Kas ir OAuth?
Uzziniet, kas ir OAuth un kā tā tiek izmantota, lai autorizētu piekļuvi starp programmām un pakalpojumiem, neapdraudot sensitīvu informāciju.
OAuth skaidrojums
OAuth ir tehnoloģisks standarts, kas jums ļauj sankcionēt vienu programmu vai pakalpojumu pierakstīties citā, neizpaužot privātu informāciju, piemēram, paroles. Ja kādreiz esat saņēmis ziņojumu, piemēram, “Vai pierakstīties, izmantojot Facebook?” vai “Vai atļaut šai programmai piekļūt jūsu kontam?”, esat redzējis OAuth darbībā.
OAuth nozīmē Open Authorization, nevis autentifikāciju, kā to reizēm uzskata. Autentifikācija ir process, kas pārbauda jūsu identitāti. OAuth iesaista jūsu identitāti, bet tās mērķis ir piešķirt atļauju, lai nevainojami izveidotu savienojumu ar jums, izmantojot dažādas programmas un pakalpojumus, neprasot jums izveidot jaunu kontu. OAuth nodrošina šo pieredzes vienkāršību, sniedzot jums iespēju sankcionēt divām programmām daļas jūsu datu koplietošanu, neatklājot jūsu akreditācijas datus. Šādi tiek panākts līdzsvars starp ērtībām un drošību.
OAuth ir paredzēta darbam ar hiperteksta pārsūtīšanas protokolu (HTTP). Tā izmanto piekļuves pilnvaras, lai pierādītu jūsu identitāti, un ļauj jūsu vārdā mijiedarboties ar citu pakalpojumu. Gadījumā, ja šajā otrajā pakalpojumā rodas datu drošības pārkāpums, jūsu akreditācijas dati, kas atrodas pirmajā pakalpojumā, paliek drošībā. OAuth ir plaši pieņemts atvērtā standarta protokols, un to izmanto vairākums tīmekļa vietņu un programmu izstrādātāju.
Svarīgi: OAuth nepiešķir trešās puses programmai vai pakalpojumam neierobežotu piekļuvi jūsu datiem. Protokola daļa norāda, kuriem datiem trešā puse drīkst piekļūt un ko tā var darīt ar šiem datiem. Šādu ierobežojumu iestatīšana un identitāšu aizsardzība kopumā ir īpaši kritiski svarīga uzņēmējdarbības scenārijos, kur daudziem lietotājiem ir piekļuve plašai sensitīvai un tādai informācijai, uz ko attiecas īpašumtiesības.
Kā OAuth darbojas?
Piekļuves pilnvaras ir tās, kas padara OAuth drošu lietošanai. Piekļuves pilnvara ir datu fragments, kas satur informāciju par lietotāju un resursu, kuram ir paredzēta pilnvara. Pilnvarā tiks iekļautas arī noteiktas datu koplietošanas kārtulas.
Piemēram, fotoattēlus no sava sociālā tīkla profila, iespējams, vēlēsities kopīgot ar fotoattēlu rediģēšanas programmu, bet vēlaties, lai tai būtu piekļuve tikai dažiem jūsu fotoattēliem. Tai nav nepieciešama arī piekļuve tiešajiem ziņojumiem vai draugu sarakstam. Pilnvara sankcionē piekļuvi tikai datiem, kurus apstiprināt. Ir iespējamas arī kārtulas, kas nosaka, kad programma var izmantot šo pilnvaru — tā var būt vienreizējai lietošanai vai periodiskai lietošanai —, kā arī derīguma beigu datumu.
OAuth process galvenokārt ir mijiedarbība starp mašīnām un tikai ar dažiem lietotāja saskarsmes punktiem. Dažos scenārijos, iespējams, nevajadzēs sniegt apstiprinājumu, jo programmatūra to klusi apstrādā fona režīmā. Divi OAuth piemēri tam būtu uzņēmuma darba scenārijā, kur identitātes platforma apstrādā savienojumus starp resursiem, lai samazinātu IT iejaukšanos lielam lietotāju skaitam, vai piedalās mijiedarbībās starp dažām viedajām ierīcēm.
OAuth tehnoloģijas piemēri
Līdzīgi daudzām tehnoloģijām, kas vienkāršo kaut ko garlaicīgu — šajā gadījumā kontu manuālu izveidi vairākās programmās —, programmu veidotāji ir gandrīz universāli apguvuši OAuth. Tai ir daudz dažādu lietošanas gadījumu lietotājiem un uzņēmumiem.
