Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen

OpenID Connect zur Integration in Identitätsanbieter

OpenID Connect (OIDC) integriert Qlik Cloud mit Identitätsanbietern und fügt dem OAuth 2.0-Protokoll eine weitere Ebene zur Authentifizierung von Benutzern hinzu. Dies ermöglicht ein sicheres Single Sign-On (SSO), bei dem sich die Benutzer einmal anmelden und ohne wiederholte Authentifizierung auf mehrere Anwendungen und Websites zugreifen können.

OAuth 2.0 und OIDC

OAuth 2.0 ist für die Autorisierung konzipiert. Es ermöglicht einer Anwendung, einer anderen Anwendung Zugriff auf ihre Daten oder Funktionen zu gewähren, indem ein sicheres Token verwendet wird, anstatt Benutzer-Anmeldedaten offenzulegen. Dieses Token bietet eingeschränkten Zugriff und stellt sicher, dass Sie nur Informationen weitergeben, deren Weitergabe Sie bereits zugestimmt haben. Sie haben die Möglichkeit, das Token jederzeit zurückzuziehen.

OAuth 2.0 enthält keine Informationen zur Identität des Benutzers. OpenID Connect (OIDC) erweitert die Funktionalität durch die Einführung von ID-Token, die Anmeldedetails und Profilinformationen der Benutzer enthalten. Diese Token ermöglichen verschiedenen Clients (webbasierten, mobilen, Javascript- und anderen Clients) das Überprüfen der Identität des Benutzers, gestützt auf die von einem Autorisierungsserver durchgeführte Authentifizierung. Clients können auch grundlegende Profilinformationen des Benutzers anfordern.

Eine Einführung in OAuth und OIDC finden Sie in diesem Video: An Illustrated Guide to OAuth and OpenID Connect.

ID-Token

ID-Token, die in OpenID Connect (OIDC) verwendet werden, dienen der Authentifizierung von Benutzern und enthalten detaillierte Benutzerinformationen wie Identität und Profildetails. Diese Token werden in der Regel als JSON Web Token (JWT) formatiert, die verschiedene Signatur- und Verschlüsselungsalgorithmen unterstützen.

ID-Token enthalten Claims – Daten über den Benutzer, wie z. B. seine ID, seinen Namen, die Uhrzeit der Anmeldung und Hinweise auf Manipulationen. Claims in ID-Token versorgen die Anwendung mit den notwendigen Details, um die Identität des Benutzers zu überprüfen und Single Sign-On (SSO) zu ermöglichen. Die OIDC-Spezifikation definiert einen Standardsatz von Claims , einschließlich Name, E-Mail, Geschlecht und Geburtsdatum. Benutzerdefinierte Claims können hinzugefügt werden, um bei Bedarf zusätzliche Benutzerinformationen einzuschließen. ID-Token werden vom Autorisierungsserver nach erfolgreicher Authentifizierung des Benutzers ausgestellt und über OAuth 2.0-Flows abgerufen. Sie sind sowohl für Web- als auch für mobile Anwendungen geeignet.

Zum Schutz vertraulicher Daten wie z. B. personenbezogenen Daten können Sie verschlüsselte ID-Tokens verwenden. Durch die Verschlüsselung werden unberechtigter Zugriff verhindert und Datenschutz und Sicherheit gewährleistet.

Zugriffstoken

Zugriffstoken werden in OAuth 2.0 zur Autorisierung verwendet. Sie ermöglichen einer Anwendung den Zugriff auf bestimmte Daten oder Funktionen im Namen des Benutzers. Ein Zugriffstoken kann als JSON Web Token (JWT) oder als Nicht-JWT-Token formatiert werden. Es dient als Berechtigungsnachweis, der die API über die Zustimmung des Benutzers und die erteilten Berechtigungen informiert. Im Gegensatz zu ID-Token enthalten Zugriffstoken keine Informationen zur Identität des Benutzers; sie gewähren lediglich Zugriff auf bestimmte Ressourcen.

OpenID Connect-Spezifikation

Die OpenID Connect 1.0-Spezifikation besteht aus mehreren Dokumenten, die die Kernfunktionen und optionalen Funktionen definieren. Qlik unterstützt diese Spezifikation, unterstützt aber möglicherweise nicht alle herstellerspezifischen Implementierungen. Qlik kann jedoch praktische Konfigurationen für beliebte Plattformen zur Identitätsverwaltung bereitstellen.

Die wichtigsten Dokumente der Spezifikation sind:

  • OpenID Connect Core: Definiert die Kernfunktionen von OIDC, einschließlich der auf OAuth 2.0 basierenden Authentifizierung und der Verwendung von Claims zur Weitergabe von Benutzerinformationen.
  • OpenID Connect Discovery (optional): Definiert, wie Clients dynamisch Informationen über OpenID-Anbieter erkennen.
  • OpenID Connect Dynamic Client Registrierung (optional): Definiert, wie sich Clients dynamisch bei OpenID-Anbietern registrieren.
  • OAuth 2.0 Multiple Response Types: Definiert spezifische neue OAuth 2.0-Antworttypen.
  • OAuth 2.0 Form Post Response Mode (optional): Definiert, wie OAuth 2.0-Autorisierungsantwortparameter anhand von HTML-Formularwerten zurückgegeben werden, die automatisch über HTTP POST gesendet werden.
  • OpenID Connect Session Management (optional): Definiert, wie OIDC-Sitzungen verwaltet werden, darunter postMessage-basierte Abmeldung und RP-initiierte Abmeldung.
  • OpenID Connect Front-Channel Logout (optional): Definiert einen Front-Channel-Abmeldemechanismus, der keinen OP-iFrame auf RP-Seiten verwendet.
  • OpenID Connect Back-Channel Logout (optional): Definiert einen Abmeldemechanismus, der direkte Back-Channel-Kommunikation zwischen dem OP und den abgemeldeten RPs verwendet.
  • OpenID Connect Federation (optional): Definiert, wie Sätze von OPs und RPs über einen Verbundoperator eine vertrauenswürdige Beziehung festlegen können.

Um auf diese Dokumente zuzugreifen, gehen Sie zu Willkommen bei OpenID Connect.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Geben Sie hier Ihr Feedback ab