Autenticação versus autorização
Este artigo define a autenticação e a autorização. Ele também aborda brevemente a autenticação multifator e como você pode usar a plataforma de identidade da Microsoft para autenticar e autorizar usuários em seus aplicativos Web, APIs Web ou aplicativos que chamam APIs Web seguras. Se você vir um termo com o qual não está familiarizado, veja nosso glossário ou nossos vídeos da plataforma de identidade da Microsoft que abrangem conceitos básicos.
Autenticação
Autenticação é o processo de provar que você é quem diz ser. Isso é obtido pela verificação da identidade de uma pessoa ou de um dispositivo. Às vezes, a autenticação é abreviada para AuthN. A plataforma de identidade da Microsoft usa o protocolo OpenID Connect para processar a autenticação.
Autorização
Autorização é o ato de conceder a uma parte autenticada a permissão para fazer algo. Ele especifica quais dados você tem permissão para acessar e o que pode fazer com esses dados. Às vezes, a autorização é abreviada para AuthZ. A plataforma de identidade da Microsoft fornece aos proprietários de recursos a capacidade de usar o protocolo OAuth 2.0 para lidar com a autorização, mas a nuvem da Microsoft também tem outros sistemas de autorização, como as funções internas do Entra, o RBAC do Azure e o RBAC do Exchange.
Autenticação multifator
A autenticação multifator é o ato de fornecer um fator adicional de autenticação a uma conta. Ela costuma ser usada como proteção contra ataques de força bruta. Às vezes, o termo é abreviado como MFA ou 2FA. O Microsoft Authenticator pode ser usado como um aplicativo para lidar com a autenticação de dois fatores. Para obter mais informações, confira autenticação multifator.
Autenticação e autorização usando a plataforma de identidade da Microsoft
Criar aplicativos que mantêm as próprias informações de nome de usuário e senha gera uma carga administrativa alta quando você precisa adicionar ou remover usuários em vários aplicativos. Em vez disso, os aplicativos podem delegar essa responsabilidade a um provedor de identidade centralizado.
O Microsoft Entra ID é um provedor de identidade centralizado na nuvem. A delegação de autenticação e autorização permite cenários como:
- Políticas de acesso condicional que exigem que um usuário esteja em um local específico.
- Autenticação multifator que exige que o usuário tenha um dispositivo específico.
- Permitir que um usuário entre uma vez e seja automaticamente conectado a todos os aplicativos Web que compartilham o mesmo diretório centralizado. Essa capacidade é chamada de SSO (logon único) .
A plataforma de identidade da Microsoft simplifica a autorização e a autenticação para desenvolvedores de aplicativos, fornecendo identidade como um serviço. Ela dá suporte a protocolos padrão do setor e bibliotecas de software livre para diferentes plataformas para ajudá-lo a começar a codificar rapidamente. Ela permite que os desenvolvedores criem aplicativos que se conectam a todas as identidades da Microsoft e obtenham tokens para chamar o Microsoft Graph, acessar APIs da Microsoft ou acessar outras APIs que os desenvolvedores criaram.
Este vídeo explica a plataforma de identidade da Microsoft e os conceitos básicos da autenticação moderna:
Aqui está uma comparação dos protocolos que a plataforma de identidade da Microsoft usa:
- OAuth versus OpenID Connect: a plataforma usa OAuth para autorização e OpenID Connect (OIDC) para autenticação. O OpenID Connect é desenvolvido com base no OAuth 2.0, portanto, a terminologia e o fluxo são semelhantes entre os dois. Você pode até mesmo autenticar um usuário (através do OpenID Connect) e obter autorização para acessar um recurso protegido que o usuário possui (através do OAuth 2.0) em uma solicitação. Para saber mais, confira Protocolos OAuth 2.0 e OpenID Connect e Protocolo OpenID Connect.
- OAuth versus SAML: a plataforma usa o OAuth 2.0 para autorização e SAML para autenticação. Para obter mais informações sobre como usar os dois protocolos juntos para autenticar um usuário e obter autorização para acessar um recurso protegido, veja Plataforma de identidade da Microsoft e fluxo de declarações de portador SAML do OAuth 2.0.
- OpenID Connect versus SAML: a plataforma usa o OpenID Connect e o SAML para autenticar um usuário e habilitar o logon único. A autenticação SAML é comumente usada com provedores de identidade, como os Serviços de Federação do Active Directory (AD FS), federados ao Microsoft Entra ID. Portanto, é frequentemente usada em aplicativos corporativos. O OpenID Connect é comumente usado para aplicativos puramente na nuvem, como aplicativos móveis, sites e APIs Web.
Próximas etapas
Para outros tópicos que abordam as noções básicas sobre autenticação e autorização:
- Para saber como os tokens de acesso, de atualização e de ID são usados na autorização e na autenticação, veja Token de segurança.
- Para saber mais sobre o processo de registro do aplicativo para que ele possa se integrar à plataforma de identidade da Microsoft, veja Modelo de aplicativo.
- Para saber mais sobre como usar a autorização adequada por meio de declarações de token, consulte Proteger aplicativos e APIs validando declarações