Lai sniegtu vienu OAuth piemēru, pieņemsim, ka izmantojat Microsoft Teams kā sadarbības rīku un vēlaties piekļūt papildinformācijai par personām, ar kurām sadarbojaties gan savā organizācijā, gan ārpus tās. Jūs izlemjat iespējot LinkedIn integrāciju, lai, nepametot programmu Teams, varētu uzzināt vairāk par personām, ar kurām mijiedarbojaties. Šādā gadījumā Microsoft un LinkedIn izmantos OAuth, lai sankcionētu jūsu kontu saistīšanu ar jūsu Microsoft identitāti.
Cits scenārijs, izmantojot OAuth, būtu, ja jūs lejupielādētu kādu budžeta izveides programmu, kas palīdzēs jums sekot līdzi saviem izdevumiem, rādot brīdinājumus un vizuālos palīgus, piemēram, diagrammas. Lai varētu paveiktu savu darbu, programmai būtu nepieciešama piekļuve dažiem jūsu bankas datiem. Jūs varētu iniciēt pieprasījumu saistīt savu bankas kontu ar šo programmu, atļaujot piekļūt tikai konta bilancei un transakcijām. Programma un jūsu banka izmantos OAuth, lai veiktu šo informācijas apmaiņu jūsu vārdā, programmā neatklājot bankas pierakstīšanās akreditācijas datus.
Cits OAuth piemērs būtu, ja jūs būtu izstrādātājs, kas izmanto GitHub, un jūs uzzinātu, ka ir pieejama trešās puses programma, kuru var integrēt ar jūsu kontu, lai veiktu automatizētu koda pārskatīšanu. Jūs dodaties uz GitHub Marketplace un lejupielādējat programmu. Pēc tam tā lūdz jums sankcionēt savienojumu ar programmu, izmantojot jūsu GitHub identitāti, — procesu, kas tiktu apstrādāts, izmantojot OAuth. Pārskatīšanas programma pēc tam varēs piekļūt jūsu kodam bez nepieciešamības katru reizi pierakstīties abos pakalpojumos.
Ar ko atšķiras OAuth 1.0 un OAuth 2.0?
Sākotnējā OAuth 1.0 tika izstrādāta tikai tīmekļa vietnēm. Mūsdienas tā netiek plaši izmantota, jo OAuth 2.0 ir paredzēta gan programmām, gan tīmekļa vietnēm, turklāt ir arī ātrāk un vieglāk ieviešama. OAuth 1.0 nav mērogojama kā OAuth 2.0, un tai ir tikai trīs iespējamās autorizācijas plūsmas, salīdzinot ar sešām, izmantojot OAuth 2.0.
Ja plānojat izmantot OAuth, vislabāk jau no paša sākuma izmantot versiju 2.0. Diemžēl versiju OAuth 1.0 nevar jaunināt uz OAuth 2.0. OAuth 2.0 bija paredzēta kā radikāla OAuth 1.0 pārstrāde, un vairāki lieli tehnoloģiju uzņēmumi sniedza atsauksmes par tās noformējumu. Tīmekļa vietne var atbalstīt gan OAuth 1.0, gan OAuth 2.0, bet veidotāji paredzēja, ka 2.0 pilnībā aizstās 1.0.
OAuth salīdzinājums ar OIDC
OAuth un Open ID Connect (OIDC) ir cieši saistīti protokoli. Tie ir līdzīgi, jo abi spēlē savu lomu, lai vienai programmai piešķirtu piekļuvi citas programmas resursiem lietotāja vārdā. Atšķirība ir tāda, ka, lai gan OAuth tiek izmantots resursu piekļuves autorizācijai, OIDC tiek izmantots personas identitātes autentifikācijai. Abiem ir sava loma, lai divas nesaistītas programmas varētu koplietot informāciju, neapdraudot lietotāju datus.
Identitātes nodrošinātāji parasti izmanto OAuth 2.0 un OIDC vienkopus. OIDC tika izstrādāts, lai uzlabotu OAuth 2.0 iespējas, pievienojot identitātes slāni. Tā kā tas ir veidots uz OAuth 2.0 bāzes, OIDC nav atpakaļsaderīgs ar OAuth 1.0.
Darba sākšana ar OAuth
OAuth 2.0 izmantošana ar savām tīmekļa vietnēm un programmām var krasi uzlabot jūsu lietotāju vai darbinieku pieredzi, vienkāršojot identitātes autentifikācijas procesu. Lai sāktu darbu, investējiet identitātes nodrošinātāja risinājumā, piemēram, Microsoft Entra, kas aizsargā lietotājus un datus, izmantojot iebūvētu drošību
Microsoft Entra ID (iepriekš Azure Active Directory) atbalsta visas OAuth 2.0 plūsmas. Programmu izstrādātāji var izmantot ID kā uz standartiem balstītu autentifikācijas nodrošinātāju, kas palīdz tiem programmās integrēt uzņēmuma mēroga modernās identitātes iespējas. IT administratori var to izmantot, lai kontrolētu piekļuvi.
Papildinformācija par Microsoft drošību
-
Pārlūkot Microsoft Entra
Aizsargājiet identitātes un drošiniet piekļuvi mākoņiem, izmantojot visaptverošu risinājumu saimi.
-
Microsoft Entra ID (iepriekš — Azure Active Directory)
Aizsargājiet piekļuvi resursiem un datiem, izmantojot stipru autentifikāciju un uz risku balstītu adaptīvo piekļuvi.
-
Iebūvējiet uzticamību savās programmās
Ieviesiet SSO, lai darbinieki varētu piekļūt visiem tiem nepieciešamajiem resursiem, izmantojot vienu akreditācijas datu komplektu.
-
Racionalizējiet pierakstīšanās līdzekļus
Ieviesiet SSO, lai darbinieki varētu piekļūt visiem tiem nepieciešamajiem resursiem, izmantojot vienu akreditācijas datu komplektu.
-
Aizsargājiet pret uzbrukumiem
Izmantojiet daudzfaktoru autentifikāciju, lai uzlabotu savas organizācijas resursu aizsardzību.
-
Izmantojiet OAuth, lai vienkāršotu piekļuvi e-pasta datiem
Uzziniet, kā autentificēt savienojumus ar programmām, izmantojot mantotos protokolus.
Bieži uzdotie jautājumi
-
OAuth nozīmē Open Authorization, un tas ir tehnoloģisks standarts, kas ļauj sankcionēt vienu programmu vai pakalpojumu pierakstīties citā, neizpaužot privātu informāciju, piemēram, paroles. Kad programma lūdz autorizāciju skatīt jūsu profila informāciju, tā izmanto OAuth.
-
OAuth darbojas, apmainoties ar piekļuves pilnvarām — datu fragmentiem, kas satur informāciju par lietotāju un resursu, kuram ir paredzēta pilnvara. Viena programma vai tīmekļa vietne apmainās ar citu ar šifrētu informāciju par lietotāju, iekļaujot īpašas datu koplietošanas kārtulas. Ir iespējamas arī kārtulas, kas nosaka, kad programma var izmantot šo pilnvaru, kā arī derīguma beigu datumu. OAuth process galvenokārt ir mijiedarbība starp mašīnām un tikai ar dažiem lietotāja saskarsmes punktiem, ja tādi vispār ir.
-
Daudzi uzņēmumi izmanto OAuth, lai vienkāršotu piekļuvi trešo pušu programmām un tīmekļa vietnēm, neizpaužot savu lietotāju paroles vai sensitīvus datus. Google, Amazon, Microsoft, Facebook un Twitter — visi to izmanto, lai kopīgotu informāciju par saviem kontiem visdažādākajiem mērķiem, tostarp iepirkšanās vienkāršošanai. Microsoft identitāšu platforma izmanto OAuth, lai sankcionētu atļaujas darba un mācību kontiem, personiskajiem kontiem, sociālajiem kontiem un spēļu spēlēšanas kontiem.
-
OAuth un Open ID Connect (OIDC) ir cieši saistīti protokoli. Tie ir līdzīgi, jo abi spēlē savu lomu, lai vienai programmai piešķirtu piekļuvi citas programmas resursiem lietotāja vārdā. Tomēr atšķirība ir tāda, ka, lai gan OAuth tiek izmantots resursu piekļuves autorizācijai, OIDC tiek izmantots personas identitātes autentifikācijai. Abiem ir sava loma, lai divas nesaistītas programmas varētu koplietot informāciju, neapdraudot lietotāju datus.
-
Pastāv daudzas atšķirības starp OAuth 1.0 un OAuth 2.0, jo OAuth 2.0 tika izstrādāts tā, lai radikāli pārveidotu OAuth 1.0, padarot to gandrīz vai par novecojušu. OAuth 1.0 tika izstrādāts tikai tīmekļa vietnēm, bet OAuth 2.0 ir paredzēts gan programmām, gan tīmekļa vietnēm. OAuth 2.0 ir ātrāks un vieglāk ieviešams, to var mērogot un tam ir sešas iespējamās autorizācijas plūsmas, salīdzinot ar trim OAuth 1.0 plūsmām.
Sekot produktam Microsoft 365