Mis on OAuth?
Siit saate teada, mis on OAuth ja kuidas seda kasutatakse rakenduste ja teenuste vahelise juurdepääsu lubamiseks, ilma et see ohustaks tundlikku teavet.
OAuthi selgitus
OAuth on tehnoloogiastandard, mis võimaldab lubada ühel rakendusel või teenusel teise sisse logida ilma privaatset teavet (nt paroole) avaldamata. Kui olete kunagi saanud mõne sellise teate, näiteks „Kas logida sisse Facebookiga?“ või „Kas lubada sellel rakendusel teie kontole juurde pääseda?”, siis olete näinud OAuthi toimimas.
OAuth tähendab Open Authorizationit – mitte autentimist, nagu mõnikord eeldatakse. Autentimine on protsess, mis kontrollib teie kasutajaidentiteeti. OAuth puudutab teie kasutajaidentiteeti, kuid selle eesmärk on anda teile luba luua sujuvalt ühendus erinevate rakenduste ja teenustega, ilma et peaksite looma uut kontot. OAuth pakub seda lihtsat funktsiooni, andes teile võimaluse lubada kahel rakendusel jagada osa teie andmetest ilma teie sisselogimisteavet avaldamata. See tasakaalustab mugavust ja turvalisust.
OAuth on loodud töötama hüperteksti edastuse protokolliga (HTTP). See kasutab pääsutõendeid, et tõestada teie kasutajaidentiteeti ja lubada sellel teie nimel suhelda mõne muu teenusega. Kui selle teise teenusega seoses toimub andmeleke, ei ole esimese teenuse sisselogimisteave ohustatud. OAuth on laialt levinud avatud standardiga protokoll ning seda kasutab enamik veebisaitide ja rakenduste arendajaid.
Oluline on see, et OAuth ei anna kolmanda osapoole rakendusele ega teenusele piiramatut juurdepääsu teie andmetele. Protokolli üks osa on selle määramine, millistele andmetele on kolmandal osapoolel lubatud juurde pääseda ja mida see saab nende andmetega teha. Selliste piirangute määramine ja kasutajaidentiteetide kaitsmine üldiselt on ülioluline äriolukordades, kus paljudel inimestel on juurdepääs suurele hulgale delikaatsele ja omandiõigusega teabele.
Kuidas OAuth töötab?
Pääsutõendid muudavad OAuthi kasutamise turvaliseks. Pääsutõend on andmete osa, mis sisaldab teavet kasutaja ja ressursi kohta, mille jaoks tõend on mõeldud. Tõend sisaldab ka andmete jagamise reegleid.
Näiteks võite soovida jagada oma sotsiaalmeedia profiili fotosid fototöötlusrakendusega, kuid soovite, et sellel oleks juurdepääs ainult mõnele teie fotole. Samuti ei pea see pääsema juurde teie otsesõnumitele ega sõprade loendile. Tõend lubab juurdepääsu ainult teie kinnitatud andmetele. Samuti võivad olla reeglid selle kohta, millal rakendus seda tõendit kasutada saab – see võib olla mõeldud ühekordseks või korduvaks kasutamiseks – ja aegumiskuupäev.
OAuthi protsess on peamiselt arvutitevaheline suhtlus, millega kasutaja puutub kokku vaid mõnes punktis. Mõnel juhul ei pruugi teil olla vaja oma kinnitust anda, kuna tarkvara tegeleb sellega vaikselt taustal. Kaks OAuthi näidet selle kohta oleksid ettevõtte töö olukorras, kus identiteediplatvorm haldab ressurssidevahelisi ühendusi, et vähendada IT-tõrkeid paljude kasutajate korral või mõnede nutiseadmete vahelises suhtluses.
OAuthi tehnoloogia näited
Sarnaselt paljude tehnoloogiatega, mis lihtsustavad millegi tüütu tegemist – praegusel juhul kontode käsitsi loomist mitmes rakenduses –, on rakenduste loojad peaaegu kogu maailmas OAuthi kasutusele võtnud. Sellel on palju kasutusvõimalusi nii inimeste kui ka ettevõtete jaoks.
Oletagem ühe OAuthi näitena, et kasutate Microsoft Teamsi koostööriistana ja soovite juurde pääseda rohkemale teabele inimeste kohta, kellega koos töötate nii oma asutuses kui ka väljaspool seda. Otsustate lubada LinkedIni integreerimise, et saaksite inimestega suhtlemisel nende kohta rohkem teada, ilma Teamsist lahkumata. Microsoft ja LinkedIn kasutavad seejärel OAuthi teie kontode linkimiseks teie Microsofti kasutajaidentiteediga.
Teine OAuthi kasutamise olukord oleks see, kui laadite alla eelarverakenduse, mis aitab teil jälgida oma kulutusi teatiste ja visuaalsete abivahendite (nt graafide) abil. Rakendusel on oma töö tegemiseks vaja juurdepääsu osale teie pangaandmetele. Võite algatada taotluse siduda oma pangakonto rakendusega, andes juurdepääsu ainult oma konto saldole ja tehingutele. Rakendus ja pank kasutavad OAuthi, et vahetada teavet teie nimel ilma teie panga sisselogimisteavet rakendusele avaldamata.
Teine OAuthi näide oleks, kui olete GitHubi kasutav arendaja ja saate teada, et saadaval on kolmanda osapoole rakendus, mida saab koodi automaatseks läbivaatamiseks integreerida teie kontoga. Lähete GitHubi turuplatsile ja laadite rakenduse alla. Seejärel palub rakendus teil lubada sellega ühenduse, kasutades teie GitHubi kasutajaidentiteeti – see on protsess, mida hallatakse OAuthi abil. Läbivaatusrakendus pääseb seejärel teie koodile juurde, ilma et peaksite iga kord mõlemasse teenusesse sisse logima.
Mille poolest erinevad OAuth 1.0 ja OAuth 2.0?
Algne OAuth 1.0 on välja töötatud ainult veebisaitide jaoks. Seda ei kasutata enam laialdaselt, kuna OAuth 2.0 on loodud nii rakenduste kui ka veebisaitide jaoks ning seda on kiirem ja hõlpsam juurutada. OAuth 1.0 ei ole skaleeritav nagu OAuth 2.0 ja sellel on ainult kolm võimalikku autoriseerimisvoogu võrreldes OAuth 2.0 kuuega.
Kui kavatsete kasutada OAuthi, on kõige parem kasutada versiooni 2.0 algusest peale. Kahjuks ei saa versioonilt OAuth 1.0 üle minna versioonile OAuth 2.0. OAuth 2.0 oli mõeldud OAuth 1.0 radikaalseks ümberkujundamiseks ja mitmed suuremad tehnoloogiaettevõtted andsid selle kujunduse kohta tagasisidet. Veebisait võib toetada nii versioone OAuth 1.0 kui ka OAuth 2.0, kuid loojad soovisid, et versioon 2.0 asendaks täielikult versiooni 1.0.
OAuth vs. OIDC
OAuth ja Open ID Connect (OIDC) on omavahel tihedalt seotud protokollid. Need on sarnased, kuna mõlemad osalevad ühele rakendusele kasutaja nimel juurdepääsu andmisel teise rakenduse ressurssidele. Erinevus seisneb selles, et kui OAuthi kasutatakse ressurssidele juurdepääsu autoriseerimiseks, kasutatakse OIDC-d isiku kasutajaidentiteedi autentimiseks. Mõlemal on oma osa selles, et võimaldada kahel mitteseotud rakendusel jagada teavet ilma kasutajaandmeid ohustamata.
IdP-d kasutavad tavaliselt OAuth 2.0 ja OIDC-sid koos. OIDC on välja töötatud spetsiaalselt OAuth 2.0 funktsioonide täiustamiseks, lisades sellele kasutajaidentiteedi kihi. Kuna see on loodud versioonile OAuth 2.0, ei ühildu OIDC tagasi versiooniga OAuth 1.0.
OAuthi kasutamise alustamine
OAuth 2.0 kasutamine veebisaitide ja rakendustega võib teie kasutaja- või töötajakogemust oluliselt paremaks muuta, lihtsustades kasutajaidentiteedi autentimise protsessi. Alustamiseks investeerige IdP lahendusse, mis võib olla näiteks Microsoft Entra, mis kaitseb kasutajaid ja andmeid sisseehitatud turbega
Microsoft Entra ID (varem Azure Active Directory) toetab kõiki OAuth 2.0 voogusid. Rakendusearendajad saavad kasutada ID-d standarditel põhineva autentimise pakkujana, et aidata neil integreerida rakendustesse tänapäevaseid ettevõtte taseme kasutajaidentiteedi funktsioone. IT-administraatorid saavad seda kasutada juurdepääsu juhtimiseks.
Lisateave Microsofti turbeteenuste kohta
-
Microsoft Entra tutvustus
Saate kaitsta kasutajaidentiteete ja turvalist juurdepääsu pilveüleselt tervikliku lahendusepere abil.
-
Microsoft Entra ID (varem Azure Active Directory)
Ressurssidele ja andmetele juurdepääsu kaitsmiseks saate kasutada tugevat autentimist ja riskipõhist kohanduvat juurdepääsu.
-
Usalduse rakendustesse sisse ehitamine
Juurutage SSO, et töötajad pääseksid kõigile vajalikele ressurssidele juurde ühe sisselogimisteabega.
-
Sisselogimisfunktsioonide sujuvamaks muutmine
Juurutage SSO, et töötajad pääseksid kõigile vajalikele ressurssidele juurde ühe sisselogimisteabega.
-
Rünnete eest kaitsmine
Saate oma asutuse ressursside paremaks kaitsmiseks kasutada mitmikautentimist.
-
OAuthi kasutamine meiliandmetele juurdepääsu lihtsustamiseks
Siit saate teada, kuidas pärandprotokollide abil autentida ühendusi rakendustega.
Korduma kippuvad küsimused
-
OAuth tähendab Open Authorizationit ja see on tehnoloogiastandard, mille abil saate lubada ühel rakendusel või teenusel teise sisse logida ilma privaatset teavet (nt paroole) avaldamata. Kui rakendus küsib teilt autoriseerimist, et teie profiiliteavet vaadata, siis see kasutab OAuthi.
-
OAuth vahetab töötades pääsutõendeid – need on andmete osad, mis sisaldavad teavet kasutaja ja ressursi kohta, mille jaoks tõend on mõeldud. Üks rakendus või veebisait vahetab kasutaja kohta krüptitud teavet teisega ja see sisaldab kindlaid reegleid andmete jagamiseks. Samuti võivad olla reeglid selle kohta, millal rakendus saab seda tõendit kasutada, ja aegumiskuupäev. OAuthi protsess on peamiselt arvutitevaheline suhtlus, millega kasutaja puutub kokku vaid mõnes punktis, kui üldse
-
Paljud ettevõtted kasutavad OAuthi, et lihtsustada juurdepääsu kolmandate osapoolte rakendustele ja veebisaitidele ilma kasutajate paroole või delikaatseid andmeid avaldamata. Google, Amazon, Microsoft, Facebook ja Twitter kõik kasutavad seda oma kontode teabe jagamiseks mitmesugustel eesmärkidel, sealhulgas ostude lihtsustamiseks. Microsofti identimisplatvorm kasutab OAuthi töö- ja koolikontode, isiklike kontode, suhtlusvõrgukontode ja mängukontode õiguste lubamiseks.
-
OAuth ja Open ID Connect (OIDC) on omavahel tihedalt seotud protokollid. Need on sarnased, kuna mõlemad osalevad ühele rakendusele kasutaja nimel juurdepääsu andmisel teise rakenduse ressurssidele. Erinevus seisneb aga selles, et OAuthi kasutatakse ressurssidele juurdepääsu autoriseerimiseks, samas kui OIDC-d kasutatakse isiku kasutajaidentiteedi autentimiseks. Mõlemad osalevad selles, et võimaldada kahel mitteseotud rakendusel jagada teavet ilma kasutajaandmeid ohustamata.
-
OAuth 1.0 ja OAuth 2.0 vahel on palju erinevusi, kuna OAuth 2.0 on loodud OAuth 1.0 radikaalseks ümberkujundamiseks, mis muudab selle peaaegu aegunuks. OAuth 1.0 töötati välja ainult veebisaitide jaoks, samas kui OAuth 2.0 on loodud nii rakenduste kui ka veebisaitide jaoks. OAuth 2.0 on kiirem ja hõlpsam juurutada, seda saab skaleerida ning sellel on kuus võimalikku autoriseerimisvoogu võrreldes OAuth 1.0 kolmega.
Jälgige Microsoft 365