مشاركة عبر

متاجرة عمل مستهلك Microsoft Azure AD: بروتوكولات المصادقة

  • مقالة

يوفر متاجرة عمل مستهلك Microsoft Azure Active Directory (Azure AD B2C) الهوية كخدمة لتطبيقاتك من خلال دعم بروتوكولين قياسيين في المجال: اتصال OpenID وOAuth 2.0. تتوافق الخدمة مع المعايير، ولكن يمكن أن يكون لأي من هذه البروتوكولات اختلافات دقيقة.

تكون المعلومات الواردة في هذا الدليل مفيدة إذا قمت بكتابة التعليمات البرمجية الخاصة بك عن طريق إرسال طلبات HTTP ومعالجتها مباشرة، بدلاً من استخدام مكتبة تعليمات برمجية مفتوحة المصدر. نوصي بقراءة هذه الصفحة قبل الغوص في التفاصيل الخاصة بكل بروتوكول محدد. ولكن إذا كنت على دراية بمتاجرة عمل مستلك Azure AD، يمكنك الانتقال مباشرة إلىإرشادات مرجع البروتوكول.

الأساسيات

يحتاج كل تطبيق يستخدم متاجرة عمل مستهلك Microsoft Azure Active Directory B2C إلى التسجيل في دليل متاجرة عمل المستهلك الخاص بك فيمدخل Microsoft Azure. تجمع عملية تسجيل التطبيق بعض القيم إلى التطبيق الخاص بك وتعينها:

  • معرّف التطبيقالذي يعرّف التطبيق الخاص بك بشكل فريد.

  • عنوان URI لإعادة التوجيهأومعرف الحزمةالذي يمكن استخدامه لتوجيه الردود إلى تطبيقك.

  • بعض قيم السيناريو الأخرى. للمزيد من المعلومات، يرجى التعرفعلى طريقة تسجيل طلبك.

بعد تسجيل التطبيق، يتصل مع Microsoft Azure Active Directory B2C عن طريق إرسال طلبات إلى نقطة النهاية:

https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/oauth2/v2.0/authorize
https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/oauth2/v2.0/token

إذا كنت تستخدم مجالاً مخصصًا، فاستبدل {tenant}.b2clogin.com بالمجال المخصص، مثل contoso.com في نقاط النهاية.

في جميع تدفقات الاتصال OAuth وOpenID تقريبًا، تتشارك أربعة أطراف في التبادل:

رسم تخطيطي يوضح أدوار OAuth 2.0.

  • خادم التخويلهو نقطة نهاية Microsoft Azure Active Directory B2C. وهو يتعامل بشكل آمن مع أي شيء يتعلق بمعلومات المستخدم والوصول إليه. كما أنه يتعامل مع علاقات الثقة بين الجهتين في تدفق. وهو مسؤول عن التحقق من هوية المستخدم، ومنح وإلغاء الوصول إلى الموارد، وإصدار الرموز المميزة. ويعرف أيضًا باسم موفر الهوية.

  • عادةً ما يكونمالك الموردهو المستخدم النهائي. وهو الجهة التي تملك البيانات، ولديها القدرة على السماح لجهات خارجية بالوصول إلى تلك البيانات أو المورد.

  • عميل OAuthهو التطبيق الخاص بك. ويتم التعرف عليه بواسطة معرف التطبيق الخاص به. عادة ما يكون الجهة التي تتفاعل مع المستخدمين النهائيين. كما يطلب رموزًا مميزة من خادم التخويل. يتوجب على مالك المورد منح العميل الإذن للوصول إلى المورد.

  • خادم الموردهو المكان الذي يوجد فيه المورد أو البيانات. يثق في خادم التخويل للمصادقة بشكل آمن وتخويل عميل OAuth. كما يستخدم الرموز المميزة للوصول إلى المالك لضمان إمكانية منح حق الوصول إلى مورد.

نهج وتدفقات المستخدم

يوسع عميل متاجرة مستهلك Azure AD مقياس بروتوكولات اتصال OAuth 2.0 وOpenID من خلال إدخال النهج. تسمح هذه لمتاجرة عمل مستهلك Azure AD بتنفيذ أكثر بكثير من المصادقة والتخويل البسيط.

لإعداد مهام الهوية الأكثر شيوعًا، يتضمن مدخل متاجرة عمل-مستهلك Azure AD نُهجًا معرفة مسبَقًا وقابلة للتكوين، والتي تسمىتدفقات المستخدم. تصف تدفقات المستخدم بشكل كامل تجارب هوية المستهلك، بما في ذلك الاشتراك وتسجيل الدخول وتحرير ملف التعريف. يمكن تعريف التدفقات الخاصة بالمستخدم في واجهة مستخدم إدارية. يمكن تنفيذها من خلال استخدام معلمة استعلام خاصة في طلبات مصادقة HTTP.

لا تعد نهج وتدفقات المستخدمين ميزات قياسية لاتصال OAuth 2.0 وOpenID، لذا يجب أن تستغرق بعض الوقت لفهمها. للمزيد من المعلومات، يرجى مراجعةدليل مرجع تدفق مستخدم متاجرة عمل مستهلك Azure AD.

الرموز المميزة

يؤدي تطبيق اتصال OAuth 2.0 وOpenID الخاص بمتاجرة عمل مستهلك Azure AD إلى استخدام واسع للرموز المميزة للمالك، بما في ذلك الرموز المميزة للمالك التي يتم تمثيلها JSON (JWTs) المميزة للويب. الرمز المميز للمالك هو رمز أمان مميز خفيف يمنح "المالك" حق الوصول إلى مورد محمي.

المالك هو أي جهة يمكن أن تقدم الرمز المميز. يجب أن يقوم Microsoft Azure Active Directory B2C أولاً بمصادقة الجهة قبل أن تتمكن من تلقي رمز مميز لمالكها. ولكن إذا لم يتم اتخاذ الخطوات المطلوبة لتأمين الرمز المميز في النقل والتخزين، يمكن اعتراضه واستخدامه من قبل جهة غير مرغوب فيها.

تحتوي بعض رموز الأمان المميزة على آليات مضمنة تمنع الأطراف غير المصرح لها من استخدامها، ولكن لا تحتوي الرموز المميزة لمالكها على هذه الآلية. يتوجب نقلها في قناة آمنة، مثل أمان طبقة النقل (HTTPS).

إذا تم نقل رمز مميز للمالك خارج قناة آمنة، يمكن لجهة ضارة أن تستخدم الهجوم الوسيط للحصول على الرمز المميز واستخدامه للوصول غير المصرح به إلى مورد محمي. تنطبق نفس مبادئ الأمان عند تخزين الرموز المميزة لمالكها أو تخزينها مؤقتًا لاستخدامها لاحقًا. تأكد دائمًا من أن تطبيقك ينقل ويخزن الرموز المميزة لمالكها بطريقة آمنة.

للمزيد من اعتبارات الأمان بشأن الرموز المميزة للمالك، يرجى مراجعةRFC 6750 قسم 5.

تتوفر المزيد من المعلومات حول أنواع مختلفة من الرموز المميزة المستخدمة في Microsoft Azure Active Directory B2C فيمرجع الرمز المميز لـ Microsoft Azure Active Directory B2C.

البروتوكولات

عندما تكون مستعدًا لتقييم بعض طلبات الأمثلة، يمكنك البدء بأحد البرامج التعليمية التالية. تتوافق كل واحدة مع سيناريو مصادقة معينة. إذا كنت بحاجة إلى مساعدة في تحديد التدفق المناسب لك، فتحقق من أنواع التطبيقات التي يمكنك إنشاؤها باستخدام Azure AD B2C.