Authentifizierung im Vergleich zu Autorisierung

Dieser Artikel enthält eine Definition der Authentifizierung und Autorisierung. Darüber hinaus wird kurz die Multi-Faktor-Authentifizierung beschrieben und erläutert, wie Sie die Microsoft Identity Platform zum Authentifizieren und Autorisieren von Benutzern in Ihren Web-Apps, Web-APIs oder Apps, von denen geschützte Web-APIs aufgerufen werden, nutzen können. Wenn Sie auf einen Begriff stoßen, mit dem Sie nicht vertraut sind, können Sie einen Blick in unser Glossar werfen oder sich unsere Videos zu Microsoft Identity Platform ansehen, in denen die grundlegenden Konzepte behandelt werden.

Authentifizierung

Bei der Authentifizierung weisen Sie nach, dass Sie die Person sind, die Sie vorgeben zu sein. Dies wird durch Überprüfung der Identität einer Person oder eines Geräts erreicht. Dies wird manchmal auch kurz als AuthN bezeichnet. Für die Microsoft Identity Platform wird das OpenID Connect-Protokoll für die Verarbeitung der Authentifizierungsvorgänge genutzt.

Authorization

Die Autorisierung ist die Gewährung einer Handlungsberechtigung für eine authentifizierte Person. Sie gibt an, auf welche Daten Sie zugreifen dürfen und welche Aktionen Sie damit ausführen können. Die Autorisierung wird auch kurz als AuthZ bezeichnet. Die Microsoft Identity Platform bietet Ressourcenbesitzern die Möglichkeit, das OAuth 2.0-Protokoll zur Behandlung der Autorisierung zu verwenden, die Microsoft-Cloud verfügt allerdings auch über andere Autorisierungssysteme wie Integrierte Entra-Rollen, Azure RBAC und Exchange RBAC.

Mehrstufige Authentifizierung

Bei der Multi-Faktor-Authentifizierung wird ein weiterer Authentifizierungsfaktor für ein Konto bereitgestellt. Sie wird häufig zum Schutz vor Brute-Force-Angriffen verwendet. Manchmal wird hierfür die Abkürzung MFA oder 2FA verwendet. Microsoft Authenticator kann als App zum Verarbeiten der zweistufigen Authentifizierung verwendet werden. Weitere Informationen finden Sie unter So funktioniert's: Azure AD Multi-Factor Authentication.

Authentifizierung und Autorisierung mit Microsoft Identity Platform

Die Erstellung von Apps, für die jeweils die eigenen Informationen zum Benutzernamen und Kennwort beibehalten werden, führt zu einem hohen Verwaltungsaufwand, wenn Benutzer App-übergreifend hinzugefügt oder entfernt werden. Stattdessen kann diese Aufgabe von Ihren Apps an einen zentralen Identitätsanbieter delegiert werden.

Microsoft Entra ID ist ein zentraler Identitätsanbieter in der Cloud. Indem die Authentifizierung und Autorisierung an diesen Anbieter delegiert wird, sind Szenarien der folgenden Art möglich:

  • Richtlinien für bedingten Zugriff, bei denen sich ein Benutzer an einem bestimmten Standort befinden muss.
  • Multi-Faktor-Authentifizierung, die erfordert, dass ein Benutzer über ein bestimmtes Gerät verfügt.
  • Einmaliges Anmelden eines Benutzers und anschließende automatische Anmeldung bei allen Web-Apps, für die dasselbe zentrale Verzeichnis genutzt wird. Diese Funktion wird als einmaliges Anmelden (Single Sign-On, SSO) bezeichnet.

Die Microsoft Identity Platform vereinfacht die Autorisierung und Authentifizierung für Anwendungsentwickler per „Identity-as-a-Service“-Funktion. Damit Sie schnell mit dem Schreiben von Code beginnen können, werden Branchenstandardprotokolle und Open-Source-Bibliotheken für unterschiedliche Plattformen unterstützt. Entwickler können nicht nur Anwendungen erstellen, bei denen alle Microsoft-Identitäten angemeldet werden, sondern auch Token zum Aufrufen von Microsoft Graph oder zum Zugreifen auf Microsoft-APIs oder andere APIs abrufen, die von Entwicklern erstellt wurden.

In diesem Video werden die Microsoft Identity Platform und die Grundlagen der modernen Authentifizierung beschrieben:

Hier finden Sie einen Vergleich der Protokolle, die von der Microsoft Identity Platform verwendet werden:

  • OAuth und OpenID Connect: Von der Plattform wird OAuth für die Autorisierung und OpenID Connect (OIDC) für die Authentifizierung genutzt. OpenID Connect baut auf OAuth 2.0 auf, sodass beide eine ähnliche Terminologie und einen ähnlichen Flow aufweisen. Sie können mit nur einer Anforderung sogar sowohl einen Benutzer authentifizieren (mit OpenID Connect) als auch die Autorisierung des Zugriffs auf eine geschützte Ressource durchführen (mit OAuth 2.0), die sich im Besitz des Benutzers befindet. Weitere Informationen finden Sie unter OAuth 2.0- und OpenID Connect-Protokolle und OpenID Connect-Protokoll.
  • OAuth und SAML: Von der Plattform wird OAuth 2.0 für die Autorisierung und SAML für die Authentifizierung genutzt. Weitere Informationen dazu, wie Sie diese Protokolle zusammen zum Authentifizieren eines Benutzers und zum Durchführen der Autorisierung für den Zugriff auf eine geschützte Ressource einsetzen können, finden Sie unter Microsoft Identity Platform und OAuth 2.0-SAML-Bearerassertionsflow.
  • OpenID Connect und SAML: Für die Plattform wird sowohl OpenID Connect als auch SAML zum Authentifizieren eines Benutzers und zum Aktivieren des einmaligen Anmeldens verwendet. Die SAML-Authentifizierung wird häufig mit Identitätsanbietern wie Active Directory-Verbunddienste (AD FS) im Verbund mit Microsoft Entra ID und daher häufig in Unternehmensanwendungen genutzt. OpenID Connect wird häufig für Apps verwendet, die sich ausschließlich in der Cloud befinden, z. B. mobile Apps, Websites und Web-APIs.

Nächste Schritte

Weitere Themen zu den Grundlagen der Authentifizierung und Autorisierung: