Kas yra „OAuth“?
Sužinokite, kas yra „OAuth“ ir kaip jis naudojamas siekiant suteikti prieigą tarp programų ir paslaugų nekenkiant slaptai informacijai.
„OAuth“ paaiškinimas
„OAuth“ yra technologinis standartas, leidžiantis įgalioti vieną programą arba tarnybą prisijungti prie kitos neatskleidžiant asmeninės informacijos, pvz., slaptažodžių. Jei kada nors gavote tokį pranešimą, „Prisijunkite naudodami „Facebook“?“ arba „Leisti šiai taikomajai programai pasiekti jūsų paskyrą?“ matėte, kaip veikia „OAuth“.
„OAuth“ reiškia, kad „Open Authorization“—nėra autentifikavimo, nes kartais manoma, kad taip yra. Autentifikavimas yra procesas, kuris patikrina jūsų tapatybę. „OAuth“ neapima jūsų tapatybės, tačiau jos tikslas yra suteikti teisę sklandžiai susisiekti su jumis naudojant skirtingas programas ir paslaugas, nereikalaujant sukurti naujos paskyros. „OAuth“ suteikia tokį naudojimo paprastumą, nes suteikia galimybę dviem programoms leisti dalytis kai kuriais jūsų duomenimis neatskleidžiant jūsų kredencialų. Tai sukuria pusiausvyrą tarp patogumo ir saugumo.
„OAuth“ sukurtas veikti su hiperteksto perdavimo protokolu (HTTP). Ji naudoja prieigos atpažinimo ženklus, kad įrodytų jūsų tapatybę ir leistų jums sąveikauti su kita tarnyba jūsų vardu. Jei ši antroji tarnyba patiria duomenų saugos pažeidimą, pirmosios tarnybos kredencialai liks saugūs. „OAuth“ yra plačiai priimtas, atviro standarto protokolas ir jį naudoja dauguma svetainių bei programų kūrėjų.
Svarbu, kad „OAuth“ nesuteikia trečiosios šalies programoms arba tarnyboms neribotos prieigos prie jūsų duomenų. Protokolo dalis nurodo, kokius duomenis trečiajai šaliai leidžiama pasiekti ir ką ji gali daryti su tais duomenimis. Tokių apribojimų nustatymas ir tapatybių apsauga apskritai yra ypač svarbūs verslo scenarijuose, kai daug žmonių turi prieigą prie gausybės slaptos ir nuosavybės teisėmis priklausančios informacijos.
Kaip veikia „OAuth“?
Prieigos atpažinimo ženklai leidžia saugiai naudoti „OAuth“. Prieigos atpažinimo ženklas yra duomenų dalis, kurioje yra informacija apie vartotoją ir išteklius, kuriam skirtas atpažinimo ženklas. Atpažinimo ženkle taip pat bus konkrečios duomenų bendrinimo taisyklės.
Pavyzdžiui, galbūt norėsite bendrinti nuotraukas iš savo socialinės medijos profilio su nuotraukų redagavimo programėle, tačiau norite, kad ji turėtų prieigą tik prie kai kurių jūsų nuotraukų. Jam taip pat nereikia pasiekti jūsų tiesioginių pranešimų arba draugų sąrašo. Atpažinimo ženklas leidžia pasiekti tik jūsų patvirtintus duomenis. Taip pat gali būti taisyklių, reguliuojančių, kada taikomoji programa gali naudoti tą atpažinimo ženklą—vienam naudojimui arba pasikartojančiam naudojimui—ir galiojimo pabaigos datą.
„OAuth“ procesas dažniausiai yra kompiuterio sąveika su tik keliais vartotojo sąlyčio taškais. Kai kuriais atvejais jums gali nereikėti patvirtinimo, nes jį tyliai tvarko programinė įranga fone. Du „OAuth“ pavyzdžiai būtų įmonės darbo scenarijuje, kai tapatybės platforma tvarko ryšius tarp išteklių, kad sumažintų IT trintį dideliam vartotojų skaičiui arba sąveiką tarp kai kurių išmaniųjų įrenginių.
„OAuth“ technologijos pavyzdžiai
Kaip ir daugelis technologijų, kurios supaprastina kažką varginančio (šiuo atveju rankinis paskyrų kūrimas keliose programose), „OAuth“ buvo beveik visuotinai priimtas programų kūrėjų. Jis turi daug įvairių naudojimo atvejų žmonėms ir įmonėms.
Norėdami pateikti vieną „OAuth“ pavyzdį, tarkime, kad naudojate „Microsoft Teams“ kaip bendradarbiavimo įrankį ir norite pasiekti daugiau informacijos apie žmones, su kuriais dirbate tiek savo organizacijoje, tiek už jos ribų. Nusprendžiate įgalinti „LinkedIn“ integravimą, kad galėtumėte sužinoti daugiau apie žmones, kai su jais bendraujate, neišeidami iš „Teams“. Tada „Microsoft“ ir „LinkedIn“ naudos „OAuth“, kad patvirtintų jūsų paskyrų susiejimą su jūsų „Microsoft“ tapatybe.
Kitas scenarijus naudojant „OAuth“ būtų, jei atsisiųstumėte biudžeto programą, kad galėtumėte stebėti savo išlaidas naudodami įspėjimus ir vaizdines priemones, pvz., grafikus. Kad galėtų atlikti savo darbą, programėlei reikės prieigos prie kai kurių jūsų banko duomenų. Galite inicijuoti užklausą susieti savo banko sąskaitą su programėle ir suteikti prieigą tik prie savo sąskaitos balanso ir operacijų. Programėlė ir jūsų bankas naudos „OAuth“ atlikti šį informacijos keitimą jūsų vardu neatskleidžiant jūsų banko prisijungimo prie programos kredencialų.
Kitas „OAuth“ pavyzdys būtų, jei būtumėte „GitHub“ kūrėjas ir sužinotumėte, kad yra trečiosios šalies programa, kurią galima integruoti su jūsų paskyra ir atlikti automatizuotas kodo peržiūras. Eikite į „GitHub Marketplace“ ir atsisiųskite programą. Tada bus prašoma įgalioti ryšį su programa naudojant „GitHub“ tapatybę—procesą, kuris būtų tvarkomas naudojant „OAuth“. Peržiūros programėlė gali pasiekti jūsų kodą kiekvieną kartą neprisijungdama prie abiejų tarnybų.
Koks skirtumas tarp „OAuth“ 1.0 ir „OAuth“ 2.0?
Pradinis „OAuth“ 1.0 buvo sukurtas tik svetainėms. Jis nėra plačiai naudojamas šiandien, nes „OAuth“ 2.0 yra skirtas tiek programėlėms, tiek svetainėms, be to, jis yra spartesnis ir lengviau diegiamas. „OAuth“ 1.0 nėra „OAuth“ 2.0 dydžio, ir turi tik tris galimus autorizavimo srautus, palyginti su šešiais „OAuth“ 2.0.
Jei planuojate naudoti „OAuth“, geriausia nuo pat pradžių naudoti 2.0 versiją. Deja, „OAuth“ 1.0 versijos negalima naujinti į „OAuth“ 2.0. „OAuth“ 2.0 buvo skirtas iš esmės perkurti „OAuth“ 1.0, o kelios pagrindinės technologijų įmonės pateikė atsiliepimų apie jo dizainą. Svetainė gali palaikyti ir „OAuth“ 1.0, ir „OAuth“ 2.0, bet kūrėjai numatė, kad 2.0 visiškai pakeis 1.0.
„OAuth“ ir OIDC
„OAuth“ ir „Open ID Connect“ (OIDC) yra glaudžiai susiję protokolai. Jie yra panašūs tuo, kad jie abu atlieka vaidmenį suteikiant vienai programai prieigą prie kitos programos išteklių vartotojo vardu. Skirtumas tas, kad nors „OAuth“ naudojamas ištekliams autorizuoti, OIDC naudojamas asmens tapatybei autentifikuoti. Abu atlieka vaidmenį įgalindami dvi nesusijusias programas bendrinti informaciją nekenkiant vartotojų duomenims.
Tapatybės teikėjai paprastai naudoja „OAuth“ 2.0 ir „OIDC“ kartu. „OIDC“ buvo specialiai sukurtas siekiant pagerinti „OAuth“ 2.0 galimybes įtraukiant į jį tapatybės sluoksnį. Jis sukurtas naudojant „OAuth“ 2.0, todėl „OIDC“ nesuderinamas su „OAuth“ 1.0.
Darbo su „OAuth“ pradžia
Naudojant „OAuth“ 2.0 su svetainėmis ir programomis galima gerokai pagerinti vartotojų arba darbuotojų patirtį supaprastinant tapatybės autentifikavimo procesą. Norėdami pradėti, investuokite į tapatybės teikėjo sprendimą, pvz., „Microsoft Entra“, kuris apsaugo vartotojus ir duomenis naudodamas įtaisytąją saugą
„Microsoft Entra ID“ (anksčiau „Azure Active Directory“) palaiko visus „OAuth“ 2.0 srautus. Programų kūrėjai gali naudoti ID kaip standartais pagrįstą autentifikavimo teikėją, kad galėtų į programas integruoti įmonės masto modernias tapatybės galimybes. IT administratoriai gali jį naudoti norėdami valdyti prieigą.
Sužinokite daugiau apie „Microsoft“ saugą
-
Susipažinkite su „Microsoft Entra“
Apsaugokite tapatybes ir saugią prieigą debesyse naudodami visapusišką sprendimų grupę.
-
„Microsoft Entra ID“ (anksčiau „Azure Active Directory“)
Apsaugokite prieigą prie išteklių ir duomenų naudodami griežtą autentifikavimą ir rizika pagrįstą adaptyviąją prieigą.
-
Kurkite pasitikėjimą savo programose
Įdiekite SSO, kad darbuotojai galėtų pasiekti visus reikiamus išteklius naudodami vieną kredencialą.
-
Racionalizuokite prisijungimo funkcijas
Įdiekite SSO, kad darbuotojai galėtų pasiekti visus reikiamus išteklius naudodami vieną kredencialą.
-
Apsauga nuo atakų
Naudokite kelių dalių autentifikavimą, kad pagerintumėte savo organizacijos išteklių apsaugą.
-
Norėdami supaprastinti prieigą prie el. pašto duomenų, naudokite „OAuth“
Sužinokite, kaip autentifikuoti ryšius su programomis naudojant senstelėjusius protokolus.
Dažnai užduodami klausimai
-
„OAuth“ reiškia „Open Authorization“ ir yra technologinis standartas, leidžiantis įgalioti vieną programą ar tarnybą prisijungti prie kitos, neatskleidžiant asmeninės informacijos, pvz., slaptažodžių. Kai programa paprašo įgaliojimo matyti jūsų profilio informaciją, ji naudoja „OAuth“.
-
„OAuth“ keičia prieigos atpažinimo ženklų—duomenų dalis, kuriose yra informacijos apie vartotoją ir išteklius, kuriems skirtas atpažinimo ženklas. Viena programa arba svetainė apsikeičia užšifruota informacija su kita apie vartotoją ir apima konkrečias duomenų bendrinimo taisykles. Taip pat gali būti taisyklių, reguliuojančių, kada taikomoji programa gali naudoti tą atpažinimo ženklą ir galiojimo pabaigos datą. „OAuth“ procesas dažniausiai yra kompiuterio sąveika su tik keliais vartotojo sąlyčio taškais, jei jų yra
-
Daugelis įmonių naudoja „OAuth“, kad supaprastintų prieigą prie trečiųjų šalių programų ir svetainių neatskleidžiant vartotojų slaptažodžių ar slaptų duomenų. „Google“, „Amazon“, „Microsoft“, „Facebook“ ir „Twitter“ naudoja jį informacijai apie savo paskyras bendrinti įvairiais tikslais, įskaitant pirkimų supaprastinimą. „Microsoft“ tapatybės platforma naudoja „OAuth“, kad patvirtintų darbo ir mokymo įstaigos paskyrų, asmeninių paskyrų, socialinių paskyrų ir žaidimų paskyrų teises.
-
„OAuth“ ir „Open ID Connect“ (OIDC) yra glaudžiai susiję protokolai. Jie yra panašūs tuo, kad jie abu atlieka vaidmenį suteikiant vienai programai prieigą prie kitos programos išteklių vartotojo vardu. Tačiau skirtumas tas, kad „OAuth“ naudojamas autorizuoti išteklius, kai „OIDC“ naudojamas asmens tapatybei autentifikuoti. Abi funkcijos leidžia dviem nesusijusioms programoms bendrinti informaciją nekenkiant vartotojų duomenims.
-
Yra daug skirtumų tarp „OAuth“ 1.0 ir „OAuth“ 2.0, nes „OAuth“ 2.0 buvo sukurtas radikaliai pakeisti „OAuth“ 1.0, todėl jis beveik nebenaudojamas. „OAuth“ 1.0 buvo sukurtas tik svetainėms, o „OAuth“ 2.0 skirtas tiek programoms, tiek svetainėms. „OAuth“ 2.0 yra greitesnė ir paprastesnė įdiegti, gali keisti mastelį ir turi šešis galimus autorizavimo srautus, palyginti su trimis „OAuth“ 1.0.
Stebėkite „Microsoft 365“