Autentisering kontra auktorisering

Den här artikeln definierar autentisering och auktorisering. Den omfattar även kort Multi-Factor Authentication och hur du kan använda Microsofts identitetsplattform för att autentisera och auktorisera användare i dina webbappar, webb-API:er eller appar som anropar skyddade webb-API:er. Om du ser en term som du inte är bekant med kan du prova vår ordlista eller våra Microsofts identitetsplattform videor som beskriver grundläggande begrepp.

Autentisering

Autentisering är en process för att bevisa att du är den du säger att du är. Detta uppnås genom verifiering av identiteten för en person eller enhet. Det förkortas ibland till AuthN. Microsofts identitetsplattform använder OpenID Anslut-protokollet för hantering av autentisering.

Auktorisering

Auktorisering är att bevilja en autentiserad part behörighet att göra något. Den anger vilka data du får åtkomst till och vad du kan göra med dessa data. Auktorisering förkortas ibland till AuthZ. Microsofts identitetsplattform använder OAuth 2.0-protokollet för att hantera auktorisering.

Multifaktorautentisering

Multifaktorautentisering är en annan autentiseringsfaktor för ett konto. Detta används ofta för att skydda mot råstyrkeattacker. Det förkortas ibland till MFA eller 2FA. Microsoft Authenticator kan användas som en app för att hantera tvåfaktorautentisering. Mer information finns i multifaktorautentisering.

Autentisering och auktorisering med hjälp av Microsofts identitetsplattform

Att skapa appar som var och en behåller sin egen information om användarnamn och lösenord medför en hög administrativ börda när du lägger till eller tar bort användare i flera appar. I stället kan dina appar delegera det ansvaret till en centraliserad identitetsprovider.

Microsoft Entra ID är en centraliserad identitetsprovider i molnet. Delegera autentisering och auktorisering till den möjliggör scenarier som:

  • Principer för villkorsstyrd åtkomst som kräver att en användare finns på en viss plats.
  • Multifaktorautentisering som kräver att en användare har en specifik enhet.
  • Gör det möjligt för en användare att logga in en gång och sedan automatiskt loggas in på alla webbappar som delar samma centraliserade katalog. Den här funktionen kallas enkel inloggning (SSO).

Microsofts identitetsplattform förenklar auktorisering och autentisering för programutvecklare genom att tillhandahålla identitet som en tjänst. Den stöder branschstandardprotokoll och bibliotek med öppen källkod för olika plattformar för att hjälpa dig att börja koda snabbt. Det gör att utvecklare kan skapa program som loggar in alla Microsoft-identiteter, hämta token för att anropa Microsoft Graph, komma åt Microsoft-API:er eller komma åt andra API:er som utvecklare har skapat.

Den här videon förklarar Microsofts identitetsplattform och grunderna i modern autentisering:

Här är en jämförelse av de protokoll som Microsofts identitetsplattform använder:

  • OAuth jämfört med OpenID Anslut: Plattformen använder OAuth för auktorisering och OpenID Anslut (OIDC) för autentisering. OpenID Anslut bygger på OAuth 2.0, så terminologin och flödet är liknande mellan de två. Du kan även både autentisera en användare (via OpenID Anslut) och få behörighet att komma åt en skyddad resurs som användaren äger (via OAuth 2.0) i en begäran. Mer information finns i Protokollen OAuth 2.0 och OpenID Anslut och OpenID Anslut.
  • OAuth kontra SAML: Plattformen använder OAuth 2.0 för auktorisering och SAML för autentisering. Mer information om hur du använder dessa protokoll tillsammans för att både autentisera en användare och få behörighet att komma åt en skyddad resurs finns i Microsofts identitetsplattform och OAuth 2.0 SAML-ägarkontrollflödet.
  • OpenID Anslut jämfört med SAML: Plattformen använder både OpenID Anslut och SAML för att autentisera en användare och aktivera enkel inloggning. SAML-autentisering används ofta med identitetsprovidrar som Active Directory Federation Services (AD FS) (AD FS) federerade till Microsoft Entra-ID, så det används ofta i företagsprogram. OpenID-Anslut används ofta för appar som enbart finns i molnet, till exempel mobilappar, webbplatser och webb-API:er.

Nästa steg

För andra ämnen som beskriver grunderna för autentisering och auktorisering: