This is the Trace Id: 52b66cb35537e07ff5108fb7bc8f87a5
Siirry pääsisältöön Miksi kannattaa valita Microsoft Security Tekoälyä hyödyntävä kyberturvallisuus Pilvipalvelujen suojaus Tietoturva ja hallinto Käyttäjätiedot ja verkon käyttöoikeudet Tietosuoja ja riskien hallinta Tekoälyn suojaus Yhdistetty SecOps Zero Trust -suojausmalli Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra -tunnukset (Azure Active Directory) Microsoft Entra -agenttitunnus Ulkoinen Microsoft Entra -tunnus Microsoft Entra ID -tunnuksien hallinta Microsoft Entra ID -tunnuksien suojaus Microsoft Entra -internetyhteys Microsoft Entra -yksityiskäyttö Microsoft Entran käyttöoikeuksien hallinta Microsoft Entran varmennettu tunnus Microsoft Entra -kuormitustunnus Microsoft Entra -toimialuepalvelut Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender for Endpoint Microsoft Defender for Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Securityn altistumisen hallinta Microsoft Defenderin haavoittuvuuksien hallinta Microsoft Defender Threat Intelligence Microsoft Defender -ohjelmistopaketti Business Premiumille Microsoft Defender for Cloud Microsoft Defender Cloud Security Posture Mgmt Microsoft Defenderin ulkoinen hyökkäyspintojen hallinta Kehittynyt GitHub-suojaus Microsoft Defender for Endpoint Microsoft Defender XDR Microsoft Defender for Business Microsoft Intunen tärkeimmät ominaisuudet Microsoft Defender for IoT Microsoft Defenderin haavoittuvuuksien hallinta Microsoft Intunen kehittynyt analysointi Microsoft Intunen päätepisteiden oikeuksien hallinta Microsoft Intune Enterprise -sovellustenhallinta Microsoft Intune Remote Help Microsoft Cloud PKI Microsoft Purview -tuotteen viestinnän vaatimustenmukaisuus Microsoft Purview -tuotteen yhteensopivuuden hallinta Microsoft Purview -tuotteen tietojen elinkaaren hallinta Microsoft Purview eDiscovery Microsoft Purview -valvonta Microsoft Privan tietosuojan hallinta Microsoft Priva Subject Rights Requests Microsoft Purview -tiedonhallinta Microsoft Purview -ohjelmistopaketti Business Premiumille Microsoft Purview -tietoturvaominaisuudet Hinnoittelu Palvelut Kumppanit Kyberturvallisuustietoisuus Asiakkaiden kertomuksia Tietoturvan perusteet Tuotekokeilut Toimialan tunnustus Microsoft Security Insider Microsoft Digital Defense Report -raportti Security Response Center Microsoft Security ‑blogi Microsoft Security -tapahtumat Microsoft Tech Community Käyttöoppaat Tekninen sisältökirjasto Koulutus ja sertifioinnit Compliance Program for Microsoft Cloud Microsoftin luottamuskeskus Service Trust Portal Microsoft Secure Future Initiative Yritysratkaisukeskus Ota yhteys myyntiin Aloita maksuton kokeilu Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoftin tekoäly Azure Space Yhdistetty todellisuus Microsoft HoloLens Microsoft Viva Kvanttilaskenta Kestävä kehitys Koulutus Autoilu Talouspalvelut Julkishallinto Terveydenhoito Teollinen valmistus Vähittäiskauppa Etsi kumppani Ryhdy kumppaniksi Kumppaniverkosto Microsoft Marketplace Marketplace Rewards Ohjelmistokehitysyritykset Blogi Microsoft Advertising Kehittäjäkeskus Ohjeet Tapahtumat Käyttöoikeudet Microsoft Learn Microsoft Research Näytä sivustokartta

Mikä on OIDC?

Lue lisää OpenID Connect (OIDC) -todennusprotokollasta, joka todentaa käyttäjät, jotka kirjautuvat sisään digitaalisten resurssien käyttöä varten.

OpenID Connect (OIDC) -todennusprotokollan määritelmä

OpenID Connect (OIDC) on käyttäjätietojen todennusprotokolla, joka on OAuth 2.0 -laajennus, jolla voidaan standardoida käyttäjien todentamis- ja valtuutusprosessi, kun käyttäjät kirjautuvat sisään digitaalisten palvelujen käyttöä varten. OIDC todentaa käyttäjät eli varmistaa, että käyttäjät ovat sitä, keitä he sanovat olevansa. OAuth 2.0 valtuuttaa kyseisten käyttäjien käytettävissä olevat järjestelmät. OAuth 2.0 auttaa yleensä varmistamaan, että kaksi toisiinsa liittymätöntä sovellusta voi jakaa tietoja vaarantamatta käyttäjätietoja. Monet käyttävät esimerkiksi sähköpostiaan tai sosiaalisen median tiliään kolmannen osapuolen sivustoon kirjautumiseen uuden käyttäjänimen ja salasanan luomisen sijaan. OIDC mahdollistaa myös kertakirjautumisen. Organisaatiot voivat käyttää suojattua käyttäjätietojen ja käyttöoikeuksien hallintajärjestelmää (IAM), kuten Microsoft Entra ID:tä (aiemmin Azure Active Directory) käyttäjätietojen ensisijaisena todennuskeinona, ja välittävät sitten tämän todennuksen muihin sovelluksiin OIDC:n avulla. Näin käyttäjien tarvitsee kirjautua sisään vain kerran yhdellä käyttäjänimellä ja salasanalla, jotta he voivat käyttää useita sovelluksia.

 

 

OIDC:n tärkeimmät komponentit

OIDC:ssä on kuusi ensisijaista komponenttia:

  • Todentaminen on prosessi, jolla varmistetaan, että käyttäjä on se, joka hän sanoo olevansa.

  • Asiakas on ohjelmisto, kuten sivusto tai sovellus, joka pyytää tunnuksia, joita käytetään käyttäjän todentamiseen tai resurssin käyttämiseen.

  • Luottavat osapuolet ovat sovelluksia, jotka käyttävät OpenID-palveluntarjoajia käyttäjien todentamiseen.  

  • Käyttäjätietotunnukset sisältävät käyttäjätietoja, kuten todennusprosessin tuloksen, käyttäjän tunnisteen sekä tietoja siitä, miten ja milloin käyttäjä on todennettu. 

  • OpenID-palveluntarjoajat ovat sovelluksia, joihin käyttäjällä on jo tili. Niiden tehtävänä OIDC:ssä on todentaa käyttäjä ja välittää nämä tiedot luottavalle osapuolelle.

  • Käyttäjät ovat henkilöitä tai palveluita, jotka haluavat käyttää sovellusta luomatta uutta tiliä tai antamalla käyttäjänimeä ja salasanaa. 

 

Miten OIDC-todentaminen toimii?

OIDC-todennuksen ansiosta käyttäjät voivat kirjautua sisään yhteen sovellukseen ja saada samalla pääsyn toiseen sovellukseen. Jos käyttäjä esimerkiksi haluaa luoda tilin uutissivustoon, hän voi luoda tilin Facebook-tilinsä avulla uuden tilin luomisen sijaan. Käyttäjä käyttää OIDC-todennusta luodessaan tilin Facebook-tilinsä avulla. Facebook, joka on tässä esimerkissä OpenID-palveluntarjoaja, käsittelee todentamisprosessin ja saa käyttäjän suostumuksen antaa tiettyjä tietoja, kuten käyttäjäprofiilin, uutissivustolle, joka on luottava osapuoli. 

Käyttäjätietotunnukset 

OpenID-palveluntarjoaja käyttää käyttäjätietotunnuksia todennustulosten ja muiden asiaankuuluvien tietojen välittämiseen luottavalle osapuolelle. Esimerkkejä lähetettävistä tiedoista ovat tunnus, sähköpostiosoite ja nimi.

Laajuudet

Laajuudet määrittävät, mitä käyttäjä voi tehdä käyttöoikeuksillaan. OIDC tarjoaa vakiomuotoiset laajuudet, jotka määrittelevät muun muassa sen, mille luottavalle osapuolelle tunnus on luotu, milloin tunnus on luotu, milloin tunnuksen voimassaoloaika päättyy ja mitä salausvahvuutta on käytetty käyttäjän todentamiseen. 

Tyypillinen OIDC-todennusprosessi sisältää seuraavat vaiheet:

  1. Käyttäjä siirtyy sovellukseen, jota hän haluaa käyttää (luottava osapuoli).
  2. Käyttäjä kirjoittaa käyttäjänimensä ja salasanansa.
  3. Luottava osapuoli lähettää pyynnön OpenID-palveluntarjoajalle.
  4. OpenID-palveluntarjoaja vahvistaa käyttäjän tunnistetiedot ja hankkii valtuutuksen.
  5. OpenID-palveluntarjoaja lähettää käyttäjätietotunnuksen ja usein käyttöoikeustietueen luottavalle osapuolelle.
  6. Luottava osapuoli lähettää käyttöoikeustietueen käyttäjän laitteeseen.
  7. Käyttäjälle annetaan käyttöoikeus käyttöoikeustietueessa annettujen tietojen ja luottavan osapuolen perusteella. 

Mitä ovat OIDC-työnkulut?

OIDC-työnkulut määrittävät, miten tunnuksia pyydetään ja toimitetaan luottavalle osapuolelle. Muutamia esimerkkejä:

  • OIDC-valtuutustyönkulut: OpenID-palveluntarjoaja lähettää yksilöllisen koodin luottavalle osapuolelle. Luottava osapuoli lähettää sitten yksilöllisen koodin takaisin OpenID-palveluntarjoajalle tunnuksen vastineeksi. Tämän menetelmän avulla OpenID-palveluntarjoaja voi vahvistaa luottavan osapuolen ennen tunnisteen lähettämistä. Selain ei näe tunnusta tässä menetelmässä, mikä auttaa pitämään sen suojattuna.

  • OIDC-valtuutustyönkulut PKCE-laajennuksella: Tämä työnkulku on sama kuin OIDC-valtuutustyönkulku, mutta siinä käytetään PKCE-laajennusta (Public Key for Code Exchange) tiedonsiirron lähettämiseen hajautettuna. Tämä vähentää tunnuksen sieppaamisen todennäköisyyttä.

  • Asiakkaan tunnistetiedot: Tämä työnkulku tarjoaa pääsyn verkon ohjelmointirajapintoihin käyttämällä sovelluksen käyttäjätietoja. Sitä käytetään yleensä palvelinten väliseen viestintään ja automaattisille skripteille, jotka eivät vaadi käyttäjältä toimia.

  • Laitekoodi: Tämän työnkulun avulla käyttäjät voivat kirjautua sisään ja käyttää verkkopohjaisia ohjelmointirajapintoja verkkoon yhdistetyissä laitteissa, joissa ei ole selaimia tai joissa on heikko näppäimistö, kuten älytelevisiossa. 

Muita työnkulkuja, kuten selainpohjaisille sovelluksille suunniteltua OIDC:n implisiittistä työnkulkua, ei suositella, koska ne ovat tietoturvariski.

OIDC vs. OAuth 2.0

OIDC kehitettiin lisäämään OAuth 2.0:n todennusominaisuuksia. Ensin kehitettiin OAuth 2.0 -protokolla, jonka ominaisuuksia paranneltiin lisäämällä myöhemmin OIDC. Näiden kahden välillä on se ero, että OAuth 2.0 antaa valtuutuksen, kun taas OIDC tarjoaa todennuksen. OAuth 2.0:n avulla käyttäjät voivat saada käyttöoikeuden luottavan osapuolen palveluun käyttämällä OpenID-palveluntarjoajan tiliä, ja OIDC:n avulla OpenID-palveluntarjoaja voi välittää käyttäjän profiilin luottavalle osapuolelle. OIDC:n avulla organisaatiot voivat myös mahdollistaa käyttäjän kertakirjautumisen.

 

 

OIDC-todentamisen edut

Vähentämällä käyttäjien sovellusten käyttämiseen tarvittavien tilien määrää OIDC tarjoaa useita etuja sekä yksityishenkilöille että organisaatioille:

Vähentää salasanojen varastamisen riskiä

Kun käyttäjien on käytettävä useita salasanoja työssä ja yksityiselämässä tarvittavien sovellusten käyttämiseen, he valitsevat usein helposti muistettavat salasanat, kuten Salasana1234!, ja käyttävät samaa salasanaa useilla tileillä. Tämä lisää riskiä siihen, että pahantahtoinen toimija arvaa salasanan. He voivat päästä käsiksi myös muihin tileihin saadessaan tietoonsa yhden tilin salasanan. Vähentämällä muistettavien salasanojen määrää käyttäjä käyttää todennäköisemmin vahvempia ja turvallisempia salasanoja.

Parantaa suojausta

Keskittämällä todentamisen yhteen sovellukseen organisaatiot voivat myös suojata käyttöoikeuksia useissa sovelluksissa vahvoilla käyttöoikeuksien hallintatoiminnoilla. OIDC tukee kaksimenetelmäistä ja monimenetelmäistä todentamista, jotka edellyttävät käyttäjiä todentamaan henkilöllisyytensä vähintään kahdella seuraavista:

  • Jokin, jonka käyttäjä tietää, yleensä salasana.

  • Jokin, joka käyttäjällä on, kuten luotettu laite tai tunnus, jota ei ole helppo kopioida. 

  • Jokin käyttäjän ominaisuus, kuten sormenjälki tai kasvoskannaus.

Monimenetelmäinen todentaminen on hyväksi todistettu tapa vähentää tilin vaarantumista. Organisaatiot voivat käyttää OIDC:tä myös muihin suojaustoimiin, kuten erityisoikeuksien hallintaan, salasanojen suojaukseen, sisäänkirjautumisen suojaukseen tai käyttäjätietojen suojaamiseen, useissa sovelluksissa. 

Yksinkertaistaa käyttökokemusta

Kirjautuminen useille tileille päivän aikana voi olla aikaa vievää ja turhauttavaa. Lisäksi kadonneen tai unohtuneen salasanan palauttaminen voi heikentää tuottavuutta entisestään. Yritykset, jotka käyttävät OIDC:tä työntekijöidensä kertakirjautumismenetelmänä, varmistavat, että työntekijät käyttävät enemmän aikaa tuottavaan työhön sovelluksiin kirjautumisen sijaan. Lisäksi organisaatioiden asiakkaat rekisteröityvät ja käyttävät niiden palveluja todennäköisemmin, jos ne sallivat Microsoft-, Facebook- tai Google-tilin käyttämisen kirjautumiseen. 

Standardoi todennuksen

OpenID Foundation, johon kuuluu Microsoftin ja Googlen kaltaisia tunnettuja brändejä, kehitti OIDC:n. Se on suunniteltu yhteentoimivaksi, ja se tukee monia ympäristöjä ja kirjastoja, kuten iOS:ää, Androidia, Microsoft Windowsia sekä tärkeimpiä pilvi- ja identiteettipalveluntarjoajia.

Yksinkertaistaa käyttäjätietojen hallintaa

Organisaatiot, jotka tarjoavat mahdollisuuden kertakirjautumiseen työntekijöilleen ja kumppaneilleen OIDC:n avulla, voivat vähentää hallittavien käyttäjätietojen hallintaratkaisujen määrää. Tämä helpottaa käyttöoikeuksien muuttamisen seuraamista ja antaa järjestelmänvalvojille mahdollisuuden käyttää yhtä käyttöliittymää käyttöoikeuskäytäntöjen ja -sääntöjen käyttämiseen useissa sovelluksissa. Yritykset, jotka antavat OIDC:n avulla ihmisille mahdollisuuden kirjautua sovelluksiinsa OpenID-palveluntarjoajan avulla, vähentävät hallinnoitavien käyttäjätietojen määrää. 

Esimerkkejä OIDC-todentamisesta ja käyttötapauksia

Monet organisaatiot käyttävät OIDC:tä turvallisen todennuksen mahdollistamiseksi verkko- ja mobiilisovelluksissa. Seuraavassa on muutamia esimerkkejä:

  • Kun käyttäjä rekisteröi Spotify-tilin, hänelle tarjotaan kolme vaihtoehtoa: rekisteröityminen Facebook-tilillä, rekisteröityminen Google-tilillä, rekisteröityminen sähköpostiosoitteella. Käyttäjät, jotka haluavat rekisteröityä Facebook- tai Google-tilin avulla, käyttävät OIDC:tä tilin luomiseen. Heidät ohjataan valitsemansa OpenID-palveluntarjoajan (Google tai Facebook) palveluun, ja kun he ovat kirjautuneet sisään, OpenID-palveluntarjoaja lähettää Spotifylle profiilin perustiedot. Käyttäjän ei tarvitse luoda uutta Spotify-tiliä, ja hänen salasanansa pysyvät suojattuina.

  • LinkedIn tarjoaa käyttäjille myös mahdollisuuden luoda tilin Google-tilinsä avulla sen sijaan, että he loisivat erillisen tilin LinkedIniä varten. 

  • Yritys haluaa tarjota mahdollisuuden kertakirjautumiseen työntekijöille, joiden on käytettävä työssään Microsoft Office 365:tä, Salesforcea, Boxia ja Workdayta. Sen sijaan, että työntekijöiltä vaadittaisiin erillinen tili jokaista sovellusta varten, yritys tarjoaa OIDC:n avulla pääsyn kaikkiin neljään sovellukseen. Työntekijät luovat yhden tilin, ja aina kun he kirjautuvat sisään, he voivat käyttää kaikkia työssä tarvitsemiaan sovelluksia.  

Suojattu todennus OIDC:n avulla

OIDC tarjoaa todennusprotokollan, joka yksinkertaistaa käyttäjien kirjautumiskokemusta ja parantaa suojausta. Se on erinomainen ratkaisu yrityksille, jotka haluavat kannustaa asiakkaita rekisteröitymään palveluihinsa ilman tilien hallinnointiin liittyvää vaivaa. Se myös antaa organisaatioille mahdollisuuden tarjota työntekijöilleen ja muille käyttäjilleen suojattu kertakirjautumiskeino useisiin sovelluksiin. Organisaatiot voivat hallita kaikkia käyttäjätietoja ja todennuskäytäntöjä yhdessä paikassa käyttämällä OIDC:tä tukevia käyttäjätieto- ja käyttöoikeusratkaisuja, kuten Microsoft Entraa.

   

 

Lue lisää Microsoft Securitysta

Usein kysytyt kysymykset

  • OIDC on käyttäjätietojen todennusprotokolla, joka OAuth 2.0:n kanssa standardoi käyttäjien todentamis- ja valtuutusprosessin, kun käyttäjät kirjautuvat sisään digitaalisten palvelujen käyttöä varten. OIDC todentaa käyttäjät eli varmistaa, että käyttäjät ovat sitä, keitä he sanovat olevansa. OAuth 2.0 valtuuttaa kyseisten käyttäjien käytettävissä olevat järjestelmät. OIDC ja OAuth 2.0 auttavat yleensä varmistamaan, että kaksi toisiinsa liittymätöntä sovellusta voi jakaa tietoja vaarantamatta käyttäjätietoja. 

  • OIDC ja SAML (Security Assertion Markup Language) ovat käyttäjätietojen todennusprotokollia, joiden avulla käyttäjät voivat kirjautua sisään turvallisesti kerran ja käyttää samalla kirjautumisella useita sovelluksia. SAML on vanhempi protokolla, jota on käytetty yleisesti kertakirjautumiseen. Se lähettää tietoja XML-muodossa. OIDC on uudempi protokolla, joka käyttää JSON-muotoa käyttäjätietojen lähettämiseen. OIDC:n suosio kasvaa, koska se on helpompi toteuttaa kuin SAML ja se toimii paremmin mobiilisovellusten kanssa.

  • OIDC tarkoittaa OpenID Connect -protokollaa, joka on käyttäjätietojen todennusprotokolla, jonka avulla kaksi toisiinsa liittymätöntä sovellusta voivat jakaa käyttäjän profiilitietoja vaarantamatta käyttäjän tunnistetietoja.

  • OIDC kehitettiin lisäämään OAuth 2.0:n todennusominaisuuksia. Ensin kehitettiin OAuth 2.0 -protokolla, jonka ominaisuuksia paranneltiin lisäämällä myöhemmin OIDC. Näiden kahden välillä on se ero, että OAuth 2.0 antaa valtuutuksen, kun taas OIDC tarjoaa todennuksen. OAuth 2.0:n avulla käyttäjät voivat saada käyttöoikeuden luottavan osapuolen palveluun käyttämällä OpenID-palveluntarjoajan tiliä, ja OIDC:n avulla OpenID-palveluntarjoaja voi välittää käyttäjän profiilin luottavalle osapuolelle. Tämän avulla organisaatiot voivat myös mahdollistaa käyttäjän kertakirjautumisen. OAuth 2.0- ja OIDC-työnkulut ovat samankaltaisia, mutta niissä käytetään hieman erilaista terminologiaa. 

    Tyypillisessä OAuth 2.0 -työnkulussa on seuraavat vaiheet:

    1. Käyttäjä siirtyy sovellukseen, jota hän haluaa käyttää (resurssipalvelin).
    2. Resurssipalvelin ohjaa käyttäjän sovellukseen, jossa hänellä on tili (asiakas).
    3. Käyttäjä kirjautuu sisään käyttämällä asiakkaan tunnistetietoja.
    4. Asiakas vahvistaa käyttäjän käyttöoikeuden.
    5. Asiakas lähettää käyttöoikeustietueen resurssipalvelimeen.
    6. Resurssipalvelin myöntää käyttäjälle käyttöoikeuden.

    Tyypillisessä OIDC-työnkulussa on seuraavat vaiheet:

    1. Käyttäjä siirtyy sovellukseen, jota hän haluaa käyttää (luottava osapuoli).
    2. Käyttäjä kirjoittaa käyttäjänimensä ja salasanansa.
    3. Luottava osapuoli lähettää pyynnön OpenID-palveluntarjoajalle.
    4. OpenID-palveluntarjoaja vahvistaa käyttäjän tunnistetiedot ja hankkii valtuutuksen.
    5. OpenID-palveluntarjoaja lähettää käyttäjätietotunnuksen ja usein käyttöoikeustietueen luottavalle osapuolelle.
    6. Luottava osapuoli lähettää käyttöoikeustietueen käyttäjän laitteeseen.
    7. Käyttäjälle annetaan käyttöoikeus käyttöoikeustietueessa annettujen tietojen ja luottavan osapuolen perusteella. 

  • OpenID-palveluntarjoaja käyttää käyttäjätietotunnuksia todennustulosten ja muiden asiaankuuluvien tietojen välittämiseen luottavan osapuolen sovellukselle. Esimerkkejä lähetettävistä tiedoista ovat tunnus, sähköpostiosoite ja nimi.

Seuraa Microsoft Securitya

Surface Pro Surface Laptop Surface Laptop Studio 2 Copilot organisaatioille Copilot henkilökohtaiseen käyttöön Microsoft 365 Tutustu Microsoftin tuotteisiin Windows 11 -sovellukset Tiliprofiili Latauskeskus Microsoft Storen tuki Palautukset Tilausseuranta Kierrätys Kaupalliset takuut Microsoft Education Laitteet opetukseen Microsoft Teams for Education Microsoft 365 Education Office Education Educator-koulutus ja -kehitys Tarjoukset opiskelijoille ja vanhemmille Azure opiskelijoille
Microsoftin tekoäly Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Pienyritykset Microsoft-kehittäjät Microsoft Learn Marketplacen tekoälysovellusten tuki Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Työpaikat Tietoja Microsoftista Yritysuutiset Microsoftin tietosuoja Sijoittajat Kestävyys
Suomi (Suomi)
Tietosuojavaihtoehtojen kieltäytymiskuvake Tietosuojaa koskevat valintasi
Kuluttajien terveystietojen tietosuoja Ota yhteyttä Microsoftiin Tietosuoja Hallitse evästeitä Käyttöluvat Tavaramerkit Tietoja mainoksista EU Compliance DoCs