Saltar al contenido principal Saltar al contenido complementario
Recursos de Qlik

OpenID Connect para la integración con proveedores de identidad

OpenID Connect (OIDC) integra Qlik Cloud con proveedores de identidad, añadiendo una capa de autenticación de usuarios sobre el protocolo OAuth 2.0. Esto habilita el inicio de sesión único seguro (SSO), permitiendo a los usuarios iniciar sesión una vez y acceder a múltiples aplicaciones y sitios web sin necesidad de una autenticación repetida.

OAuth 2.0 y OIDC

OAuth 2.0 está diseñado para la autorización. Permite a una aplicación conceder a otra el acceso a sus datos o características utilizando un token seguro, en lugar de exponer las credenciales de usuario. Este token proporciona un acceso limitado, garantizando que solo se comparte la información que uno ha aceptado compartir. El usuario tiene la posibilidad de retirar el token en cualquier momento.

OAuth 2.0 no incluye información sobre la identidad del usuario. OpenID Connect (OIDC) mejora esto introduciendo tokens de ID o de identificación, que contienen detalles de inicio de sesión del usuario e información de su perfil. Estos tokens permiten a diferentes clientes (web, móvil, JavaScript y otros) verificar la identidad del usuario, basándose en la autenticación realizada por un servidor de autorización. Los clientes también pueden solicitar información básica sobre el perfil del usuario.

Para una introducción a OAuth y OIDC, vea el vídeo: Guía ilustrada de OAuth y OpenID Connect.

Tokens de identificación

Los tokens de identificación o de ID, utilizados en OpenID Connect (OIDC), gestionan la autenticación de usuarios e incluyen información detallada del usuario, como detalles de identidad y perfil. Estos tokens suelen tener formato de JSON Web Tokens (JWT), que admiten diversos algoritmos de firma y cifrado.

Los tokens de identificación contienen datos sobre el usuario, como su ID, nombre*, hora de inicio de sesión e indicios de manipulación. Los tokens de identificación proporcionan a la aplicación los detalles necesarios para verificar la identidad del usuario y facilitar el inicio de sesión único (SSO). La especificación OIDC define un conjunto estándar de declaraciones, que incluye nombre, correo electrónico, género y fecha de nacimiento. Se pueden añadir declaraciones personalizadas para incluir información adicional de los usuarios según sea necesario. Emitidos por el servidor de autorización tras la autenticación correcta del usuario, los tokens de ID se obtienen a través de flujos OAuth 2.0 y son aplicables tanto a aplicaciones web como móviles.

Para proteger los datos confidenciales, como la Información personal identificable (PII), puede utilizar tokens de identificación encriptados. El cifrado ayuda a evitar el acceso no autorizado y garantiza la privacidad y la seguridad.

Tokens de acceso

Los tokens de acceso se utilizan en OAuth 2.0 para la autorización. Permiten que una aplicación acceda a datos o funciones específicos en nombre del usuario. Un token de acceso puede tener formato JSON Web Token (JWT) o no JWT. Sirve como credencial que informa a la API del consentimiento del usuario y de los permisos concedidos. A diferencia de los tokens de identificación, los tokens de acceso no incluyen información sobre la identidad del usuario; simplemente conceden acceso a los recursos especificados.

Especificación de OpenID Connect

La especificación OpenID Connect 1.0 consta de varios documentos que definen su funcionalidad básica y sus características opcionales. Qlik admite esta especificación, pero puede que no admita todas las implementaciones específicas de los proveedores. Sin embargo, Qlik puede proporcionar configuraciones convenientes para plataformas populares de gestión de identidades.

Entre los documentos clave de la especificación se incluyen:

  • OpenID Connect Core: define la funcionalidad principal de OIDC, incluida la autenticación basada en OAuth 2.0 y el uso de declaraciones para compartir información de usuario.
  • OpenID Connect Discovery (Opcional): define cómo los clientes descubren dinámicamente información sobre los proveedores de OpenID.
  • OpenID Connect Dynamic Client Registration (opcional): define cómo se registran dinámicamente los clientes con los proveedores de OpenID.
  • OAuth 2.0 Multiple Response Types: define nuevos tipos de respuesta de OAuth 2.0 específicos.
  • OAuth 2.0 Form Post Response Mode (opcional): define cómo devolver parámetros de respuesta de autorización de OAuth 2.0 utilizando valores de formulario HTML que se envían automáticamente a través de HTTP POST.
  • OpenID Connect Session Management (opcional): define cómo administrar las sesiones de OIDC, incluyendo la funcionalidad de cerrar sesión basada en postMensaje y la iniciada por RP.
  • OpenID Connect Front-Channel Logout (opcional): define un mecanismo de cierre de sesión que no utiliza un iframe OP en las páginas RP.
  • OpenID Connect Back-Channel Logout (opcional): define un mecanismo de cierre de sesión que utiliza la comunicación directa por canal de retorno entre el PO y los RP que están cerrando sesión.
  • OpenID Connect Federation (opcional): define cómo los conjuntos de OP y RP pueden establecer la fiabilidad utilizando un operador de federación.

Para acceder a estos documentos, visite Bienvenido a OpenID Connect.

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.

Deje aquí sus comentarios