Mi az OAuth?
Megtudhatja, mi az OAuth, és hogyan használják az alkalmazások és szolgáltatások közötti hozzáférés engedélyezésére anélkül, hogy a bizalmas adatok veszélybe kerülnének.
Az OAuth ismertetése
Az OAuth egy technológiai szabvány, amely lehetővé teszi, hogy engedélyezze egy alkalmazás vagy szolgáltatás bejelentkezését egy másik alkalmazásba vagy szolgáltatásba anélkül, hogy személyes adatokat, például jelszavakat adna ki. Ha kapott már olyan üzenetet, mint például a „Bejelentkezik a Facebookkal?” vagy „Engedélyezi az alkalmazásnak, hogy hozzáférjen a fiókjához?”, akkor látta az OAuth-ot működés közben.
Az OAuth az Open Authorization (nyílt engedélyezés) rövidítése – nem pedig a hitelesítésé, ahogyan azt néha feltételezik. A hitelesítés egy olyan folyamat, amely ellenőrzi az Ön személyazonosságát. Az OAuth magában foglalja az Ön identitását, de célja, hogy engedélyt adjon arra, hogy zökkenőmentesen kapcsolódhassanak Önhöz különböző alkalmazások és szolgáltatások anélkül, hogy új fiókot kellene létrehoznia. Az OAuth ezt az egyszerű élményt azáltal biztosítja, hogy lehetőséget ad arra, hogy két alkalmazás számára engedélyezze az adatok egy részének megosztását anélkül, hogy felfedné a hitelesítő adatait. Egyensúlyt teremt a kényelem és a biztonság között.
Az OAuth-ot úgy tervezték, hogy a Hypertext Transfer Protocol (HTTP) protokollal működjön. Hozzáférési jogkivonatok használatával igazolja identitását, és lehetővé teszi, hogy az Ön nevében kommunikáljon egy másik szolgáltatással. Abban az esetben, ha ezen a második szolgáltatáson adatszivárgás történik, az első szolgáltatásban használt hitelesítő adatai biztonságban maradnak. Az OAuth egy széles körben elfogadott, nyílt szabványú protokoll, amelyet a legtöbb webhely- és alkalmazásfejlesztő használ.
Fontos, hogy az OAuth nem biztosít korlátlan hozzáférést egy harmadik féltől származó alkalmazásnak vagy szolgáltatásnak az Ön adataihoz. A protokoll része annak meghatározása, hogy a harmadik fél milyen adatokhoz férhet hozzá, és mit tehet ezekkel az adatokkal. Az ilyen korlátozások beállítása és általában az identitások védelme különösen fontos az olyan üzleti forgatókönyvekben, ahol sok embernek van hozzáférése bizalmas és jogvédett információkhoz.
Hogyan működik az OAuth?
A hozzáférési jogkivonatok teszik biztonságossá az OAuth használatát. A hozzáférési jogkivonat olyan adat, amely információkat tartalmaz a felhasználóról és az erőforrásról, amelyre a jogkivonat vonatkozik. A jogkivonatok konkrét adatmegosztási szabályokat is tartalmaznak.
Előfordulhat például, hogy a közösségi médiaprofilján található fényképeket szeretné megosztani egy képszerkesztő alkalmazással, de azt szeretné, hogy csak néhány fényképéhez férjen hozzá. Emellett nem kell hozzáférnie a közvetlen üzenetekhez vagy a barátok listájához. A jogkivonat csak az Ön által jóváhagyott adatokhoz való hozzáférést engedélyezi. Lehetnek olyan szabályok is, amelyek meghatározzák, hogy az alkalmazás mikor használhatja a jogkivonatot – egyszeri vagy ismétlődő használatra –, valamint egy lejárati dátum.
Az OAuth-folyamat többnyire gépről gépre irányuló interakció, a felhasználó számára csak néhány érintkezési pontot jelent. Bizonyos esetekben előfordulhat, hogy nem kell megadnia a jóváhagyását, mivel azt a háttérben a szoftver csendben kezeli. Erre két OAuth-példa lehet egy vállalati munkaforgatókönyv, ahol egy identitásplatform kezeli az erőforrások közötti kapcsolatokat, hogy csökkentse az informatikai problémákat nagyszámú felhasználó vagy egyes intelligens eszközök közötti interakciók során.
Példák az OAuth technológiára
Mint sok más technológia, amely leegyszerűsít a fárasztó feladatokat – ebben az esetben a fiókok kézi létrehozását több alkalmazásban –, az OAuth szinte általánosan elterjedt az alkalmazáskészítők körében. Sokféle használati esetet kínál az emberek és a vállalkozások számára.
Egy OAuth-példával élve, tegyük fel, hogy Ön a Microsoft Teamst használja együttműködési eszközként, és szeretne több információhoz hozzáférni azokról az emberekről, akikkel együtt dolgozik, mind a szervezetén belül, mind azon kívül. Úgy dönt, hogy engedélyezi a LinkedIn-integrációt, így többet tudhat meg az emberekről, miközben kapcsolatba lép velük, anélkül, hogy kilépne a Teamsből. A Microsoft és a LinkedIn ezután az OAuth segítségével engedélyezné az Ön fiókjainak összekapcsolását az Ön Microsoft-identitásával.
Egy másik, OAuth-ot használó forgatókönyv az lenne, ha letöltene egy költségvetési alkalmazást, amely figyelmeztetésekkel és vizuális segédletekkel, például grafikonokkal segít nyomon követni a kiadásaidat. Ahhoz, hogy az alkalmazás elvégezze a munkáját, hozzáférésre van szüksége az Ön banki adataihoz. Kezdeményezheti a bankszámlája és az alkalmazás összekapcsolását úgy, hogy csak a számlaegyenlegéhez és a tranzakciókhoz való hozzáférést engedélyezi. Az alkalmazás és az Ön bankja az OAuth használatával az Ön nevében végzi el ezt az információcserét anélkül, hogy a banki bejelentkezési adatokat felfedné az alkalmazás számára.
Egy másik OAuth-példa az lenne, ha Ön a GitHubot használó fejlesztő lenne, és megtudná, hogy létezik egy harmadik féltől származó alkalmazás, amely integrálható a fiókjához, hogy automatikus kódellenőrzéseket végezzen. Megnyitja a GitHub Marketplace-t, és letölti az alkalmazást. Ezután megkérné Önt, hogy engedélyezze a kapcsolatot az alkalmazással a GitHub-identitásával – ezt a folyamatot az OAuth kezelné. A felülvizsgáló alkalmazás így anélkül férhetne hozzá a kódjához, hogy minden alkalommal mindkét szolgáltatásba be kellene jelentkeznie.
Mi a különbség az OAuth 1.0 és az OAuth 2.0 között?
Az eredeti OAuth 1.0-t csak webhelyekhez fejlesztették ki. Ma nem használják széles körben, mivel az OAuth 2.0 alkalmazásokhoz és webhelyekhez egyaránt használható, ráadásul gyorsabb és könnyebben implementálható. Az OAuth 1.0 nem méretezhető úgy, mint az OAuth 2.0, és csak három lehetséges engedélyezési folyamattal rendelkezik, szemben az OAuth 2.0 hat lehetséges folyamatával.
Ha az OAuth használatát tervezi, a legjobb, ha kezdettől fogva a 2.0-s verziót használja. Sajnos az OAuth 1.0 nem frissíthető az OAuth 2.0-ra. Az OAuth 2.0-t az OAuth 1.0 radikális átalakításának szánták, és számos nagy technológiai vállalat adott visszajelzést a kialakításával kapcsolatban. Egy weboldal támogathatja az OAuth 1.0-t és az OAuth 2.0-t is, de az alkotók szándéka szerint a 2.0 teljesen felváltja az 1.0-t.
OAuth és OIDC
Az OAuth és az Open ID Connect (OIDC) egymással szorosan összefüggő protokollok. Abban hasonlítanak egymásra, hogy mindkettő szerepet játszik abban, hogy egy alkalmazás hozzáférjen egy másik alkalmazás erőforrásaihoz a felhasználó nevében. A különbség az, hogy míg az OAuth az erőforrásokhoz való hozzáférés engedélyezésére szolgál, addig az OIDC egy személy identitásának hitelesítésére. Mindkettő szerepet játszik abban, hogy két, egymástól független alkalmazás megoszthassa az információkat anélkül, hogy a felhasználói adatok veszélybe kerülnének.
Az identitásszolgáltatók általában az OAuth 2.0-t és az OIDC-t együtt használják. Az OIDC-t kifejezetten az OAuth 2.0 képességeinek bővítésére fejlesztették ki egy identitásréteg hozzáadásával. Mivel az OAuth 2.0-ra épül, az OIDC nem kompatibilis az OAuth 1.0-val.
Az OAuth használatának első lépései
Az OAuth 2.0 webhelyein és alkalmazásaiban való használata jelentősen javíthatja a felhasználói vagy alkalmazotti élményt, mivel leegyszerűsíti az identitáshitelesítési folyamatot. Első lépésként fektessen be egy olyan identitásszolgáltató megoldásba, mint például a Microsoft Entra, amely beépített biztonsággal védi a felhasználókat és az adatokat
A Microsoft Entra ID (korábbi nevén Azure Active Directory) minden OAuth 2.0-folyamatot támogat. Az alkalmazásfejlesztők szabványalapú hitelesítésszolgáltatóként használhatják az ID-t, amely segít nekik a vállalati szintű, modern identitáskezelési képességek alkalmazásba történő integrálásában. A rendszergazdák a hozzáférés ellenőrzésére használhatják.
További információ a Microsoft Biztonságról
-
A Microsoft Entra felfedezése
Holisztikus megoldáscsaláddal védheti az identitásokat és teheti biztonságossá a hozzáférést a felhőkön keresztül.
-
Microsoft Entra ID (korábban Azure Active Directory)
Erős hitelesítéssel és kockázatalapú adaptív hozzáféréssel védheti az erőforrásokhoz és adatokhoz való hozzáférést.
-
Megbízhatóság beépítése az alkalmazásokba
Egyszeri bejelentkezést valósíthat meg, hogy az alkalmazottak egyetlen hitelesítő adattal férhessenek hozzá az összes szükséges erőforráshoz.
-
Leegyszerűsített bejelentkezési élmények
Egyszeri bejelentkezést valósíthat meg, hogy az alkalmazottak egyetlen hitelesítő adattal férhessenek hozzá az összes szükséges erőforráshoz.
-
Támadások elleni védelem
Többtényezős hitelesítéssel javíthatja a szervezet erőforrásainak védelmét.
-
Az OAuth használata az e-mail-adatokhoz való hozzáférés egyszerűsítéséhez
Megtudhatja, hogyan hitelesítheti az alkalmazások kapcsolatait örökölt protokollok használatával.
Gyakori kérdések
-
Az OAuth az Open Authorization (nyílt engedélyezés) rövidítése, és egy olyan technológiai szabvány, amely lehetővé teszi, hogy egy alkalmazást vagy szolgáltatást engedélyezzen egy másik alkalmazásba vagy szolgáltatásba való bejelentkezésre anélkül, hogy személyes adatokat, például jelszavakat adna ki. Amikor egy alkalmazás engedélyt kér a profiladatai megtekintéséhez – az OAuth-ot használja.
-
Az OAuth hozzáférési jogkivonatok cseréjével működik – ezek olyan adatok, amelyek információkat tartalmaznak a felhasználóról és az erőforrásról, amelyre a jogkivonat vonatkozik. Egy alkalmazás vagy webhely titkosított információkat cserél egy másik felhasználóról egy másik alkalmazással, és konkrét szabályokat tartalmaz az adatmegosztásra vonatkozóan. Lehetnek olyan szabályok is, amelyek meghatározzák, hogy az alkalmazás mikor használhatja a jogkivonatot, valamint egy lejárati dátum. Az OAuth-folyamat többnyire gépről gépre irányuló interakció, a felhasználó számára csak néhány érintkezési pontot jelent, ha vannak ilyenek
-
Sok vállalat használja az OAuth-ot a harmadik féltől származó alkalmazásokhoz és webhelyekhez való hozzáférés egyszerűsítésére anélkül, hogy felfedné a felhasználók jelszavait vagy bizalmas adatait. A Google, az Amazon, a Microsoft, a Facebook és a Twitter mind arra használja, hogy a legkülönfélébb célokra, többek között a vásárlások egyszerűsítésére megosszák a fiókjaikra vonatkozó információkat. A Microsoft identitásplatformja az OAuth-ot használja a munkahelyi és iskolai fiókok, személyes fiókok, közösségi fiókok és játékfiókok engedélyezéséhez.
-
Az OAuth és az Open ID Connect (OIDC) egymással szorosan összefüggő protokollok. Abban hasonlítanak egymásra, hogy mindkettő szerepet játszik abban, hogy egy alkalmazás hozzáférjen egy másik alkalmazás erőforrásaihoz a felhasználó nevében. A különbség azonban az, hogy míg az OAuth az erőforrásokhoz való hozzáférés engedélyezésére szolgál, addig az OIDC egy személy identitásának hitelesítésére. Mindkettő szerepet játszik abban, hogy két, egymástól független alkalmazás megoszthassa az információkat anélkül, hogy a felhasználói adatok veszélybe kerülnének.
-
Az OAuth 1.0 és az OAuth 2.0 között számos különbség van, mivel az OAuth 2.0-t az OAuth 1.0 radikális átalakításaként tervezték, ami így szinte elavulttá vált. Az OAuth 1.0-t csak webhelyekhez fejlesztették ki, míg az OAuth 2.0-t alkalmazások és webhelyek számára egyaránt. Az OAuth 2.0 gyorsabb és könnyebben megvalósítható, méretezhető, és hat lehetséges engedélyezési folyamattal rendelkezik, szemben az OAuth 1.0 három folyamatával.
A Microsoft 365 követése