"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "mitä-iam-on", "hProperties": { "id": "mitä-iam-on" } }, "depth": 2, "value": "Mitä IAM on?" }, { "data": { "id": "todennus-vs-valtuutus", "hProperties": { "id": "todennus-vs-valtuutus" } }, "depth": 3, "value": "Todennus vs. valtuutus" }, { "data": { "id": "oauth", "hProperties": { "id": "oauth" } }, "depth": 2, "value": "OAuth" }, { "data": { "id": "openid-connect-oidc", "hProperties": { "id": "openid-connect-oidc" } }, "depth": 2, "value": "OpenID Connect (OIDC)" }, { "data": { "id": "esimerkkitilanne-kirjaudu-sisään-googlella", "hProperties": { "id": "esimerkkitilanne-kirjaudu-sisään-googlella" } }, "depth": 3, "value": "Esimerkkitilanne: \"Kirjaudu sisään Googlella\"" }, { "data": { "id": "saml", "hProperties": { "id": "saml" } }, "depth": 2, "value": "SAML" }, { "data": { "id": "miten-saml-vertautuu-oidchen", "hProperties": { "id": "miten-saml-vertautuu-oidchen" } }, "depth": 3, "value": "Miten SAML vertautuu OIDC:hen?" }, { "data": { "id": "kertakirjautuminen-sso", "hProperties": { "id": "kertakirjautuminen-sso" } }, "depth": 2, "value": "Kertakirjautuminen (SSO)" }, { "data": { "id": "miten-sso-toimii", "hProperties": { "id": "miten-sso-toimii" } }, "depth": 3, "value": "Miten SSO toimii?" }, { "data": { "id": "oidc-pohjaisen-sson-esimerkki", "hProperties": { "id": "oidc-pohjaisen-sson-esimerkki" } }, "depth": 4, "value": "OIDC-Pohjaisen SSO:n Esimerkki" }, { "data": { "id": "yritys-sso", "hProperties": { "id": "yritys-sso" } }, "depth": 3, "value": "Yritys SSO" }, { "data": { "id": "esimerkki-enterprise-sso--toimittajan-lisääminen", "hProperties": { "id": "esimerkki-enterprise-sso--toimittajan-lisääminen" } }, "depth": 4, "value": "Esimerkki: Enterprise SSO -toimittajan lisääminen" }, { "data": { "id": "jwt", "hProperties": { "id": "jwt" } }, "depth": 2, "value": "JWT" }, { "data": { "id": "yhteenveto", "hProperties": { "id": "yhteenveto" } }, "depth": 2, "value": "Yhteenveto" }]; const readingTime = { "minutes": 5, "words": 1436, "text": "5 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", em: "em", h2: "h2", h3: "h3", h4: "h4", hr: "hr", li: "li", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton, Note} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://auth.wiki/iam", children: "Identiteetin ja pääsynhallinnan (IAM)" }), " alue on kehittynyt monimutkaisemmaksi viime vuosien aikana. Hienot termit kuten ", _jsx(_components.a, { href: "https://auth.wiki/oauth", children: "OAuth" }), ", ", _jsx(_components.a, { href: "https://auth.wiki/openid-connect", children: "OpenID Connect (OIDC)" }), ", ", _jsx(_components.a, { href: "https://auth.wiki/saml", children: "SAML" }), ", ", _jsx(_components.a, { href: "https://auth.wiki/single-sign-on", children: "SSO" }), " ja ", _jsx(_components.a, { href: "https://auth.wiki/jwt", children: "JWT" }), " ovat usein käytössä, mutta mitä ne tarkoittavat? Miten ne toimivat yhdessä? Tutkitaan näitä käsitteitä ja kehyksiä, jotta ne olisivat helpommin ymmärrettäviä ja käytännöllisiä."] }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Jokaista näistä protokollista ja kehyksistä voidaan tarkastella syvällisemmin. Tämä artikkeli pyrkii tarjoamaan perustavanlaatuisen ymmärryksen. Yksityiskohtaisempia oivalluksia kunkin aiheen osalta löydät ", _jsx(_components.a, { href: "https://auth.wiki", children: "Auth Wiki" }), " -sivustolta."] }) }), "\n", _jsxs(_components.h2, { id: "mitä-iam-on", children: ["Mitä IAM on?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#mitä-iam-on", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Identiteetin ja pääsynhallinta (IAM) on laaja käsite, joka käsittää digitaalisten ", _jsx(_components.strong, { children: "identiteettien" }), " hallinnan ja ", _jsx(_components.strong, { children: "pääsynhallinnan" }), " toteuttamisen. Aiemmin mainitut kehykset ja protokollat kuuluvat IAM:iin, ja kukin niistä käsittelee erityisiä haasteita tällä alueella."] }), "\n", _jsx(_components.p, { children: "Ytimessä IAM tarkoittaa:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Identiteetti" }), ": Käyttäjän, palvelun tai laitteen digitaalinen esitys. Identiteetti sisältää yleensä ominaisuuksia kuten nimen, sähköpostin, roolit jne. kuvaamaan entiteettiä."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Pääsy" }), ": Kyky vuorovaikuttaa resurssien kanssa, suorittaa toimintoja tai käyttää palveluita. Pääsy määrittelee, mitä toimia voidaan suorittaa missä resursseissa."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n subgraph User\n Name\n Email\n Role\n end\n\n API\n\n User -->|GET| API\n" }) }), "\n", _jsxs(_components.p, { children: ["Yllä olevassa kaaviossa käyttäjä (identiteetti) haluaa suorittaa ", _jsx(_components.code, { children: "GET" }), "-pyynnön API:ssa (resurssi). Käyttäjän ominaisuudet - nimi, sähköposti ja rooli - kuvaavat identiteettiä."] }), "\n", _jsxs(_components.h3, { id: "todennus-vs-valtuutus", children: ["Todennus vs. valtuutus", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#todennus-vs-valtuutus", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Todennus ja valtuutus esiintyvät usein yhdessä IAM-keskusteluissa. Selvennetään niiden määritelmät:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Todennus" }), ": Prosessi, jossa vahvistetaan identiteetin omistajuus. Se vastaa kysymykseen, \"Mikä identiteetti sinulla on?\""] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Valtuutus" }), ": Prosessi, jossa määritetään, mitä toimia todennettu identiteetti voi suorittaa resurssilla. Se vastaa kysymykseen, \"Mitä voit tehdä?\""] }), "\n"] }), "\n", _jsx(Note, { title: "Mikä ero on valtuutuksella ja pääsynhallinnalla?", children: _jsxs(_components.p, { children: ["Valtuutus on osa pääsynhallintaa. Pääsynhallinta on laajempi käsite, joka sisältää valtuutuksen ja muita rajoituksia. Lisätietoja saat ", _jsx(_components.a, { href: "https://auth.wiki/access-control", children: "pääsynhallinnasta" }), "."] }) }), "\n", _jsx(_components.p, { children: "Aikaisemmassa esimerkissä:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Ennen kuin käyttäjä (identiteetti) voi suorittaa mitään toimia, hänen on suoritettava ", _jsx(_components.strong, { children: "todennusprosessi" }), "."] }), "\n", _jsxs(_components.li, { children: ["Todennuksen jälkeen järjestelmän on määritettävä, voiko käyttäjä suorittaa ", _jsx(_components.code, { children: "GET" }), "-pyynnön (toiminta) API:ssa (resurssi), eli suoritettava ", _jsx(_components.strong, { children: "valtuutusprosessi" }), "."] }), "\n"] }), "\n", _jsx(_components.hr, {}), "\n", _jsx(_components.p, { children: "Tämän perustiedon varustamana, pureudutaan muihin lyhenteisiin ja protokolliin." }), "\n", _jsxs(_components.h2, { id: "oauth", children: ["OAuth", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#oauth", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://auth.wiki/oauth-2.0", children: "OAuth 2.0" }), ", jota usein kutsutaan OAuthiksi, on ", _jsx(_components.strong, { children: "valtuutus" }), "kehys, joka mahdollistaa sovelluksen pääsyn suojattuihin resursseihin toisessa sovelluksessa (tyypillisesti käyttäjän puolesta)."] }), "\n", _jsxs(_components.p, { children: ["Esimerkiksi, kuvittele, että sinulla on verkkosovellus nimeltä ", _jsx(_components.em, { children: "MyApp" }), ", joka haluaa päästä käsiksi käyttäjän Google Driveen. Sen sijaan, että pyytäisit käyttäjää jakamaan Google Driven kirjautumistietoja, ", _jsx(_components.em, { children: "MyApp" }), " voi käyttää OAuth 2.0:aa pyytääkseen lupaa (", _jsx(_components.strong, { children: "valtuutus" }), ") Googlen kautta päästäkseen käyttäjän Driveen."] }), "\n", _jsx(_components.p, { children: "Tässä on yksinkertaistettu kaavio, joka havainnollistaa OAuthin kulkua:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n autonumber\n actor User\n participant MyApp\n participant Google\n\n User->>MyApp: Open MyApp and
click \"Connect Google Drive\"\n MyApp->>Google: Redirect to Google
with authorization request\n Google->>User: Prompt for Google login\n User->>Google: Log in\n Google->>User: Ask for permission to
access Google Drive\n User->>Google: Grant access to MyApp\n Google->>MyApp: Redirect to MyApp
with an access token\n MyApp->>Google: Use access token to
access Google Drive\n" }) }), "\n", _jsx(_components.p, { children: "Tässä kulussa:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.em, { children: "MyApp" }), " on asiakas (identiteetti), joka pyytää pääsyä Google Driveen (resurssi)."] }), "\n", _jsxs(_components.li, { children: ["Käyttäjä (resurssin omistaja) antaa ", _jsx(_components.em, { children: "MyApp" }), "-sovellukselle luvan kohdassa 6, mikä täydentää ", _jsx(_components.strong, { children: "valtuutusprosessin" }), "."] }), "\n"] }), "\n", _jsx(Note, { children: _jsx(_components.p, { children: "OAuth 2.0 ei määrittele, miten käyttäjät todentavat itsensä Googleen (vaiheet 3 ja 4). Tämä näkökohta jätetään Googlen toteutettavaksi." }) }), "\n", _jsxs(_components.p, { children: ["Keskeinen elementti OAuth 2.0:ssa on ", _jsx(_components.strong, { children: "pääsytunnus" }), ", jota asiakas käyttää osoittamaan käyttäjän valtuutuksen päästä resursseihin. Tutustu tarkemmin, katso ", _jsx(_components.a, { href: "https://auth.wiki/access-token", children: "Pääsytunnus" }), "."] }), "\n", _jsxs(_components.h2, { id: "openid-connect-oidc", children: ["OpenID Connect (OIDC)", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#openid-connect-oidc", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://auth.wiki/openid-connect", children: "OpenID Connect (OIDC)" }), " on ", _jsx(_components.strong, { children: "todennus" }), "kerros, joka on rakennettu OAuth 2.0:n päälle. Se lisää erityisesti todennukseen liittyviä ominaisuuksia, kuten ", _jsx(_components.a, { href: "https://auth.wiki/id-token", children: "ID-tunnuksia" }), " ja ", _jsx(_components.a, { href: "https://auth.wiki/userinfo-endpoint", children: "UserInfo-päätepisteen" }), ", mikä tekee siitä soveltuvan sekä todennukseen että valtuutukseen."] }), "\n", _jsxs(_components.p, { children: ["Jos palaamme OAuth-kulkuihin, OIDC:n lisääminen tuo mukanaan ", _jsx(_components.strong, { children: "ID-tunnuksen" }), ". Tämä tunnus sisältää tietoa todennetusta käyttäjästä ja mahdollistaa MyAppin varmistaa käyttäjän identiteetin."] }), "\n", _jsxs(_components.h3, { id: "esimerkkitilanne-kirjaudu-sisään-googlella", children: ["Esimerkkitilanne: \"Kirjaudu sisään Googlella\"", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#esimerkkitilanne-kirjaudu-sisään-googlella", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Vaihdetaan esimerkkiä. Jos MyApp haluaa sallia käyttäjien kirjautua sisään Google-tilejään käyttäen, tavoite vaihtuu todennukseen pikemminkin kuin resurssipääsyyn. Tässä tapauksessa OIDC sopii paremmin. Tässä on OIDC-kulku:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n autonumber\n actor User\n participant MyApp\n participant Google\n\n User->>MyApp: Click \"Sign in with Google\"\n MyApp->>Google: Redirect with authentication request\n Google->>User: Prompt for Google login\n User->>Google: Log in\n Google->>User: Request permission to
share user info\n User->>Google: Grant permission\n Google->>MyApp: Redirect to MyApp
with ID and access tokens\n MyApp->>MyApp: Verify and extract user
info from ID token\n" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.strong, { children: "Keskeinen ero" }), ": Pääsytunnuksen lisäksi OIDC tarjoaa ", _jsx(_components.strong, { children: "ID-tunnuksen" }), ", joka mahdollistaa MyAppin todentaa käyttäjän ilman lisäpäästöjä."] }), "\n", _jsxs(_components.p, { children: ["OIDC jakaa OAuth 2.0:n ", _jsx(_components.a, { href: "https://auth.wiki/oauth-2.0-grant", children: "valtuutusmyönnöt" }), " varmistaen yhteensopivuuden ja johdonmukaisuuden kehysten välillä."] }), "\n", _jsxs(_components.h2, { id: "saml", children: ["SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://auth.wiki/saml", children: "Security Assertion Markup Language (SAML)" }), " on XML-pohjainen kehys ", _jsx(_components.strong, { children: "todennus" }), "- ja ", _jsx(_components.strong, { children: "valtuutustietojen" }), " vaihtamiseksi osapuolten välillä. SAML, joka otettiin käyttöön 2000-luvun alussa, on laajasti omaksuttu yritysympäristöissä."] }), "\n", _jsxs(_components.h3, { id: "miten-saml-vertautuu-oidchen", children: ["Miten SAML vertautuu OIDC:hen?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#miten-saml-vertautuu-oidchen", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "SAML ja OIDC ovat toiminnallisesti samanlaisia, mutta niiden toteutustavat eroavat toisistaan:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "SAML" }), ": Käyttää XML-pohjaisia ilmoituksia ja sitä pidetään usein monimutkaisempana."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "OIDC" }), ": Hyödyntää JSONia ja JWT:tä, mikä tekee siitä kevyemmän ja kehittäjäystävällisemmän."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Modernit sovellukset suosivat usein OIDC:tä sen yksinkertaisuuden ja joustavuuden vuoksi, mutta SAML on edelleen yleinen perinnesysteemeissä ja yrityskäytöissä." }), "\n", _jsxs(_components.h2, { id: "kertakirjautuminen-sso", children: ["Kertakirjautuminen (SSO)", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#kertakirjautuminen-sso", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://auth.wiki/sso", children: "Kertakirjautuminen (SSO)" }), " on ", _jsx(_components.strong, { children: "todennusjärjestelmä" }), ", joka mahdollistaa käyttäjien pääsyn useisiin sovelluksiin ja palveluihin yhdellä kirjautumistunnuksella. Sen sijaan, että kirjautuisi kunkin sovelluksen erikseen, käyttäjä kirjautuu kerran ja saa pääsyn kaikkiin liitettyihin järjestelmiin."] }), "\n", _jsxs(_components.h3, { id: "miten-sso-toimii", children: ["Miten SSO toimii?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#miten-sso-toimii", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["SSO luottaa keskitettyyn ", _jsx(_components.a, { href: "https://auth.wiki/identity-provider", children: "identiteettitoimittajaan (IdP)" }), " käyttäjien identiteettien hallinnassa. IdP todentaa käyttäjän ja tarjoaa palveluja, kuten todennuksen ja valtuutuksen liitetyille sovelluksille."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n User --> AppA\n User --> AppB\n AppA <--> IdP[Identity Provider]\n AppB <--> IdP\n User -->|SSO| IdP\n" }) }), "\n", _jsx(_components.p, { children: "IdP voi käyttää protokollia, kuten OIDC:tä, OAuth 2.0:aa, SAML:ia tai muita tarjotakseen näitä palveluja. Yksi IdP voi tukea useita protokollia vastatakseen eri sovellusten monimutkaisiin tarpeisiin." }), "\n", _jsxs(_components.h4, { id: "oidc-pohjaisen-sson-esimerkki", children: ["OIDC-Pohjaisen SSO:n Esimerkki", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#oidc-pohjaisen-sson-esimerkki", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Tutkitaan esimerkki OIDC-pohjaisesta SSO:sta:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n actor User\n participant AppA\n participant AppB\n participant IdP\n\n User->>AppA: Access Application A\n AppA->>IdP: Redirect to IdP\n IdP->>User: Prompt for credentials\n User->>IdP: Provide credentials\n IdP->>AppA: Send ID token\n AppA->>User: Grant access\n User->>AppB: Access Application B\n AppB->>IdP: Redirect to IdP\n IdP->>IdP: User already authenticated\n IdP->>AppB: Send ID token\n AppB->>User: Grant access\n" }) }), "\n", _jsx(_components.p, { children: "Tässä kulussa käyttäjä kirjautuu IdP:hen kerran ja todennetaan useissa sovelluksissa (AppA ja AppB)." }), "\n", _jsxs(_components.h3, { id: "yritys-sso", children: ["Yritys SSO", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#yritys-sso", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Vaikka SSO on laaja käsite, saatat törmätä myös termiin ", _jsx(_components.a, { href: "https://auth.wiki/enterprise-sso", children: "yritys SSO" }), ", joka viittaa tietyn tyyppiseen SSO:hon, joka on suunniteltu yritysympäristöihin (tyypillisesti työntekijöille ja kumppaneille)."] }), "\n", _jsx(_components.p, { children: "Kun asiakas pyytää SSO:ta sovelluksellesi, on tärkeää selvittää heidän tarpeensa ja käytössä olevat protokollat. Useimmissa tapauksissa tämä tarkoittaa, että tiettyjä sähköpostidomaineja varten he haluavat, että sovelluksesi ohjaa käyttäjät heidän IdP:hen (joka toteuttaa yritys SSO:n) todennustusta varten." }), "\n", _jsxs(_components.h4, { id: "esimerkki-enterprise-sso--toimittajan-lisääminen", children: ["Esimerkki: Enterprise SSO -toimittajan lisääminen", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#esimerkki-enterprise-sso--toimittajan-lisääminen", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Tässä on yksinkertaistettu esimerkki Enterprise SSO -toimittajan (Banana) integroimisesta sovelluksesi (MyApp) kanssa:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n actor User\n participant MyApp\n participant IdP as MyApp IdP\n participant Banana as Banana IdP\n\n User->>MyApp: Click \"Sign in\"\n MyApp->>IdP: Redirect to IdP\n IdP->>User: Prompt for credentials\n User->>IdP: Provide Banana email\n IdP->>Banana: Redirect to Banana IdP\n Banana->>User: Prompt for credentials\n User->>Banana: Provide credentials\n Banana->>IdP: Send response\n IdP->>MyApp: Send response\n MyApp->>User: Grant access to MyApp and display user data\n" }) }), "\n", _jsx(Note, { title: "Tiesitkö?", children: _jsx(_components.p, { children: "Ohjaaminen IdP:hen on yleinen malli SSO-kulkuun. Tämä lähestymistapa mahdollistaa IdP:n ylläpitää keskeistä kohtaa käyttäjäistunnoille tarjoamalla todennus- ja valtuutuspalveluja useille sovelluksille." }) }), "\n", _jsxs(_components.h2, { id: "jwt", children: ["JWT", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#jwt", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://auth.wiki/jwt", children: "JSON Web Token (JWT)" }), " on avoin standardi, joka on määritelty RFC 7519:ssä ja joka mahdollistaa turvallisen viestinnän kahden osapuolen välillä. Se on standardiformaatti ID-tunnuksille OIDC:ssä ja sitä käytetään laajalti OAuth 2.0:n pääsytunnuksille."] }), "\n", _jsx(_components.p, { children: "Tässä ovat JWT:n keskeiset ominaisuudet:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Kompakti" }), ": JWT:t ovat JSON-objekteja, jotka on koodattu kompaktiin muotoon, mikä tekee niistä helppoja siirtää ja tallentaa."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Omavarainen" }), ": JWT:t sisältävät kaikki tarvittavat tiedot käyttäjästä ja itse tunnuksesta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Varmennettavissa ja kryptattavissa" }), ": JWT:t voidaan allekirjoittaa ja salata tietojen eheydestä ja luottamuksellisuudesta huolehtimiseksi."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Tyypillinen JWT näyttää tältä:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { children: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJmb28iLCJuYW1lIjoiSm9obiBEb2UifQ.XM-XSs2Lmp76IcTQ7tVdFcZzN4W_WcoKMNANp925Q9g\n" }) }), "\n", _jsx(_components.p, { children: "Tämä JWT koostuu kolmesta osasta, jotka on erotettu pisteillä:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { children: "{{header}}.