Accéder au contenu principal Passer au contenu complémentaire
Ressources Qlik

OpenID Connect pour l'intégration à des fournisseurs d'identité

OpenID Connect (OIDC) intègre Qlik Cloud aux fournisseurs d'identité, ajoutant ainsi une couche d'authentification des utilisateurs en plus du protocole OAuth 2.0. Cela active l'authentification unique (SSO) sécurisée, permettant aux utilisateurs de se connecter une fois et d'accéder à plusieurs applications et sites Internet sans avoir à s'authentifier à chaque fois.

OAuth 2.0 et OIDC

Le protocole OAuth 2.0 est conçu pour l'autorisation. Il permet à une application d'autoriser une autre application à accéder à ses données ou fonctions à l'aide d'un jeton sécurisé au lieu d'exposer les informations d'identification de l'utilisateur. Ce jeton fournit un accès limité, garantissant que vous partagez uniquement des informations que vous avez accepté de partager. Vous avez la possibilité de retirer le jeton à tout moment.

OAuth 2.0 n'inclut pas les informations relatives à l'identité de l'utilisateur. OpenID Connect (OIDC) va plus loin en émettant des jetons d'ID qui contiennent les détails de connexion et les informations de profil de l'utilisateur. Ces jetons permettent à différents clients (basés sur le Web, mobiles, JavaScript, etc.) de vérifier l'identité de l'utilisateur en fonction de l'authentification effectuée par un serveur d'autorisation. Les clients peuvent également demander des informations de profil de base sur l'utilisateur.

Pour une introduction à OAuth et OIDC, regardez la vidéo : Guide illustré d'OAuth et d'OpenID Connect.

Jetons d'ID

Les jetons d'ID, utilisés dans OpenID Connect (OIDC), gèrent l'authentification de l'utilisateur et incluent des informations détaillées sur l'utilisateur telles que l'identité et les détails du profil. Ces jetons sont généralement formatés sous forme de JSON Web Tokens (JWT), qui supportent divers algorithmes de signature et de chiffrement.

Les jetons d'ID contiennent des revendications, c'est-à-dire des données sur l'utilisateur telles que son ID, son nom, l'heure de la connexion et des indications de falsification. Les revendications contenues dans les jetons d'ID fournissent à l'application les détails nécessaires pour vérifier l'identité de l'utilisateur et faciliter l'authentification unique (SSO). La spécification OIDC définit un ensemble standard de revendications incluant le nom, l'e-mail, le sexe et la date de naissance. Des revendications personnalisées peuvent être ajoutées pour inclure des informations supplémentaires sur l'utilisateur, si nécessaire. Émis par le serveur d'autorisation après une authentification réussie de l'utilisateur, les jetons d'ID sont obtenus par le biais de flux OAuth 2.0 et s'appliquent aux applications Web et mobiles.

Pour protéger les données sensibles telles que les informations personnelles identifiables (IIP), vous pouvez utiliser des jetons d'ID chiffrés. Le chiffrement permet d'empêcher tout accès non autorisé et de garantir la confidentialité et la sécurité.

Jetons d'accès

Les jetons d'accès sont utilisés dans OAuth 2.0 pour l'autorisation. Ils permettent à une application d'accéder à des données ou fonctions spécifiques au nom de l'utilisateur. Un jeton d'accès peut être formaté sous la forme d'un JSON Web Token (JWT) ou d'un jeton non JWT. Il sert d'information d'identification qui informe l'API du consentement de l'utilisateur et des autorisations accordées. Contrairement aux jetons d'ID, les access tokens n'incluent pas d'informations sur l'identité de l'utilisateur ; ils permettent simplement d'accéder à des ressources spécifiées.

Spécification OpenID Connect

La spécification OpenID Connect 1.0 se compose de plusieurs documents qui définissent ses fonctionnalités de base et ses fonctions en option. Qlik supporte cette spécificité, mais il se peut qu'il ne supporte pas toutes les implémentations spécifiques aux fournisseurs. Toutefois, Qlik peut fournir des configurations de commodité pour les plateformes de gestion d'identité courantes.

Les documents clés de la spécification incluent :

  • OpenID Connect Core : définit les fonctionnalités OIDC essentielles, notamment l'authentification basée sur OAuth 2.0 et l'utilisation de revendications pour partager des informations sur les utilisateurs.
  • OpenID Connect Discovery (en option) : définit la manière dont les clients découvrent dynamiquement des informations sur les fournisseurs OpenID.
  • OpenID Connect Dynamic Client Registration (en option) : définit la manière dont les clients s'enregistrent dynamiquement auprès des fournisseurs OpenID.
  • OAuth 2.0 Multiple Response Types : définit de nouveaux types de réponse OAuth 2.0 spécifiques.
  • OAuth 2.0 Form Post Response Mode (en option) : définit la manière de renvoyer les paramètres de réponse d'autorisation OAuth 2.0 à l'aide de valeurs de formulaire HTML qui sont automatiquement soumises via HTTP POST.
  • OpenID Connect Session Management (en option) : définit la manière de gérer les sessions OIDC, notamment la fonctionnalité de déconnexion basée sur postMessage et la fonctionnalité de déconnexion initiée par RP.
  • OpenID Connect Front-Channel Logout (en option) : définit un mécanisme de déconnexion qui n'utilise pas d'iframe OP sur les pages RP.
  • OpenID Connect Back-Channel Logout (en option) : définit un mécanisme de déconnexion qui utilise une communication de canal arrière directe entre l'OP et les RP en cours de déconnexion.
  • OpenID Connect Federation (en option) : définit la manière dont les ensembles d'OP et de RP peuvent établir la confiance en utilisant un Federation Operator.

Pour accéder à ces documents, consultez la section Bienvenue dans OpenID Connect.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – dites-nous comment nous améliorer !

Laissez vos commentaires ici