This is the Trace Id: 049894c4e6c4095ce627da134bcf4b00
Pređi na glavni sadržaj Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Pogledajte sve proizvode Kibernetička bezbednost koja koristi veštačku inteligenciju Bezbednost u oblaku Bezbednost i upravljanje Pristup identitetu i mreži Upravljanje privatnošću i rizicima Bezbednost za veštačku inteligenciju Mala i srednja preduzeća Objedinjeni timovi za bezbednosne operacije Nulta pouzdanost Cene Usluge Partneri Zašto koristiti Microsoft bezbednost? Svest o kibernetičkoj bezbednosti Priče klijenata Security 101 Probne verzije proizvoda Priznanje u okviru delatnosti Microsoft Security Insider Microsoft izveštaj o digitalnoj odbrani Security Response Center Blog o Microsoft bezbednosti Microsoft događaji vezani za bezbednost Microsoft Tech Community Dokumentacija Biblioteka tehničkog sadržaja Obuka i certifikacije Program za usaglašenost za Microsoft oblak Microsoft centar za pouzdanost Portal za pouzdanost usluga Microsoft Inicijativa za bezbednu budućnost Čvorište za poslovna rešenja Obratite se prodaji Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mešovita realnost Microsoft HoloLens Microsoft Viva Kvantno računarstvo Education Automobili Finansijske usluge Vlada Zdravstvo Proizvodnja Maloprodaja Pronađite partnera Postanite partner Partnerske mreže Microsoft Marketplace Softverska preduzeća Blog Microsoft Advertising Razvojni centar Documentation Events Licensing Microsoft Learn Microsoft Research Prikaži mapu lokacije
Radnik fabričkom pogonu pregleda informacije na tablet računaru

Šta je OIDC?

Saznajte više o OpenID Connect (OIDC), protokolu za potvrdu identiteta koji verifikuje korisničke identitete kada se prijave za pristup digitalnim resursima.

Kako se definiše OpenID Connect (OIDC)

OpenID Connect (OIDC) je protokol za autentifikaciju identiteta koji predstavlja proširenje protokola za autorizaciju (OAuth) 2.0 i standardizuje proces autentifikacije i autorizacije korisnika prilikom prijave na digitalne servise. OIDC obezbeđuje potvrdu identiteta, odnosno proverava da su korisnici zaista oni za koje se predstavljaju. OAuth 2.0 određuje kojim sistemima korisnici imaju dozvoljen pristup. OAuth 2.0 se obično koristi za omogućavanje dve nepovezane aplikacije za deljenje informacija bez komprimovanih korisničkih podataka. Na primer, mnogi ljudi koriste svoje naloge e-pošte ili društvenih medija da bi se prijavili na sajt nezavisnog proizvođača umesto da kreiraju novo korisničko ime i lozinku. OIDC se koristi i za jedinstveno prijavljivanje. Organizacije mogu da koriste bezbedan sistem za upravljanje identitetima i pristupom (IAM) kao što je Microsoft Entra ID (ranije Azure Active Directory) kao primarni autorizator identiteta, a zatim da upotrebe OIDC za slanje te potvrde identiteta drugim aplikacijama. Na taj način korisnici treba da se prijave samo jednom pomoću jednog korisničkog imena i lozinke da bi pristupili većem broju aplikacija.

Ključne komponente OIDC

OIDC sadrži šest primarnih komponenata:
 
  • Potvrda identiteta je proces provere identiteta korisnika.
  • Klijent je softver, poput veb sajta ili aplikacije, za koji su obavezni tokeni koji se koriste za proveru korisnika ili pristupa resursu.
  • Relying party su aplikacije koje koriste OpenID provajdere za autentifikaciju korisnika.
  • Tokeni identiteta sadrže podatke o identitetu, uključujući ishod procesa potvrde identiteta, identifikator za korisnika i informacije o tome kako i kada je korisnik ovlašten.
  • OpenID dobavljači su aplikacije za koje korisnik već ima nalog. Njihova uloga u programu OIDC je da potvrde identitet korisnika i proslede te informacije aplikaciji koja se oslanja na njih (relying party).
  • Korisnici su osobe ili usluge koje zahtevaju pristup aplikaciji bez kreiranja novog naloga ili navođenja korisničkog imena i lozinke.

Kako funkcioniše OIDC potvrda identiteta?

OIDC potvrda identiteta funkcioniše tako što omogućava korisnicima da se prijave u jednu aplikaciju i dobiju pristup drugoj. Na primer, ako korisnik želi da kreira nalog na sajtu za vesti, može imati opciju da koristi Facebook za kreiranje naloga umesto da kreira novi nalog. Ako odaberu Facebook, koriste OIDC potvrdu identiteta. Facebook, koji se naziva OpenID provajder, upravlja procesom autentifikacije i pribavlja saglasnost korisnika za deljenje određenih informacija, kao što je korisnički profil, sa veb-sajtom vesti, koji predstavlja aplikaciju koja se oslanja na provajdera identiteta (relying party).

ID tokeni

OpenID provajder koristi ID tokene za prenos rezultata autentifikacije i relevantnih informacija ka aplikaciji koja se oslanja na provajdera identiteta. Primeri podataka koji se razmenjuju uključuju ID korisnika, adresu e-pošte i ime.

Opsezi

Opsezi definišu dozvole koje korisnik ima u okviru pristupa. OIDC obezbeđuje standardne opsege, koji definišu stvari kao što su za koju pouzdanu stranu je token generisan, kada je token generisan, kada će token isteći i snagu šifrovanja koja se koristi za potvrdu identiteta korisnika.

Tipičan proces OIDC potvrde identiteta obuhvata sledeće korake:
 
  1. Korisnik odlazi u aplikaciju u koju želi da pristupi (pouzdana strana).
  2. Korisnički tipovi u korisničkom imenu i lozinki.
  3. Pouzdana strana šalje zahtev OpenID dobavljaču.
  4. OpenID dobavljač proverava valjanost akreditiva korisnika i dobija autorizaciju.
  5. OpenID dobavljač šalje token identiteta i često token za pristup pouzdanoj strani.
  6. Pouzdana strana šalje token za pristup uređaju korisnika.
  7. Korisniku se odobrava pristup na osnovu informacija iz pristupnog tokena, koje proverava i koristi relying party aplikacija. 

Šta su OIDC tokovi?

OIDC tokovi definišu način na koji se tokeni zahtevaju i dostavljaju relying party aplikaciji. Nekoliko primera:
 
  • OIDC tokovi autorizacije: Dobavljač za OpenID šalje jedinstveni kôd pouzdanoj strani. Pouzdana strana zatim šalje dobavljaču za OpenID jedinstveni kôd u zamenu za token. Ovaj metod se koristi tako da OpenID provajder može da proveri pouzdanu stranu pre slanja tokena. Budući da pregledač ne vidi token, on ostaje bezbedan.
  • OIDC tokovi autorizacije sa PKCE proširenjem: Ovaj tok je isti kao OIDC tok autorizacije, osim što koristi proširenje javnog ključa za razmenu koda (PKCE) za slanje komunikacije kao heš. Time se smanjuje verovatnoća da se token presretne.
  • Akreditivi klijenta: Ovaj tok omogućava pristup veb API-jima korišćenjem identiteta same aplikacije. Obično se koristi za direktnu komunikaciju među serverima i automatizovane skripte koje ne zahtevaju interakciju korisnika.
  • Kôd uređaja: Ovaj tok omogućava korisnicima da se prijave i pristupe API-jima zasnovanim na vebu na uređajima koji su povezani sa internetom ali nemaju pregledače ili je funkcija tastature loša, recimo za pametni TV.
Dodatni tokovi, kao što je OIDC implicitni tok, koji je namenjen aplikacijama zasnovanim na pregledaču, nisu preporučeni jer predstavljaju bezbednosni rizik.



OIDC u odnosu na OAuth 2.0

OIDC je izgrađen na OAuth 2.0 okviru kako bi dodao potvrdu identiteta. Protokol OAuth 2.0 je prvo razvijen, a zatim je dodat OIDC kako bi se poboljšale njegove mogućnosti. Razlika između njih je u tome što OAuth 2.0 pruža autorizaciju, dok OIDC pruža potvrdu identiteta. OAuth 2.0 je ono što omogućava korisnicima da dobiju pristup pouzdanoj strani, koristeći svoj nalog kod OpenID dobavljača usluga, a OIDC je ono što omogućava OpenID dobavljaču usluga da prosledi korisnički profil strani koja se oslanja. OIDC omogućava organizacijama i da korisnicima ponude jedinstveno prijavljivanje.



Pogodnosti OIDC potvrde identiteta

Smanjenjem broja naloga koji su korisnicima potrebni za pristup aplikacijama, OIDC nudi nekoliko pogodnosti kako pojedincima tako i organizacijama:

Smanjuje rizik od krađe lozinki

Kada korisnici moraju da koriste više lozinki za pristup aplikacijama koje su im potrebne za posao i privatni život, često biraju lozinke koje se lako pamte, kao što je Lozinka1234!, i koriste istu lozinku za više naloga. Ovo povećava rizik da će loš akter pogoditi lozinku. A kada znaju lozinku za jedan nalog, možda će moći da pristupe i drugim nalozima. Smanjenjem broja lozinki koje korisnik treba da pamti, povećava se verovatnoća da će koristiti jaču i bezbedniju lozinku.

Poboljšava bezbednosne kontrole

Centralizacijom potvrde identiteta u jednoj aplikaciji, organizacije mogu zaštititi pristup u više aplikacija, korišćenjem jakih kontrola pristupa. OIDC podržava dvostruku i višestruku potvrdu identiteta, čime se od korisnika zahteva da verifikuju svoj identitet koristeći najmanje dve od sledećih opcija:
 
  • Nešto što korisnik zna, obično je to lozinka.
  • Nešto što ima, kao što je pouzdan uređaj ili token koji se ne može lako duplirati. 
  • Nešto što služi za prepoznavanje identiteta korisnika, kao što je otisak prsta ili sken lica.
Višestruka potvrda identiteta je dokazan metod za smanjenje mogućnosti ugrožavanja naloga. Organizacije mogu koristiti OIDC i za primenu drugih bezbednosnih mera, kao što su upravljanje privilegovanim pristupom, zaštita lozinkom, bezbednost prijavljivanja ili zaštita identiteta, u više aplikacija.

Pojednostavljuje iskustvo korisnika

Prijavljivanje na više naloga tokom dana može korisnicima oduzimati mnogo vremena i stvarati frustraciju. Osim toga, ako izgube ili zaborave lozinku, resetovanje može dodatno narušiti produktivnost. Preduzeća koja koriste OIDC da obezbede pomoć za jedinstveno prijavljivanje svojih zaposlenih da obezbede da njihova radna snaga troši više vremena na produktivan rad umesto da pokušava da dobije pristup aplikacijama. Organizacije takođe povećavaju verovatnoću da će se korisnici registrovati za njihove usluge i koristiti ih ukoliko im omoguće prijavu pomoću Microsoft, Facebook ili Google naloga.

Standardizuje potvrdu identiteta

OIDC je razvila organizacija OpenID Foundation, čiji su članovi i preduzeća kao što su Microsoft i Google. Projektovan je tako da bude interoperabilan i podržava brojne platforme i biblioteke, uključujući iOS, Android, Microsoft Windows, kao i vodeće provajdere za oblak i provajdere identiteta.

Unapređuje upravljanje identitetima

Organizacije koje koriste OIDC za pružanje jedinstvenog prijavljivanja za zaposlene i partnere mogu da smanje broj rešenja za upravljanje identitetima kojima treba da upravljaju. Ovo olakšava praćenje promena dozvola i omogućava administratorima da koriste jedan interfejs za primenu smernica i pravila pristupa u više aplikacija. Preduzeća koja koriste OIDC kako bi omogućila korisnicima prijavu u svoje aplikacije preko OpenID dobavljača smanjuju broj identiteta kojima moraju da upravljaju.

Primeri i slučajevi korišćenja sistema OIDC

Mnoge organizacije koriste OIDC kako bi omogućile bezbednu potvrdu identiteta u veb i mobilnim aplikacijama. Evo nekoliko primera:
 
  • Kada se korisnik upisuje za Spotify nalog, nude mu se tri mogućnosti: Upišite se pomoću Facebook naloga, Upišite se pomoću Google naloga, Upišite se pomoću adrese e-pošte. Korisnici koji odluče da se upišu uz Facebook ili Google, za kreiranje naloga koriste OIDC. Oni će biti preusmereni na bilo kog OpenID dobavljača usluga kojeg su izabrali (ili Google ili Facebook), a kada se prijave, OpenID dobavljač usluga će poslati osnovne detalje o Spotify profilu. Korisnik ne mora da kreira novi nalog za Spotify i njegove lozinke ostaju zaštićene.
     
  • LinkedIn takođe pruža način na koji korisnici mogu da otvore nalog koristeći svoj Google nalog umesto da kreiraju poseban nalog za LinkedIn.
     
  • Preduzeće želi da obezbedi jedinstveno prijavljivanje zaposlenima koji moraju da pristupe uslugama Microsoft Office 365, Salesforce, Box i Workday da bi obavili svoj posao. Umesto da zahteva od zaposlenih da kreiraju poseban nalog za svaku od tih aplikacija, preduzeće koristi OIDC da obezbedi pristup sve četiri. Zaposleni kreiraju jedan nalog i svaki put kada se prijave, dobijaju pristup svim aplikacijama koje su im potrebne za posao.

Primenite OIDC za bezbednu potvrdu identiteta

OIDC obezbeđuje protokol za potvrdu identiteta koji pojednostavljuje proces prijavljivanja korisnika i unapređuje bezbednost. To je odlično rešenje za preduzeća koja žele da podstaknu klijente da se prijave za njihove usluge bez muke oko upravljanja nalozima. Takođe podstiče organizacije da svojim zaposlenima i drugim korisnicima obezbede jedinstveno prijavljivanje u više aplikacija. Organizacije mogu da koriste rešenja za identitet i pristup koja podržavaju OIDC, kao što je Microsoft Entra, za upravljanje svim svojim identitetima i bezbednosnim smernicama za potvrdu identiteta na jednom mestu.



Najčešća pitanja

Najčešća pitanja

  • OIDC je protokol za potvrdu identiteta koji radi sa OAuth 2.0 kako bi standardizovao proces potvrde identiteta i autorizacije korisnika kada se prijave za pristup digitalnim uslugama. OIDC pruža potvrdu identiteta, što znači da se proverava da li su korisnici oni za koje kažu da jesu. OAuth 2.0 ovlašćuje kojim sistemima je tim korisnicima dozvoljen pristup. OIDC i OAuth 2.0 se najčešće koriste kako bi omogućili dvema nepovezanim aplikacijama da razmenjuju informacije bez ugrožavanja korisničkih podataka.
  • I OIDC i Security Assertion Markup Language (SAML) predstavljaju protokole za potvrdu identiteta koji korisnicima omogućavaju bezbednu jednokratnu prijavu i pristup većem broju aplikacija. SAML je stariji protokol koji je široko prihvaćen za jedinstveno prijavljivanje. Prenosi podatke pomoću XML formata. OIDC je noviji protokol koji koristi JSON format za prenos korisničkih podataka. OIDC stiče popularnost jer se koristi lakše nego SAML i bolje funkcioniše sa aplikacijama za mobilne uređaje.
  • OIDC označava OpenID Connect protokol, odnosno protokol za potvrdu identiteta koji omogućava dvema nepovezanim aplikacijama da dele informacije iz korisničkog profila bez ugrožavanja korisničkih akreditiva.
  • OIDC je izgrađen na OAuth 2.0 okviru kako bi dodao potvrdu identiteta. Protokol OAuth 2.0 je prvo razvijen, a zatim je dodat OIDC kako bi se poboljšale njegove mogućnosti. Razlika između njih je u tome što OAuth 2.0 pruža autorizaciju, dok OIDC pruža potvrdu identiteta. OAuth 2.0 je ono što omogućava korisnicima da dobiju pristup pouzdanoj strani, koristeći svoj nalog kod OpenID dobavljača usluga, a OIDC je ono što omogućava OpenID dobavljaču usluga da prosledi korisnički profil pouzdanoj strani. Ova funkcionalnost takođe omogućava organizacijama da svojim korisnicima ponude jedinstveno prijavljivanje. OAuth 2.0 i OIDC tokovi su slični, osim što koriste malo drugačiju terminologiju.

    Tipičan OAuth 2.0 tok ima sledeće korake:
     
    1. Korisnik odlazi u aplikaciju kojoj želi da pristupi (server resursa).
    2. Server resursa preusmerava korisnika na aplikaciju u kojoj ima nalog (klijent).
    3. Korisnik se prijavljuje pomoću svojih akreditiva za klijenta.
    4. Klijent proverava valjanost korisničkog pristupa.
    5. Klijent šalje token za pristup serveru resursa.
    6. Server resursa dodeljuje korisniku pristup.
       
    Tipičan OIDC tok ima sledeće korake:
     
    1. Korisnik odlazi u aplikaciju u koju želi da pristupi (pouzdana strana).
    2. Korisnički tipovi u korisničkom imenu i lozinki.
    3. Pouzdana strana šalje zahtev OpenID dobavljaču.
    4. OpenID dobavljač proverava valjanost akreditiva korisnika i dobija autorizaciju.
    5. OpenID dobavljač šalje token identiteta i često token za pristup pouzdanoj strani.
    6. Pouzdana strana šalje token za pristup uređaju korisnika.
    7. Korisniku se odobrava pristup na osnovu informacija iz pristupnog tokena, koje proverava i koristi relying party aplikacija.
  • OpenID dobavljač koristi ID tokene za prenos rezultata potvrde identiteta i sve potrebne informacije relying party aplikaciji. Primeri podataka koji se razmenjuju uključuju ID korisnika, adresu e-pošte i ime.

Pratite Microsoft bezbednost