verificatie

Meervoudige verificatie is het leveren van een andere verificatiefactor aan een account. Dit wordt vaak gebruikt om te beschermen tegen beveiligingsaanvallen. Het wordt soms ingekort tot MFA of 2FA. Microsoft Authenticator kan worden gebruikt als een app voor het verwerken van tweeledige verificatie. Zie meervoudige verificatie voor meer informatie.

Verificatie en autorisatie met behulp van het Microsoft Identity Platform

Het maken van apps die elk hun eigen gebruikersnaam en wachtwoordgegevens onderhouden, zorgt voor een hoge administratieve last bij het toevoegen of verwijderen van gebruikers in meerdere apps. In plaats daarvan kunnen uw apps die verantwoordelijkheid delegeren aan een gecentraliseerde id-provider.

Microsoft Entra ID is een gecentraliseerde id-provider in de cloud. Het delegeren van verificatie en autorisatie voor deze verificatie maakt scenario's mogelijk, zoals:

  • Beleid voor voorwaardelijke toegang waarvoor een gebruiker zich op een specifieke locatie moet bevinden.
  • Multi-Factor Authentication waarvoor een gebruiker een specifiek apparaat moet hebben.
  • Als u een gebruiker in staat stelt zich eenmaal aan te melden en vervolgens automatisch wordt aangemeld bij alle web-apps die dezelfde gecentraliseerde map delen. Deze mogelijkheid wordt eenmalige aanmelding (SSO) genoemd.

Het Microsoft Identity Platform vereenvoudigt autorisatie en verificatie voor toepassingsontwikkelaars door identiteit als een service te bieden. Het ondersteunt standaardprotocollen en opensourcebibliotheken voor verschillende platforms, zodat u snel kunt beginnen met coderen. Hiermee kunnen ontwikkelaars toepassingen bouwen die zich aanmelden bij alle Microsoft-identiteiten, tokens ophalen om Microsoft Graph aan te roepen, toegang te krijgen tot Microsoft-API's of toegang krijgen tot andere API's die ontwikkelaars hebben gebouwd.

In deze video worden het Microsoft Identity Platform en de basisprincipes van moderne verificatie uitgelegd:

Hier volgt een vergelijking van de protocollen die door het Microsoft Identity Platform worden gebruikt:

  • OAuth versus OpenID Verbinding maken: Het platform maakt gebruik van OAuth voor autorisatie en OpenID Verbinding maken (OIDC) voor verificatie. OpenID Verbinding maken is gebouwd boven op OAuth 2.0, dus de terminologie en stroom zijn vergelijkbaar tussen de twee. U kunt zelfs een gebruiker verifiëren (via OpenID Verbinding maken) en autorisatie krijgen voor toegang tot een beveiligde resource die de gebruiker in één aanvraag bezit (via OAuth 2.0). Zie de protocollen OAuth 2.0 en OpenID Verbinding maken en OpenID Verbinding maken voor meer informatie.
  • OAuth versus SAML: het platform maakt gebruik van OAuth 2.0 voor autorisatie en SAML voor verificatie. Zie microsoft identity platform en OAuth 2.0 SAML bearer assertion flow voor meer informatie over het gebruik van deze protocollen om zowel een gebruiker te verifiëren als autorisatie voor toegang tot een beveiligde resource.
  • OpenID Verbinding maken versus SAML: het platform gebruikt zowel OpenID Verbinding maken als SAML om een gebruiker te verifiëren en eenmalige aanmelding in te schakelen. SAML-verificatie wordt vaak gebruikt met id-providers zoals Active Directory Federation Services (AD FS) die zijn gefedereerd aan Microsoft Entra-id, dus deze wordt vaak gebruikt in bedrijfstoepassingen. OpenID Verbinding maken wordt vaak gebruikt voor apps die uitsluitend in de cloud zijn, zoals mobiele apps, websites en web-API's.

Volgende stappen

Voor andere onderwerpen die betrekking hebben op de basisprincipes van verificatie en autorisatie: