Hvad er OAuth?
Få mere at vide om, hvad OAuth er, og hvordan det bruges til at godkende adgang mellem apps og tjenester uden at gå på kompromis med følsomme oplysninger.
Forklaring af OAuth forklaret
OAuth er en teknologisk standard, der giver dig mulighed for at autorisere én app eller tjeneste til at logge på en anden uden at videregive private oplysninger, f.eks. adgangskoder. Hvis du nogensinde har modtaget en meddelelse som f.eks. “Log på med Facebook?” eller “Vil du tillade, at dette program får adgang til din konto?” du har set OAuth i aktion.
OAuth står for Open Authorization – ikke godkendelse, som det nogle gange antages at være. Godkendelse er en proces, der bekræfter din identitet. OAuth involverer din identitet, men dens formål er at give tilladelse til problemfrit at oprette forbindelse til dig med forskellige apps og tjenester uden at kræve, at du opretter en ny konto. OAuth gør oplevelsen enkel ved at give dig mulighed for at autorisere to apps til at dele nogle af dine data uden at afsløre dine legitimationsoplysninger. Der er en balance mellem praktisk og sikkerhed.
OAuth er udviklet til at fungere sammen med Hypertext Transfer Protocol (HTTP). Den bruger adgangstokens til at bevise din identitet og give den mulighed for at interagere med en anden tjeneste på dine vegne. I tilfælde af denne anden tjeneste bliver udsat for databrud, forbliver dine legitimationsoplysninger på den første tjeneste sikre. OAuth er en almindeligt anvendt protokol med åben standard, og de fleste udviklere af websteder og apps bruger den.
Det er vigtigt, at OAuth ikke giver en tredjepartsapp eller tjeneste ubegrænset adgang til dine data. En del af protokollen angiver, hvilke data tredjeparten har tilladelse til at få adgang til, og hvad den kan gøre med disse data. Angivelse af sådanne begrænsninger og beskyttelse af identiteter generelt er især vigtigt i virksomhedsscenarier, hvor mange personer har adgang til et væld af følsomme og beskyttede oplysninger.
Hvordan fungerer OAuth?
Adgangstokens er det, der gør OAuth sikker at bruge. Et adgangstoken er et datastykke, der indeholder oplysninger om brugeren og den ressource, tokenet er beregnet til. Et token indeholder også specifikke regler for datadeling.
Det kan f.eks. være, at du vil dele billeder fra din profil på sociale medier med en fotoredigeringsapp, men du vil kun have, at den har adgang til nogle af dine billeder. Det behøver heller ikke at få adgang til dine direkte meddelelser eller din venneliste. Tokenet tillader kun adgang til de data, du godkender. Der kan også være regler for, hvornår programmet kan bruge dette token – det kan være til engangsbrug eller til tilbagevendende brug – og en udløbsdato.
OAuth-processen er hovedsageligt en maskine-til-maskine-interaktion med blot nogle få berøringspunkter for brugeren. I nogle scenarier behøver du muligvis ikke at give din godkendelse, fordi den automatisk håndteres i baggrunden af software. To OAuth-eksempler på dette ville være i et virksomhedsarbejdsscenarie, hvor en identitetsplatform håndterer forbindelser mellem ressourcer for at reducere it-friktion for et stort antal brugere eller i interaktioner mellem nogle smarte enheder.
Eksempler på OAuth-teknologi
Ligesom mange teknologier, der forenkler noget kedeligt – i dette tilfælde, er manuel oprettelse af konti i flere apps – OAuth er næsten blevet universelt indført af appudviklere. Det har en lang række use cases til personer og virksomheder.
Et andet OAuth-eksempel ville være, at du antager, at du bruger Microsoft Teams som et samarbejdsværktøj og vil have adgang til flere oplysninger om de personer, du arbejder med, både i og uden for organisationen. Du beslutter dig for at aktivere LinkedIn-integrationen, så du kan få mere at vide om personer, når du interagerer med dem, uden at forlade Teams. Microsoft og LinkedIn bruger derefter OAuth til at godkende sammenkædningen af dine konti med din Microsoft-identitet.
Et andet scenarie, hvor du bruger OAuth, er, hvis du downloader en budgetapp for at hjælpe dig med at holde styr på dit forbrug med beskeder og visuelle hjælpemidler, f.eks. grafer. For at kunne udføre sit arbejde skal appen have adgang til nogle af dine bankdata. Du kan starte en anmodning om at knytte din bankkonto til appen, så den kun får adgang til din kontosaldo og transaktioner. Appen og din bank bruger OAuth til at udveksle oplysninger på dine vegne uden at afsløre dine legitimationsoplysninger til banklogon til appen.
Et andet OAuth-eksempel ville være, hvis du var udvikler ved hjælp af GitHub, og du finder ud af, at der er en tilgængelig tredjepartsapp, der kan integreres med din konto for at udføre automatiserede kodegennemgange. Du går til GitHub Marketplace og downloader appen. Du bliver derefter bedt om at godkende en forbindelse til appen ved hjælp af din GitHub-identitet – en proces, der håndteres ved hjælp af OAuth. Appen til gennemsyn kunne derefter få adgang til din kode, uden at du skulle logge på begge tjenester hver gang.
Hvad er forskellen mellem OAuth 1.0 og OAuth 2.0?
Den oprindelige OAuth 1.0 blev kun udviklet til websteder. Det bruges ikke særlig meget i dag, fordi OAuth 2.0 er udviklet til både apps og websteder, og det er også hurtigere og nemmere at implementere. OAuth 1.0’skaleres ikke som OAuth 2.0, og den har kun tre mulige godkendelsesflow sammenlignet med OAuth 2.0, som har seks.
Hvis du planlægger at bruge OAuth, er det bedst at bruge version 2.0 fra starten. OAuth 1.0 kan desværre ikke opgraderes til OAuth 2.0. OAuth 2.0 var beregnet til at være et markant redesign af OAuth 1.0, og flere større teknologivirksomheder har givet feedback om dens design. Et websted kan understøtte både OAuth 1.0 og OAuth 2.0, men forfatterne havde til hensigt, at 2.0 helt ville erstatte 1.0.
OAuth vs. OIDC
OAuth og OIDC (Open ID Connect) er tæt relaterede protokoller. De er ens, idet de begge spiller en rolle i at give ét program adgang til et andet programs ressourcer på en brugers vegne. Forskellen er, at selvom OAuth bruges til godkendelse til at få adgang til ressourcer, bruges OIDC til godkendelse af en persons identitet. Begge to spiller en rolle, når to ikke-relaterede apps skal kunne dele oplysninger uden at gå på kompromis med brugerdata.
Identitetsudbydere bruger typisk OAuth 2.0 og OIDC sammen. OIDC blev udviklet specifikt for at forbedre egenskaberne i OAuth 2.0 ved at føje et identitetslag til det. Da det er bygget på OAuth 2.0, er OIDC ikke bagudkompatibel med OAuth 1.0.
Kom i gang med OAuth
Brug af OAuth 2.0 med dine websteder og apps kan forbedre dine bruger- eller medarbejderoplevelser dramatisk ved at forenkle identitetsgodkendelsesprocessen. For at komme i gang skal du investere i en identitetsudbyderløsning, f.eks. Microsoft Entra, der beskytter brugere og data med indbygget sikkerhed
Microsoft Entra ID (tidligere Azure Active Directory) understøtter alle OAuth 2.0-flows. Appudviklere kan bruge Microsoft Entra ID som en standardbaseret godkendelsesudbyder for at hjælpe dem med at integrere moderne identitetsfunktioner i virksomhedsskala i apps. It-administratorer kan bruge den til at styre adgangen.
Få mere at vide om Microsoft Security
-
Udforsk Microsoft Entra
Beskyt identiteter og sikker adgang på tværs af cloudmiljøer med en holistisk serie af løsninger.
-
Microsoft Entra ID (tidligere Azure Active Directory)
Beskyt adgangen til ressourcer og data ved hjælp af stærk godkendelse og risikobaseret tilpasset adgang.
-
Opbyg tillid til dine apps
Implementer SSO, så medarbejderne kan få adgang til alle de ressourcer, de har brug for, med én legitimationsoplysning.
-
Strømlin logonoplevelser
Implementer SSO, så medarbejderne kan få adgang til alle de ressourcer, de har brug for, med én legitimationsoplysning.
-
Beskyt mod angreb
Brug multifaktorgodkendelse til at forbedre beskyttelsen af organisationens ressourcer.
-
Brug OAuth til at forenkle adgangen til maildata
Få mere at vide om, hvordan du godkender forbindelser til programmer ved hjælp af ældre protokoller.
Ofte stillede spørgsmål
-
OAuth står for Open Authorization og er en teknologisk standard, der giver dig mulighed for at autorisere én app eller tjeneste til at logge på en anden uden at afsløre private oplysninger som f.eks. adgangskoder. Når en app beder dig om tilladelse til at se dine profiloplysninger – bruger den OAuth.
-
OAuth fungerer ved at udveksle adgangstokens – datastykker, der indeholder oplysninger om brugeren, og den ressource, tokenet er beregnet til. En app eller et websted udveksler krypterede oplysninger med en anden om en bruger, hvilket omfatter specifikke regler for datadeling. Der kan også være regler for, hvornår programmet kan bruge dette token og en udløbsdato. OAuth-processen er hovedsageligt en maskine-til-maskine-interaktion med blot nogle få berøringspunkter for brugeren, hvis der overhovedet er nogen
-
Mange virksomheder bruger OAuth til at forenkle adgangen til tredjepartsapps og -websteder uden at afsløre deres brugeres adgangskoder eller følsomme data. Google, Amazon, Microsoft, Facebook og Twitter bruger dem alle til at dele oplysninger om deres konti til en lang række formål, herunder forenkling af køb. Microsoft-identitetsplatformen bruger OAuth til at godkende tilladelser til arbejds- og skolekonti, personlige konti, sociale konti og spilkonti.
-
OAuth og OIDC (Open ID Connect) er tæt relaterede protokoller. De er ens, idet de begge spiller en rolle i at give ét program adgang til et andet programs ressourcer på en brugers vegne. Forskellen er dog, at OAuth bruges til godkendelse til at få adgang til ressourcer, mens OIDC bruges til godkendelse af en persons identitet. Begge to spiller en rolle, når to ikke-relaterede apps skal kunne dele oplysninger uden at gå på kompromis med brugerdata.
-
Der er mange forskelle mellem OAuth 1.0 og OAuth 2.0, fordi OAuth 2.0 er designet til at være et markant redesign af OAuth 1.0, hvilket gør den næsten forældet. OAuth 1.0 blev kun udviklet til websteder, mens OAuth 2.0 er udviklet til både apps og websteder. OAuth 2.0 er hurtigere og nemmere at implementere, kan skaleres og har seks mulige godkendelsesflow sammenlignet med OAuth 1.0, som har tre.
Følg Microsoft 365