{{payload}}.{{signature}}\n" }) }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Header" }), ": Sisältää metatietoja tunnuksesta, kuten tunnuksen tyyppi ja allekirjoitusalgoritmi."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Payload" }), ": Sisältää tietoa identiteetistä ja itse tunnuksesta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Signature" }), ": Varmistaa tunnuksen eheyden."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Sekä header että payload ovat base64-koodattuja JSON-objekteja. Yllä oleva JWT voidaan dekoodata seuraavasti:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-jsonc", children: "// Header\n{\n \"alg\": \"HS256\",\n \"typ\": \"JWT\"\n}\n// Payload\n{\n \"sub\": \"foo\",\n \"name\": \"John Doe\"\n}\n" }) }), "\n", _jsxs(_components.p, { children: ["JWT:n avulla asiakas voi dekoodata tunnuksen ja poimia käyttäjän tiedot ilman lisäkyselyitä identiteettitoimittajalle. Lisätietoja JWT:stä saat ", _jsx(_components.a, { href: "https://auth.wiki/jwt", children: "JSON Web Token (JWT)" }), "."] }), "\n", _jsxs(_components.h2, { id: "yhteenveto", children: ["Yhteenveto", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#yhteenveto", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Olemme kattaneet paljon tietoa tässä artikkelissa. Tehdään yhteenveto tärkeimmistä kohdista esimerkin avulla:" }), "\n", _jsxs(_components.p, { children: ["Kuvittele, että sinulla on verkkosovellus, AppA, joka tarvitsee ", _jsx(_components.strong, { children: "identiteetin ja pääsynhallinnan (IAM)" }), " ratkaisun. Valitset ", _jsx(_components.strong, { children: "Logto" }), "-nimisen identiteettitoimittajan, joka käyttää ", _jsx(_components.strong, { children: "OpenID Connectiä (OIDC)" }), " todennukseen. Koska OIDC perustuu ", _jsx(_components.strong, { children: "OAuth 2.0" }), ":aan, Logto tukee myös valtuutusta sovelluksellesi."] }), "\n", _jsxs(_components.p, { children: ["Vähentääksesi kitkaa käyttäjillesi, otat Logtossa käyttöön \"Kirjaudu sisään Googlella\". Tämä käyttää ", _jsx(_components.strong, { children: "OAuth 2.0" }), ":aa vaihtaakseen valtuutustietoja ja käyttäjätietoja Logton ja Googlen välillä."] }), "\n", _jsxs(_components.p, { children: ["Kun käyttäjä kirjautuu AppA:han Logton kautta, AppA saa ID-tunnuksen, joka on ", _jsx(_components.strong, { children: "JSON Web Token (JWT)" }), ", joka sisältää käyttäjän tiedot."] }), "\n", _jsxs(_components.p, { children: ["Kun liiketoimintasi kasvaa, lanseeraat uuden sovelluksen, AppB, joka tarvitsee myös käyttäjän todennuksen. Koska Logto on jo asennettu, voit käyttää samaa todennusprosessia AppB:lle. Käyttäjäsi voivat nyt kirjautua sekä AppA:han että AppB:hen yhdellä kirjautumistunnuksella, joka tunnetaan nimellä ", _jsx(_components.strong, { children: "kertakirjautuminen (SSO)" }), "."] }), "\n", _jsxs(_components.p, { children: ["Myöhemmin liikekumppani pyytää sinua yhdistämään heidän yritys SSO-järjestelmänsä, joka käyttää ", _jsx(_components.strong, { children: "Security Assertion Markup Language (SAML)" }), ":ia. Huomaat, että Logto tukee SAML-yhteyksiä, joten asetat yhteyden Logton ja kumppanin SSO-järjestelmän välillä. Näin käyttäjät kumppaniorganisaatiosta voivat myös kirjautua AppA:han ja AppB:hen olemassa olevilla kirjautumistiedoillaan."] }), "\n", _jsx(_components.hr, {}), "\n", _jsxs(_components.p, { children: ["Toivon, että tämä artikkeli on selventänyt nämä käsitteet sinulle. Yksityiskohtaisempia selityksiä ja esimerkkejä varten tutustu ", _jsx(_components.a, { href: "https://auth.wiki", children: "Auth Wiki" }), " -sivustoon. Jos etsit IAM-ratkaisua sovelluksellesi, harkitse hallitun palvelun, kuten ", _jsx(_components.a, { href: "https://logto.io", children: "Logto" }), ", käyttöä säästääksesi aikaa ja vaivaa."] }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }