Vai al contenuto principale Passa a contenuto complementare
Risorse Qlik

OpenID Connect per l'integrazione con provider di identità

OpenID Connect (OIDC) è utilizzato per l'integrazione di Qlik Cloud con provider di identità. OIDC è un sottile strato di identità posto sopra al protocollo OAuth 2.0. OAuth 2.0 è il protocollo standard per l'autorizzazione, mentre OIDC il protocollo standard per l'autenticazione degli utenti. Insieme, questi due protocolli consentono di accedere a più app e siti web in modo sicuro, senza doversi registrare diverse volte mediante single sign-on (SSO).

OAuth 2.0 è stato progettato unicamente per l'autorizzazione. È possibile concedere l'accesso a dati e funzionalità da un'applicazione a un'altra, fornendo al client richiesto una chiave. Utilizzando una chiave non è necessario divulgare le proprie credenziali. Invece, si riutilizzano le credenziali con un'applicazione in cui si è già un utente registrato, ad esempio, un provider di e-mail. La chiave assicura la condivisione delle sole informazioni che si è accettato di condividere. Si ha inoltre la possibilità di ritirare la chiave ogni volta in cui lo si desidera.

La chiave è utile ma non fornisce alcuna informazione sull'utente. OIDC aggiunge funzionalità alle informazioni di accesso e profilo della persona che si è registrata mediante token ID. OIDC consente a client diversi (basati sul web, mobili, Javascript e altri) di verificare l'identità dell'utente in base all'autenticazione fornita da un server di autorizzazione. I client possono inoltre richiedere informazioni di profilo base sull'utente.

Per un'introduzione a OAuth e a OpenID Connect, fare riferimento al video seguente: Guida illustrata a OAuth e OpenID Connect.

Token ID

OpenID Connect utilizza token ID che semplificano l'integrazione e supportano un'ampia varietà di app.

Un token ID rappresenta una stringa di caratteri formattata in modo specifico e nota come JSON Web Token o JWT. I JWT sono versatili e supportano una gamma di algoritmi di firma e crittografia. I client possono estrarre informazioni integrate in JWT, come ID, nome, ora di accesso, scadenza token ID e segnalare eventuali tentativi di alterare JWT. I pezzi di dati all'interno del token ID sono chiamati attestazioni.

Come indicato in precedenza, i client utilizzano i flussi OAuth 2.0 per ottenere token ID, che funzionano sia con le app web che con le app mobili native.

Token di accesso

Oltre ai token ID, sono presenti anche token di accesso: credenziali che possono essere utilizzate da un'applicazione per accedere a un'API. Un token di accesso può essere di tipo JWT o non JWT. Il token viene utilizzato per informare l'API che il portatore di questo token ha ricevuto accesso all'API.

Attestazioni

I token JWT contengono attestazioni, ovvero istruzioni (come nome o indirizzo e-mail) relative a un'entità (in genere l'utente) e metadati aggiuntivi.

La specifica OIDC definisce un set di attestazioni standard. Il set di attestazioni standard include nome, e-mail, sesso, data di nascita e altro ancora. Qualora si desideri raccogliere informazioni su un utente che non è coperto da un'attestazione standard, è possibile creare attestazioni personalizzate e aggiungerle ai propri token.

Specifica OpenID Connect

La specifica OpenID Connect 1.0 si compone dei seguenti documenti. Qlik supporta questa specifica, non ogni particolare implementazione personalizzata del vendor della specifica. Qlik può scegliere di aggiungere una configurazione di comodità per i nostri clienti per prodotti e piattaforme popolari di gestione dell'identità.

  • Core: definisce la funzionalità OpenID Connect core: autenticazione costruita sopra a OAuth 2.0 e uso di attestazioni per comunicare informazioni sull'utente
  • Individuazione (facoltativa): definisce in che modo i client individuano dinamicamente informazioni sui provider OpenID
  • Registrazione dinamica (facoltativa): definisce in che modo i client si registrano dinamicamente con i provider OpenID
  • Tipi di risposta multipla OAuth 2.0: definisce svariati nuovi tipi di risposta OAuth 2.0
  • Modalità risposta post modulo OAuth 2.0 (facoltativa): definisce come restituire i parametri Risposta di autorizzazione di OAuth 2.0 (inclusi i parametri Risposta di autorizzazione di OpenID Connect) usando valori di moduli HTML inviati in automatico dall'agente utente mediante HTTP POST
  • Gestione sessioni (facoltativa): definisce come gestire le sessioni OpenID Connect, incluse le funzionalità di disconnessione basate su postMessage e inizializzate da RP
  • Disconnessione Front-Channel (facoltativa): definisce un meccanismo di disconnessione front-channel che non utilizza un iframe OP sulle pagine RP
  • Disconnessione Back-Channel (facoltativa): definisce un meccanismo di disconnessione che utilizza la comunicazione diretta back-channel tra l'OP e gli RP in disconnessione
  • OpenID Connect Federation (facoltativa): definisce in che modo i set di OP e RP possono stabilire una relazione di trust utilizzando un Federation Operator

Per accedere ai documenti, passare a Welcome to OpenID Connect.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!

Lascia qui il tuo feedback