OpenID Connect (OIDC) se usa para integración de Qlik Cloud con proveedores de identidad. OIDC es una capa de identidad fina sobre el protocolo OAuth 2.0. OAuth 2.0 es el protocolo estándar para autorización y OIDC el protocolo estándar para autenticación de usuarios. Juntos, estos dos protocolos le permiten acceder a múltiples aplicaciones y sitios web de manera segura, sin tener que iniciar sesión varias veces, a través de Inicio de sesión único (SSO).
OAuth 2.0 está diseñado solo para otorgar autorización. Puede otorgar acceso a datos y características de una aplicación a otra, proporcionando una clave al cliente solicitante. Al usar una clave, no tiene que revelar sus credenciales. En su lugar, reutiliza sus credenciales con una aplicación donde ya es un usuario registrado, por ejemplo, un proveedor de correo electrónico. La clave garantiza que solo se comparta información que haya acordado compartir. También puede retirar la clave cuando lo desee.
La clave es útil pero no proporciona ninguna información sobre usted como usuario. OIDC agrega funcionalidad en cuanto al inicio de sesión y la información de perfil sobre la persona que inició sesión mediante tokens de ID. OIDC permite que diferentes clientes (basados en web, móviles, Javascript y otros) verifiquen la identidad del usuario en función de la autenticación realizada por un servidor de autorización. Los clientes también pueden solicitar información básica de perfil sobre el usuario.
Para una introducción a OAuth y OpenID Connect, consulte el siguiente vídeo: An Illustrated Guide to OAuth and OpenID Connect.
Tokens de ID
OpenID Connect utiliza tokens de identificación que simplifican la integración y admiten una amplia variedad de aplicaciones.
Un token de ID es una cadena de caracteres con un formato específico conocido como JSON Web Token o JWT. Los JWT son versátiles y admiten una variedad de algoritmos de firma y cifrado. Los clientes pueden extraer información incrustada en JWT: ID, nombre, cuando inició sesión, vencimiento del token ID y si ha habido intentos de alterar el JWT. Los datos dentro del token de ID se denominan notificaciones.
Como se mencionó anteriormente, los clientes usan flujos OAuth 2.0 para obtener tokens de identificación, que funcionan con aplicaciones web y aplicaciones móviles nativas.
Tokens de acceso
Además de los tokens de ID, hay tokens de acceso: credenciales que una aplicación puede usar para acceder a una API. Un token de acceso puede ser un token JWT o no JWT. El token se usa para informar a la API que el portador de este token tiene acceso a la API.
Notificaciones
Los tokens JWT contienen notificaciones, que son declaraciones (como nombre o dirección de correo electrónico) sobre una entidad (generalmente, el usuario) y metadatos adicionales.
La especificación OIDC define un conjunto de notificaciones estándar. El conjunto de notificaciones estándar incluye lo más relevante: nombre, correo electrónico, sexo, fecha de nacimiento y más. Si deseara recopilar información sobre un usuario que no figura en una notificación estándar, puede crear notificaciones personalizadas y agregarlas a sus tokens.
La especificación OpenID Connect
La especificación OpenID Connect 1.0 consta de los siguientes documentos. Qlik admite esta especificación, no toda la implementación específica del proveedor personalizado de la especificación. Qlik puede optar por agregar una configuración conveniente para nuestros clientes para productos y plataformas de gestión de identidad populares.
- Core: Define la funcionalidad central de OpenID Connect: autenticación construida sobre OAuth 2.0 y el uso de notificaciones para comunicar información sobre el usuario
- Discovery (Opcional): Define cómo descubren los clientes información dinámicamente sobre proveedores de OpenID
- Dynamic Registration (Opcional): Define cómo se registran dinámicamente los clientes con proveedores de OpenID
- OAuth 2.0 Multiple Response Types: Define varios tipos de respuesta nuevos específicos de OAuth 2.0
- OAuth 2.0 Form Post Response Mode (Opcional): Define cómo devolver los parámetros de respuesta de autorización de OAuth 2.0 (incluidos los parámetros de respuesta de autenticación OpenID Connect) utilizando valores de formulario HTML que el agente de usuario envía automáticamente mediante HTTP POST
- Session Management (Opcional): Define cómo administrar las sesiones OpenID Connect, incluidas las funciones de cierre de sesión basadas en postMessage y cierre de sesión iniciado por RP
- Front-Channel Logout (Opcional): Define un mecanismo de cierre de sesión de canal frontal que no utiliza un iframe OP en páginas RP
- Back-Channel Logout (Opcional): Define un mecanismo de cierre de sesión que utiliza la comunicación directa de canal posterior entre el OP y los RP que se desconectan
- OpenID Connect Federation (Opcional): Define cómo los conjuntos de OP y RP pueden establecer confianza utilizando un operador de federación
Para acceder a los documentos, vaya a la página general Bienvenido a OpenID Connect.