This is the Trace Id: f9a0953c7ad3adfbdda05f6ab8c98c89
Siirry pääsisältöön
Microsoft Security

Mikä on OIDC?

Lue lisää OpenID Connect (OIDC) -todennusprotokollasta, joka todentaa käyttäjät, jotka kirjautuvat sisään digitaalisten resurssien käyttöä varten.

OpenID Connect (OIDC) -todennusprotokollan määritelmä

OpenID Connect (OIDC) on käyttäjätietojen todennusprotokolla, joka on OAuth 2.0 -laajennus, jolla voidaan standardoida käyttäjien todentamis- ja valtuutusprosessi, kun käyttäjät kirjautuvat sisään digitaalisten palvelujen käyttöä varten. OIDC todentaa käyttäjät eli varmistaa, että käyttäjät ovat sitä, keitä he sanovat olevansa. OAuth 2.0 valtuuttaa kyseisten käyttäjien käytettävissä olevat järjestelmät. OAuth 2.0 auttaa yleensä varmistamaan, että kaksi toisiinsa liittymätöntä sovellusta voi jakaa tietoja vaarantamatta käyttäjätietoja. Monet käyttävät esimerkiksi sähköpostiaan tai sosiaalisen median tiliään kolmannen osapuolen sivustoon kirjautumiseen uuden käyttäjänimen ja salasanan luomisen sijaan. OIDC mahdollistaa myös kertakirjautumisen. Organisaatiot voivat käyttää suojattua käyttäjätietojen ja käyttöoikeuksien hallintajärjestelmää (IAM), kuten Microsoft Entra ID:tä (aiemmin Azure Active Directory) käyttäjätietojen ensisijaisena todennuskeinona, ja välittävät sitten tämän todennuksen muihin sovelluksiin OIDC:n avulla. Näin käyttäjien tarvitsee kirjautua sisään vain kerran yhdellä käyttäjänimellä ja salasanalla, jotta he voivat käyttää useita sovelluksia.

 

 

OIDC:n tärkeimmät komponentit

OIDC:ssä on kuusi ensisijaista komponenttia:

  • Todentaminen on prosessi, jolla varmistetaan, että käyttäjä on se, joka hän sanoo olevansa.

  • Asiakas on ohjelmisto, kuten sivusto tai sovellus, joka pyytää tunnuksia, joita käytetään käyttäjän todentamiseen tai resurssin käyttämiseen.

  • Luottavat osapuolet ovat sovelluksia, jotka käyttävät OpenID-palveluntarjoajia käyttäjien todentamiseen.  

  • Käyttäjätietotunnukset sisältävät käyttäjätietoja, kuten todennusprosessin tuloksen, käyttäjän tunnisteen sekä tietoja siitä, miten ja milloin käyttäjä on todennettu. 

  • OpenID-palveluntarjoajat ovat sovelluksia, joihin käyttäjällä on jo tili. Niiden tehtävänä OIDC:ssä on todentaa käyttäjä ja välittää nämä tiedot luottavalle osapuolelle.

  • Käyttäjät ovat henkilöitä tai palveluita, jotka haluavat käyttää sovellusta luomatta uutta tiliä tai antamalla käyttäjänimeä ja salasanaa. 

 

Miten OIDC-todentaminen toimii?

OIDC-todennuksen ansiosta käyttäjät voivat kirjautua sisään yhteen sovellukseen ja saada samalla pääsyn toiseen sovellukseen. Jos käyttäjä esimerkiksi haluaa luoda tilin uutissivustoon, hän voi luoda tilin Facebook-tilinsä avulla uuden tilin luomisen sijaan. Käyttäjä käyttää OIDC-todennusta luodessaan tilin Facebook-tilinsä avulla. Facebook, joka on tässä esimerkissä OpenID-palveluntarjoaja, käsittelee todentamisprosessin ja saa käyttäjän suostumuksen antaa tiettyjä tietoja, kuten käyttäjäprofiilin, uutissivustolle, joka on luottava osapuoli. 

Käyttäjätietotunnukset 

OpenID-palveluntarjoaja käyttää käyttäjätietotunnuksia todennustulosten ja muiden asiaankuuluvien tietojen välittämiseen luottavalle osapuolelle. Esimerkkejä lähetettävistä tiedoista ovat tunnus, sähköpostiosoite ja nimi.

Laajuudet

Laajuudet määrittävät, mitä käyttäjä voi tehdä käyttöoikeuksillaan. OIDC tarjoaa vakiomuotoiset laajuudet, jotka määrittelevät muun muassa sen, mille luottavalle osapuolelle tunnus on luotu, milloin tunnus on luotu, milloin tunnuksen voimassaoloaika päättyy ja mitä salausvahvuutta on käytetty käyttäjän todentamiseen. 

Tyypillinen OIDC-todennusprosessi sisältää seuraavat vaiheet:

  1. Käyttäjä siirtyy sovellukseen, jota hän haluaa käyttää (luottava osapuoli).
  2. Käyttäjä kirjoittaa käyttäjänimensä ja salasanansa.
  3. Luottava osapuoli lähettää pyynnön OpenID-palveluntarjoajalle.
  4. OpenID-palveluntarjoaja vahvistaa käyttäjän tunnistetiedot ja hankkii valtuutuksen.
  5. OpenID-palveluntarjoaja lähettää käyttäjätietotunnuksen ja usein käyttöoikeustietueen luottavalle osapuolelle.
  6. Luottava osapuoli lähettää käyttöoikeustietueen käyttäjän laitteeseen.
  7. Käyttäjälle annetaan käyttöoikeus käyttöoikeustietueessa annettujen tietojen ja luottavan osapuolen perusteella. 

Mitä ovat OIDC-työnkulut?

OIDC-työnkulut määrittävät, miten tunnuksia pyydetään ja toimitetaan luottavalle osapuolelle. Muutamia esimerkkejä:

  • OIDC-valtuutustyönkulut: OpenID-palveluntarjoaja lähettää yksilöllisen koodin luottavalle osapuolelle. Luottava osapuoli lähettää sitten yksilöllisen koodin takaisin OpenID-palveluntarjoajalle tunnuksen vastineeksi. Tämän menetelmän avulla OpenID-palveluntarjoaja voi vahvistaa luottavan osapuolen ennen tunnisteen lähettämistä. Selain ei näe tunnusta tässä menetelmässä, mikä auttaa pitämään sen suojattuna.

  • OIDC-valtuutustyönkulut PKCE-laajennuksella: Tämä työnkulku on sama kuin OIDC-valtuutustyönkulku, mutta siinä käytetään PKCE-laajennusta (Public Key for Code Exchange) tiedonsiirron lähettämiseen hajautettuna. Tämä vähentää tunnuksen sieppaamisen todennäköisyyttä.

  • Asiakkaan tunnistetiedot: Tämä työnkulku tarjoaa pääsyn verkon ohjelmointirajapintoihin käyttämällä sovelluksen käyttäjätietoja. Sitä käytetään yleensä palvelinten väliseen viestintään ja automaattisille skripteille, jotka eivät vaadi käyttäjältä toimia.

  • Laitekoodi: Tämän työnkulun avulla käyttäjät voivat kirjautua sisään ja käyttää verkkopohjaisia ohjelmointirajapintoja verkkoon yhdistetyissä laitteissa, joissa ei ole selaimia tai joissa on heikko näppäimistö, kuten älytelevisiossa. 

Muita työnkulkuja, kuten selainpohjaisille sovelluksille suunniteltua OIDC:n implisiittistä työnkulkua, ei suositella, koska ne ovat tietoturvariski.

OIDC vs. OAuth 2.0

OIDC kehitettiin lisäämään OAuth 2.0:n todennusominaisuuksia. Ensin kehitettiin OAuth 2.0 -protokolla, jonka ominaisuuksia paranneltiin lisäämällä myöhemmin OIDC. Näiden kahden välillä on se ero, että OAuth 2.0 antaa valtuutuksen, kun taas OIDC tarjoaa todennuksen. OAuth 2.0:n avulla käyttäjät voivat saada käyttöoikeuden luottavan osapuolen palveluun käyttämällä OpenID-palveluntarjoajan tiliä, ja OIDC:n avulla OpenID-palveluntarjoaja voi välittää käyttäjän profiilin luottavalle osapuolelle. OIDC:n avulla organisaatiot voivat myös mahdollistaa käyttäjän kertakirjautumisen.

 

 

OIDC-todentamisen edut

Vähentämällä käyttäjien sovellusten käyttämiseen tarvittavien tilien määrää OIDC tarjoaa useita etuja sekä yksityishenkilöille että organisaatioille:

Vähentää salasanojen varastamisen riskiä

Kun käyttäjien on käytettävä useita salasanoja työssä ja yksityiselämässä tarvittavien sovellusten käyttämiseen, he valitsevat usein helposti muistettavat salasanat, kuten Salasana1234!, ja käyttävät samaa salasanaa useilla tileillä. Tämä lisää riskiä siihen, että pahantahtoinen toimija arvaa salasanan. He voivat päästä käsiksi myös muihin tileihin saadessaan tietoonsa yhden tilin salasanan. Vähentämällä muistettavien salasanojen määrää käyttäjä käyttää todennäköisemmin vahvempia ja turvallisempia salasanoja.

Parantaa suojausta

Keskittämällä todentamisen yhteen sovellukseen organisaatiot voivat myös suojata käyttöoikeuksia useissa sovelluksissa vahvoilla käyttöoikeuksien hallintatoiminnoilla. OIDC tukee kaksimenetelmäistä ja monimenetelmäistä todentamista, jotka edellyttävät käyttäjiä todentamaan henkilöllisyytensä vähintään kahdella seuraavista:

  • Jokin, jonka käyttäjä tietää, yleensä salasana.

  • Jokin, joka käyttäjällä on, kuten luotettu laite tai tunnus, jota ei ole helppo kopioida. 

  • Jokin käyttäjän ominaisuus, kuten sormenjälki tai kasvoskannaus.

Monimenetelmäinen todentaminen on hyväksi todistettu tapa vähentää tilin vaarantumista. Organisaatiot voivat käyttää OIDC:tä myös muihin suojaustoimiin, kuten erityisoikeuksien hallintaan, salasanojen suojaukseen, sisäänkirjautumisen suojaukseen tai käyttäjätietojen suojaamiseen, useissa sovelluksissa. 

Yksinkertaistaa käyttökokemusta

Kirjautuminen useille tileille päivän aikana voi olla aikaa vievää ja turhauttavaa. Lisäksi kadonneen tai unohtuneen salasanan palauttaminen voi heikentää tuottavuutta entisestään. Yritykset, jotka käyttävät OIDC:tä työntekijöidensä kertakirjautumismenetelmänä, varmistavat, että työntekijät käyttävät enemmän aikaa tuottavaan työhön sovelluksiin kirjautumisen sijaan. Lisäksi organisaatioiden asiakkaat rekisteröityvät ja käyttävät niiden palveluja todennäköisemmin, jos ne sallivat Microsoft-, Facebook- tai Google-tilin käyttämisen kirjautumiseen. 

Standardoi todennuksen

OpenID Foundation, johon kuuluu Microsoftin ja Googlen kaltaisia tunnettuja brändejä, kehitti OIDC:n. Se on suunniteltu yhteentoimivaksi, ja se tukee monia ympäristöjä ja kirjastoja, kuten iOS:ää, Androidia, Microsoft Windowsia sekä tärkeimpiä pilvi- ja identiteettipalveluntarjoajia.

Yksinkertaistaa käyttäjätietojen hallintaa

Organisaatiot, jotka tarjoavat mahdollisuuden kertakirjautumiseen työntekijöilleen ja kumppaneilleen OIDC:n avulla, voivat vähentää hallittavien käyttäjätietojen hallintaratkaisujen määrää. Tämä helpottaa käyttöoikeuksien muuttamisen seuraamista ja antaa järjestelmänvalvojille mahdollisuuden käyttää yhtä käyttöliittymää käyttöoikeuskäytäntöjen ja -sääntöjen käyttämiseen useissa sovelluksissa. Yritykset, jotka antavat OIDC:n avulla ihmisille mahdollisuuden kirjautua sovelluksiinsa OpenID-palveluntarjoajan avulla, vähentävät hallinnoitavien käyttäjätietojen määrää. 

Esimerkkejä OIDC-todentamisesta ja käyttötapauksia

Monet organisaatiot käyttävät OIDC:tä turvallisen todennuksen mahdollistamiseksi verkko- ja mobiilisovelluksissa. Seuraavassa on muutamia esimerkkejä:

  • Kun käyttäjä rekisteröi Spotify-tilin, hänelle tarjotaan kolme vaihtoehtoa: rekisteröityminen Facebook-tilillä, rekisteröityminen Google-tilillä, rekisteröityminen sähköpostiosoitteella. Käyttäjät, jotka haluavat rekisteröityä Facebook- tai Google-tilin avulla, käyttävät OIDC:tä tilin luomiseen. Heidät ohjataan valitsemansa OpenID-palveluntarjoajan (Google tai Facebook) palveluun, ja kun he ovat kirjautuneet sisään, OpenID-palveluntarjoaja lähettää Spotifylle profiilin perustiedot. Käyttäjän ei tarvitse luoda uutta Spotify-tiliä, ja hänen salasanansa pysyvät suojattuina.

  • LinkedIn tarjoaa käyttäjille myös mahdollisuuden luoda tilin Google-tilinsä avulla sen sijaan, että he loisivat erillisen tilin LinkedIniä varten. 

  • Yritys haluaa tarjota mahdollisuuden kertakirjautumiseen työntekijöille, joiden on käytettävä työssään Microsoft Office 365:tä, Salesforcea, Boxia ja Workdayta. Sen sijaan, että työntekijöiltä vaadittaisiin erillinen tili jokaista sovellusta varten, yritys tarjoaa OIDC:n avulla pääsyn kaikkiin neljään sovellukseen. Työntekijät luovat yhden tilin, ja aina kun he kirjautuvat sisään, he voivat käyttää kaikkia työssä tarvitsemiaan sovelluksia.  

Suojattu todennus OIDC:n avulla

OIDC tarjoaa todennusprotokollan, joka yksinkertaistaa käyttäjien kirjautumiskokemusta ja parantaa suojausta. Se on erinomainen ratkaisu yrityksille, jotka haluavat kannustaa asiakkaita rekisteröitymään palveluihinsa ilman tilien hallinnointiin liittyvää vaivaa. Se myös antaa organisaatioille mahdollisuuden tarjota työntekijöilleen ja muille käyttäjilleen suojattu kertakirjautumiskeino useisiin sovelluksiin. Organisaatiot voivat hallita kaikkia käyttäjätietoja ja todennuskäytäntöjä yhdessä paikassa käyttämällä OIDC:tä tukevia käyttäjätieto- ja käyttöoikeusratkaisuja, kuten Microsoft Entraa.

   

 

Lue lisää Microsoft Securitysta

Usein kysytyt kysymykset

  • OIDC on käyttäjätietojen todennusprotokolla, joka OAuth 2.0:n kanssa standardoi käyttäjien todentamis- ja valtuutusprosessin, kun käyttäjät kirjautuvat sisään digitaalisten palvelujen käyttöä varten. OIDC todentaa käyttäjät eli varmistaa, että käyttäjät ovat sitä, keitä he sanovat olevansa. OAuth 2.0 valtuuttaa kyseisten käyttäjien käytettävissä olevat järjestelmät. OIDC ja OAuth 2.0 auttavat yleensä varmistamaan, että kaksi toisiinsa liittymätöntä sovellusta voi jakaa tietoja vaarantamatta käyttäjätietoja. 

  • OIDC ja SAML (Security Assertion Markup Language) ovat käyttäjätietojen todennusprotokollia, joiden avulla käyttäjät voivat kirjautua sisään turvallisesti kerran ja käyttää samalla kirjautumisella useita sovelluksia. SAML on vanhempi protokolla, jota on käytetty yleisesti kertakirjautumiseen. Se lähettää tietoja XML-muodossa. OIDC on uudempi protokolla, joka käyttää JSON-muotoa käyttäjätietojen lähettämiseen. OIDC:n suosio kasvaa, koska se on helpompi toteuttaa kuin SAML ja se toimii paremmin mobiilisovellusten kanssa.

  • OIDC tarkoittaa OpenID Connect -protokollaa, joka on käyttäjätietojen todennusprotokolla, jonka avulla kaksi toisiinsa liittymätöntä sovellusta voivat jakaa käyttäjän profiilitietoja vaarantamatta käyttäjän tunnistetietoja.

  • OIDC kehitettiin lisäämään OAuth 2.0:n todennusominaisuuksia. Ensin kehitettiin OAuth 2.0 -protokolla, jonka ominaisuuksia paranneltiin lisäämällä myöhemmin OIDC. Näiden kahden välillä on se ero, että OAuth 2.0 antaa valtuutuksen, kun taas OIDC tarjoaa todennuksen. OAuth 2.0:n avulla käyttäjät voivat saada käyttöoikeuden luottavan osapuolen palveluun käyttämällä OpenID-palveluntarjoajan tiliä, ja OIDC:n avulla OpenID-palveluntarjoaja voi välittää käyttäjän profiilin luottavalle osapuolelle. Tämän avulla organisaatiot voivat myös mahdollistaa käyttäjän kertakirjautumisen. OAuth 2.0- ja OIDC-työnkulut ovat samankaltaisia, mutta niissä käytetään hieman erilaista terminologiaa. 

    Tyypillisessä OAuth 2.0 -työnkulussa on seuraavat vaiheet:

    1. Käyttäjä siirtyy sovellukseen, jota hän haluaa käyttää (resurssipalvelin).
    2. Resurssipalvelin ohjaa käyttäjän sovellukseen, jossa hänellä on tili (asiakas).
    3. Käyttäjä kirjautuu sisään käyttämällä asiakkaan tunnistetietoja.
    4. Asiakas vahvistaa käyttäjän käyttöoikeuden.
    5. Asiakas lähettää käyttöoikeustietueen resurssipalvelimeen.
    6. Resurssipalvelin myöntää käyttäjälle käyttöoikeuden.

    Tyypillisessä OIDC-työnkulussa on seuraavat vaiheet:

    1. Käyttäjä siirtyy sovellukseen, jota hän haluaa käyttää (luottava osapuoli).
    2. Käyttäjä kirjoittaa käyttäjänimensä ja salasanansa.
    3. Luottava osapuoli lähettää pyynnön OpenID-palveluntarjoajalle.
    4. OpenID-palveluntarjoaja vahvistaa käyttäjän tunnistetiedot ja hankkii valtuutuksen.
    5. OpenID-palveluntarjoaja lähettää käyttäjätietotunnuksen ja usein käyttöoikeustietueen luottavalle osapuolelle.
    6. Luottava osapuoli lähettää käyttöoikeustietueen käyttäjän laitteeseen.
    7. Käyttäjälle annetaan käyttöoikeus käyttöoikeustietueessa annettujen tietojen ja luottavan osapuolen perusteella. 

  • OpenID-palveluntarjoaja käyttää käyttäjätietotunnuksia todennustulosten ja muiden asiaankuuluvien tietojen välittämiseen luottavan osapuolen sovellukselle. Esimerkkejä lähetettävistä tiedoista ovat tunnus, sähköpostiosoite ja nimi.

Seuraa Microsoft Securitya