This is the Trace Id: 5198b6f07d0dfe73899965fd7efa59bb
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je OAuth?

Zjistěte, co je OAuth a jak se používá k autorizaci přístupu mezi aplikacemi a službami bez ohrožení citlivých informací.

Vysvětlení OAuth

OAuth je technologický standard, který umožňuje autorizovat přihlášení aplikace nebo služby k jiné aplikaci nebo službě bez odhalení citlivých informací, například hesel. Pokud jste někdy dostali zprávu jako „Přihlásit se přes Facebook?“ nebo „Povolit této aplikaci přístup k vašemu účtu?“, tak jste viděli OAuth v akci.

OAuth je zkratka pro Open Authorization – ne ověřování, jak se občas předpokládá. Ověřování je proces, který ověřuje vaši identitu. OAuth zahrnuje vaši identitu, ale jeho účelem je udělit oprávnění pro vaše snadné připojení k různým aplikacím a službám, aniž byste si museli vytvořit nový účet. OAuth toto usnadnění umožňuje tím, že vám dává možnost autorizovat dvě aplikace ke sdílení některých vašich dat bez odhalení vašich přihlašovacích údajů. Představuje rovnováhu mezi pohodlím a zabezpečením.

Protokol OAuth funguje s protokolem HTTP (Hypertext Transfer Protocol). Používá přístupové tokeny k prokázání vaší identity a umožňuje jí interagovat s jinou službou vaším jménem. V případě, že u této druhé služby dojde k úniku dat, zůstanou vaše přihlašovací údaje v první službě v bezpečí. OAuth je široce používaný protokol s otevřeným standardem a používá ho většina vývojářů webů a aplikací.

Je důležité vědět, že OAuth neuděluje aplikaci nebo službě třetí strany neomezený přístup k vašim datům. Část protokolu určuje, k jakým datům má třetí strana přístup a co s daty může dělat. Nastavení takových omezení a obecná ochrana identit jsou obzvláště důležité v případě firem, ve kterých má mnoho lidí přístup k mnoha citlivým a majetkovým informacím.


 

Jak funguje OAuth?

Použití OAuth je bezpečné díky přístupovým tokenům. Přístupový token je část dat, která obsahuje informace o uživateli a prostředku, pro který je token určený. Token také obsahuje konkrétní pravidla pro sdílení dat.

Pokud například chcete sdílet fotky z profilu sociálních médií s aplikací pro úpravy fotek, ale chcete, aby měla přístup jen k některým fotkám. Také nemusí přistupovat k vašim soukromým zprávám nebo seznamu přátel. Token autorizuje pouze přístup k datům, která schválíte. Může mít i pravidla, která řídí, kdy smí aplikace tento token používat – jednorázově nebo opakovaně – a určují datum vypršení platnosti.

Proces OAuth většinou znamená interakci mezi počítači a několika málo kontaktními body pro uživatele. U některých scénářů nemusíte dávat povolení, protože se bezobslužně zpracuje softwarem na pozadí. Dva příklady použití OAuth najdete ve firemním pracovním scénáři, kdy platforma pro identity zpracovává spojení mezi prostředky, aby se snížilo IT tření u velkého počtu uživatelů nebo u interakcí mezi některými chytrými zařízeními.


 

Příklady technologie OAuth

Stejně jako mnoho technologií, které zjednodušují něco zdlouhavého – v tomto případě ruční vytváření účtů ve více aplikacích – je OAuth téměř všeobecně používaný tvůrci aplikací. Má širokou škálu případů použití pro lidi a firmy.

OAuth se hodí třeba v případě, že používáte Microsoft Teams jako nástroj pro spolupráci a chcete získat přístup k dalším informacím o lidech, se kterými pracujete, a to jak ve vaší organizaci, tak mimo ni. Třeba povolíte integraci LinkedInu, abyste se o lidech mohli během interakce s nimi dozvědět víc, aniž byste museli opustit Teams. Microsoft a LinkedIn pak použijí OAuth k autorizaci propojení vašich účtů s vaší identitou Microsoftu.

Další scénář použití OAuth je třeba možnost stažení aplikace pro rozpočtování, která vám pomůže sledovat útratu pomocí upozornění a vizuálních pomůcek, jako jsou grafy. Aby aplikace mohla dělat svou práci, bude potřebovat přístup k některým z vašich bankovních dat. Můžete tak zahájit žádost o propojení vašeho bankovního účtu s aplikací a autorizovat přístup pouze k zůstatku na účtu a transakcím. Aplikace a vaše banka si budou tyto informace vyměňovat vaším jménem bez potřeby odhalit aplikaci přihlašovací údaje do vaší banky.

Dalším příkladem použití OAuth může být situace, kdy jste vývojář používající GitHub a zjistíte, že je k dispozici aplikace třetí strany, která se může integrovat s vaším účtem a provádět automatické revize kódu. Přejdete na GitHub Marketplace a stáhnete si aplikaci. Ta vás pak požádá o autorizaci připojení k aplikaci pomocí vaší identity na GitHubu. Tento proces by se zpracoval pomocí OAuth. Kontrolní aplikace pak bude mít přístup k vašemu kódu, aniž byste se museli pokaždé přihlašovat k oběma službám.

Jaký je rozdíl mezi OAuth 1.0 a OAuth 2.0?

Původní OAuth 1.0 byl vyvinutý pouze pro weby. Dnes se běžně nepoužívá, protože OAuth 2.0 je navržený pro aplikace i weby, je rychlejší a snadněji se implementuje. OAuth 1.0 se neškáluje jako OAuth 2.0 a má jenom tři možné autorizační toky ve srovnání s šesti toky OAuth 2.0.

Pokud plánujete používat OAuth, je lepší od začátku používat verzi 2.0. OAuth 1.0 bohužel není možné upgradovat na OAuth 2.0. OAuth 2.0 měl zásadně vylepšit verzi OAuth 1.0 a několik významných technologických společností přispělo k jeho návrhu zpětnou vazbou. Web může podporovat OAuth 1.0 i OAuth 2.0, ale záměrem tvůrců bylo, aby verze 2.0 zcela nahradila 1.0.

OAuth vs. OIDC

OAuth a Open ID Connect (OIDC) jsou úzce související protokoly. Jsou podobné v tom, že oba umožňují přístup jedné aplikace k prostředkům jiné aplikace jménem uživatele. Rozdíl je v tom, že zatímco OAuth se používá k autorizaci pro přístup k prostředkům, OIDC se používá k ověření identity osoby. Oba hrají roli při sdílení informací dvěma nesouvisejícími aplikacemi, aniž by došlo k ohrožení uživatelských dat.

Zprostředkovatelé identity obvykle používají OAuth 2.0 a OIDC současně. Protokol OIDC byl vyvinutý speciálně pro vylepšení možností OAuth 2.0, do kterého přidává další vrstvu identity. OIDC je založený na OAuth 2.0, a tak není zpětně kompatibilní s OAuth 1.0.

 

Začínáme s OAuth

Použitím OAuth 2.0 ve vašich webech a aplikacích můžete výrazně zlepšit uživatelské a zaměstnanecké prostředí díky zjednodušenému procesu ověřování identity. Pokud chcete začít, investujte do řešení zprostředkovatele identity, jako třeba Microsoft Entra, které chrání uživatele a data pomocí integrovaného zabezpečení.

Microsoft Entra ID (dříve Azure Active Directory) podporuje všechny toky OAuth 2.0. Vývojáři aplikací můžou ID používat jako poskytovatele ověřování založeného na standardech, který jim pomůže integrovat do aplikací moderní funkce identity na úrovni podniku. Správci IT ho můžou použít k řízení přístupu.

Další informace o zabezpečení od Microsoftu

  • Prozkoumejte řešení Microsoft Entra

    Chraňte identity a zabezpečte přístup napříč cloudy s využitím ucelené řady řešení.

    Další informace

  • Microsoft Entra ID (dříve Azure Active Directory)

    Chraňte přístup k prostředkům a datům pomocí silného ověřování a adaptivního přístupu založeného na rizicích.

    Další informace

  • Budujte své aplikace na důvěře

    Implementujte jednotné přihlašování, aby zaměstnanci měli přístup ke všem prostředkům, které potřebují, pomocí jednoho přihlašovacího údaje.

    Další informace

  • Zjednodušte přihlašování

    Implementujte jednotné přihlašování, aby zaměstnanci měli přístup ke všem prostředkům, které potřebují, pomocí jednoho přihlašovacího údaje.

    Další informace

  • Ochrana před útoky

    Pomocí vícefaktorového ověřování můžete zlepšit ochranu prostředků vaší organizace.

    Další informace

  • Zjednodušte přístup k e-mailovými datům pomocí OAuth

    Naučte se ověřovat připojení k aplikacím pomocí starších protokolů.

    Další informace

 

 

Časté otázky

  • OAuth je zkratka Open Authorization. Jedná se o technologický standard, který umožňuje autorizovat přihlášení jedné aplikace nebo služby k jiné, aniž byste museli odhalovat soukromé informace, například hesla. Když vás aplikace požádá o autorizaci zobrazení informací ve vašem profilu, používá OAuth.

  • OAuth funguje tak, že vyměňuje přístupové tokeny – části dat, které obsahují informace o uživateli a prostředku, pro který je token určený. Jedna aplikace nebo web si vyměňuje šifrované informace o uživateli s druhou a obsahuje konkrétní pravidla pro sdílení dat. Může mít i pravidla, která řídí, kdy smí aplikace tento token používat, a určují datum vypršení platnosti. Proces OAuth většinou znamená interakci mezi počítači a několika málo kontaktními body pro uživatele, pokud jsou dostupné.

  • Mnoho společností používá OAuth ke zjednodušení přístupu k aplikacím a webům třetích stran, aniž by prozrazovaly hesla uživatelů nebo citlivá data. Google, Amazon, Microsoft, Facebook a Twitter ho používají ke sdílení informací o svých účtech pro širokou škálu účelů, včetně zjednodušení nákupů. Microsoft Identity platform používá OAuth k autorizaci oprávnění pro pracovní a školní účty, osobní účty, účty na sociálních sítích a herní účty.

  • OAuth a Open ID Connect (OIDC) jsou úzce související protokoly. Jsou podobné v tom, že oba umožňují přístup jedné aplikace k prostředkům jiné aplikace jménem uživatele. Rozdíl je ale v tom, že OAuth se používá k autorizaci pro přístup k prostředkům, zatímco OIDC se používá k ověřování identity osoby. Obě hrají roli při povolení sdílení informací dvěma nesouvisejícím aplikacím bez ohrožení uživatelských dat.

  • Mezi OAuth 1.0 a OAuth 2.0 existuje mnoho rozdílů, protože protokol OAuth 2.0 byl navržen jako zásadně vylepšená verze OAuth 1.0, čímž ji učinil téměř nadbytečnou. OAuth 1.0 byl vyvinut pouze pro weby, zatímco OAuth 2.0 je určený jak pro weby, tak pro aplikace. OAuth 2.0 je rychlejší a snadněji se implementuje, umí škálovat a má šest možných autorizačních toků v porovnání se třemi toky OAuth 1.0.

Sledujte Microsoft 365