This is the Trace Id: af2871804addb16666de8fa82d13929e
Перейти до основного
Захисний комплекс Microsoft

Що таке OAuth?

Дізнайтеся, що таке OAuth і як із допомогою цієї системи авторизувати доступ між програмами й службами без шкоди для делікатної інформації.

Пояснення OAuth

OAuth – це технологічний стандарт, який дає змогу авторизувати одну програму або службу для входу в іншу без розголошення приватної інформації, наприклад паролів. Якщо ви коли-небудь отримували повідомлення на кшталт “Увійти за допомогою Facebook?" або “Надати цій програмі доступ до вашого облікового запису?”, тоді ви бачили роботу OAuth.

OAuth означає Open Authorization (відкрита авторизація) – а не автентифікація, чим її іноді вважають. Автентифікація – це процес, який перевіряє вашу ідентичність. OAuth має справу з вашою ідентичністю, але мета nen – надати дозвіл на безпроблемне підключення до вас за допомогою різних програм і служб, не вимагаючи створення нового облікового запису. OAuth працює настільки просто, оскільки дає вам можливість авторизувати дві програми, які матимуть доступ до деяких ваших даних, проте не облікових. Це баланс між зручністю та безпекою.

OAuth створено для роботи з протоколом передавання гіпертексту (HTTP). Використовуються маркери доступу, щоб підтвердити вашу ідентичність і дозволити взаємодії з іншою службою від вашого імені. Якщо в цій другій службі станеться порушення безпеки даних, ваші облікові дані в першій службі залишатимуться в безпеці. OAuth – це широко прийнятий протокол відкритого стандарту, і його використовують більшість розробників веб-сайтів і програм.

Важливо те, що OAuth не надає стороннім програмам або службам необмежений доступ до ваших даних. Частина протоколу – це визначення, до яких даних може отримувати доступ третя сторона та що вона може робити з цими даними. Установлення таких обмежень і захист ідентичностей у цілому особливо важливі в бізнес-сценаріях, коли багато людей мають доступ до великої кількості делікатної інформації й інформації, що є власністю.


 

Як працює OAuth?

Маркери доступу – це те, що робить OAuth безпечним для використання. Маркер доступу – це фрагмент даних, який містить відомості про користувача й ресурс, для якого призначено маркер. Маркер також міститиме певні правила спільного доступу до даних.

Наприклад, можна надати спільний доступ до фотографій із профілю в соціальних мережах за допомогою програми для редагування фотографій, але визначити, щоб вона мала доступ лише до деяких фотографій. Також програма не матиме доступу до ваших особистих повідомлень чи списку друзів. Маркер авторизує доступ лише до даних, які ви затверджуєте. Крім того, можуть застосовуватися правила, які визначають, коли програма може використовувати цей маркер – для одноразового або повторюваного використання – та дату завершення терміну чинності.

Процес OAuth здебільшого передбачає взаємодію комп’ютера з комп’ютером, де присутні лише кілька точок взаємодії з користувачем. У деяких сценаріях не потрібно надавати своє затвердження, оскільки програмне забезпечення обробляє його у фоновому режимі. Двома прикладами OAuth таких випадків є корпоративний робочий сценарій, де платформа ідентичностей обробляє підключення між ресурсами, щоб зменшити ІТ-перешкоди для великої кількості користувачів, а також взаємодії між деякими розумними пристроями.


 

Приклади технології OAuth

Подібно до багатьох технологій, які спрощують щось виснажливе, – у цьому випадку, створення облікових записів вручну в кількох програмах – OAuth прийняли майже всі автори програм. Oauth має широку варіативність використання для користувачів і компаній.

Один із прикладів OAuth: припустімо, ви використовуєте Microsoft Teams як інструмент співпраці й хочете мати доступ до більшої кількості інформації про людей, з якими працюєте, як усередині, так і за межами вашої організації. Ви вирішуєте ввімкнути інтеграцію LinkedIn, щоб більше дізнатися про людей, з якими взаємодієте, не виходячи з Teams. Корпорація Майкрософт і LinkedIn використають OAuth, щоб авторизувати зв’язування ваших облікових записів з вашою ідентичністю Microsoft.

Інший сценарій використання OAuth: наприклад, ви завантажуєте програму ведення бюджету, що має допомогти вам відстежувати витрати за допомогою оповіщень і засобів унаочнення, таких як графіки. Щоб виконати свою роботу, програмі потрібен доступ до деяких ваших банківських даних. Ви можете ініціювати запит на зв’язування банківського рахунку з програмою, що авторизує доступ лише до балансу вашого рахунку та транзакцій. Програма й ваш банк використовуватимуть OAuth, щоб обмінюватися інформацією від вашого імені, не відкриваючи ваших облікових даних для входу в банк у програмі.

Ще один приклад OAuth: ви розробник, що користується службою GitHub, і дізналися, що доступна стороння програма, яка може інтегрувати ваш обліковий запис для виконання автоматизованих переглядів коду. Ви переходите на Ринок GitHub і завантажуєте програму. Вона запропонує вам авторизувати підключення до програми за допомогою вашої ідентичності GitHub – це процес, який буде оброблятися за допомогою OAuth. Після цього програма для перевірки може отримати доступ до коду без необхідності щоразу входити в обидві служби.

У чому різниця між OAuth 1.0 і OAuth 2.0?

Початкову версію OAuth 1.0 було розроблено лише для веб-сайтів. Сьогодні вона широко не використовується, оскільки OAuth 2.0 розроблено для програм і веб-сайтів, а також нова версія швидше й простіша у впровадженні. OAuth 1.0’не масштабується, як OAuth 2.0, і має лише три можливі потоки авторизації, порівняно з шістьма потоками в OAuth 2.0.

Якщо ви плануєте використовувати OAuth, краще від самого початку використовувати версію 2.0. На жаль, OAuth 1.0 не можна оновити до OAuth 2.0. OAuth 2.0 створювали як радикальну перебудову OAuth 1.0, і відгуками про розробку долучилися кілька великих технологічних компаній. Веб-сайт може підтримувати OAuth 1.0 і OAuth 2.0, але автори планували, що версія 2.0 цілком замінить версію 1.0.

OAuth і OIDC

Протоколи OAuth і Open ID Connect (OIDC) тісно пов’язані між собою. Вони схожі в тому, що обидва відіграють роль у наданні одній програмі доступу до ресурсів іншої від імені користувача. Різниця полягає в тому, що хоча OAuth використовується для авторизації для доступу до ресурсів, OIDC використовується для автентифікації особи користувача. Обидва протоколи мають свою роль у тому, що дозволяють двом непов’язаним програмам ділитись інформацією, без шкоди для даних користувачів.

Постачальники ідентичностей зазвичай використовують OAuth 2.0 і OIDC разом. OIDC розроблено спеціально для покращення можливостей OAuth 2.0 через додавання до нього рівня ідентичності. Оскільки його створено на основі OAuth 2.0, OIDC має сумісності з OAuth 1.0.

 

Початок роботи з OAuth

Використовуючи OAuth 2.0 з веб-сайтами й програмами, ви можете значно покращити взаємодію користувачів або співробітників, оскільки значно спростите процес автентифікації ідентичності. Щоб почати роботу, інвестуйте в рішення постачальника ідентичностей, як-от Microsoft Entra, що захищає користувачів і дані за допомогою вбудованих засобів безпеки

Ідентифікатор Microsoft Entra (раніше – Azure Active Directory) підтримує всі цикли OAuth 2.0. Розробники програм можуть використовувати ідентифікатор як постачальник автентифікації на основі стандартів, щоб інтегрувати в програми сучасні можливості ідентичності корпоративного масштабу. ІТ-адміністратори можуть використовувати його для керування доступом.

Дізнайтеся більше про Захисний комплекс Microsoft

  • Огляд Microsoft Entra

    Захист ідентичностей і безпечний доступ до хмар за допомогою цілісного сімейства рішень.

    Дізнайтеся більше

  • Ідентифікатор Microsoft Entra (колишня назва – Azure Active Directory)

    Захистіть доступ до ресурсів і даних за допомогою надійної автентифікації та адаптивного доступу з урахуванням ризиків.

    Дізнайтеся більше

  • Посилюйте довіру до своїх програм

    Упровадьте єдиний вхід, щоб працівники мали доступ до всіх потрібних ресурсів через один обліковий запис.

    Дізнайтеся більше

  • Спростіть способи входу

    Упровадьте єдиний вхід, щоб працівники мали доступ до всіх потрібних ресурсів через одні облікові дані.

    Дізнайтеся більше

  • Захищайтеся від загроз

    Скористайтеся багатофакторною автентифікацією, щоб посилити захист ресурсів організації.

    Дізнайтеся більше

  • Скористайтесь OAuth, щоб спростити доступ до даних електронної пошти

    Дізнайтеся, як автентифікувати підключення до програм за допомогою застарілих протоколів.

    Дізнатися більше

 

 

Запитання й відповіді

  • OAuth означає Open Authorization (відкрита авторизація) і це технологічний стандарт, який дає змогу авторизувати одну програму або службу для входу в іншу без розголошення приватної інформації, наприклад паролів. Коли програма запитує про авторизацію на перегляд відомостей профілю, то вона використовує OAuth.

  • OAuth працює, обмінюючись маркерами доступу – це фрагменти даних, який містить відомості про користувача й ресурс, для якого призначено маркер. Дві програми або веб-сайти обмінюються між собою зашифрованою інформацією про користувача та включають певні правила для обміну даними. Крім того, можуть застосовуватися правила, які визначають, коли програма може використовувати цей маркер і дату завершення терміну чинності. Процес OAuth здебільшого передбачає взаємодію комп’ютера з комп’ютером, де присутні лише кілька точок взаємодії з користувачем, якщо вони є

  • Багато компаній використовують OAuth, щоб спростити доступ до сторонніх програм і веб-сайтів, не розголошуючи паролі користувачів і делікатні дані. Google, Amazon, Microsoft, Facebook і Twitter використовують OAuth, щоб ділитись інформацією про свої облікові записи для різноманітних цілей, зокрема спрощення покупок. Платформа ідентичностей Microsoft використовує OAuth, щоб авторизувати дозволи для робочих і навчальних облікових записів, особистих облікових записів, соціальних облікових записів і ігрових облікових записів.

  • Протоколи OAuth і Open ID Connect (OIDC) тісно пов’язані між собою. Вони схожі в тому, що обидва відіграють роль у наданні одній програмі доступу до ресурсів іншої від імені користувача. Однак різниця полягає в тому, що OAuth використовується для авторизації для доступу до ресурсів, а OIDC використовується для автентифікації особи користувача. Обидва протоколи грають свою роль у тому, що дозволяють двом непов’язаним програмам ділитись інформацією, без шкоди для даних користувачів.

  • OAuth 1.0 і OAuth 2.0 мають багато відмінностей, тому що OAuth 2.0 розроблено як радикальне оновлення OAuth 1.0, що робить його майже застарілим. OAuth 1.0 розроблено лише для веб-сайтів, тоді як OAuth 2.0 призначено як для програм, так і для веб-сайтів. OAuth 2.0 працює швидше, є простішим у впровадженні, може масштабувати та має шість можливих циклів авторизації порівняно з трьома, які має OAuth 1.0.

Підпишіться на Microsoft 365