Vai al contenuto principale Passa a contenuto complementare
Risorse Qlik

OpenID Connect per l'integrazione con provider di identità

OpenID Connetti (OIDC) integra Qlik Cloud con i provider di identità, aggiungendo un livello per l'autenticazione degli utenti oltre al protocollo OAuth 2.0. Ciò consente di accedere in modo sicuro tramite Single Sign-On (SSO), consentendo agli utenti di effettuare l'accesso una sola volta per accedere a più applicazioni e siti web senza ripetere l'autenticazione.

OAuth 2.0 e OIDC

OAuth 2.0 è progettato per fornire autorizzazioni. Consente a un'applicazione di concedere a un'altra applicazione l'accesso ai propri dati o alle proprie funzioni utilizzando un token sicuro, anziché esporre le credenziali dell'utente. Il token fornisce accesso limitato, assicurando la condivisione unicamente delle informazioni che si è accettato di condividere. L'utente ha la possibilità di ritirare il token in qualsiasi momento.

OAuth 2.0 non include informazioni sull'identità dell'utente. OpenID Connect (OIDC) migliora questo aspetto introducendo i token ID, che contengono i dettagli di accesso e le informazioni sul profilo dell'utente. Questi token consentono a client diversi (basati sul web, mobili, JavaScript e altri) di verificare l'identità dell'utente in base all'autenticazione fornita da un server di autorizzazione. I client possono inoltre richiedere informazioni di profilo base sull'utente.

Per un'introduzione a OAuth e OIDC, guardare il video: An Illustrated Guide to OAuth and OpenID Connect (Guida illustrata a OAuth e OpenID Connect).

Token ID

I token ID, utilizzati in OpenID Connect (OIDC), gestiscono l'autenticazione dell'utente e includono informazioni dettagliate sull'utente, come i dettagli su identità e profilo. Questi token di norma hanno il formato JSON Web Tokens (JWT), che supporta diversi algoritmi di firma e crittografia.

I token ID contengono dati relativi all'utente, come ID, nome, ora di accesso e indicazioni di manomissione. le attestazioni nei token ID forniscono all'applicazione i dettagli necessari per verificare l'identità dell'utente e facilitare il Single Sign-On (SSO). La specifica OIDC definisce un insieme standard di attestazioni, che include nome, e-mail, sesso e data di nascita. È possibile aggiungere attestazioni personalizzate per includere informazioni aggiuntive sull'utente, se necessario. Emessi dal server di autorizzazione una volta eseguita con successo l'autenticazione dell'utente, i token ID si ottengono attraverso i flussi OAuth 2.0 e sono applicabili sia alle applicazioni Web che a quelle mobili.

Per proteggere i dati sensibili, come le informazioni identificabili personalmente (PII), è possibile utilizzare token ID crittografati. La crittografia aiuta a impedire l'accesso non autorizzato e garantisce privacy e sicurezza.

Token di accesso

I token di accesso sono utilizzati in OAuth 2.0 per l'autorizzazione. Consentono a un'applicazione di accedere a dati o funzionalità specifiche per conto dell'utente. Un token di accesso può essere formato da un JSON Web Token (JWT) oppure da un token non JWT. Serve come credenziale che informa l'API del consenso dell'utente e delle autorizzazioni concesse. A differenza dei token ID, i token di accesso non includono informazioni sull'identità dell'utente, ma si limitano a concedere l'accesso a risorse specificate.

Specifica OpenID Connect

Le specifiche di OpenID Connect 1.0 sono costituite da diversi documenti che ne definiscono le funzionalità principali e le caratteristiche opzionali. Qlik supporta questa specifica, ma potrebbe non supportare tutte le implementazioni specifiche del fornitore. Tuttavia, Qlik può fornire configurazioni convenienti per le più diffuse piattaforme di gestione delle identità.

I documenti chiave della specifica includono:

  • OpenID Connect Core: definisce le funzionalità principali di OIDC, tra cui l'autenticazione basata su OAuth 2.0 e l'uso di attestazioni per condividere le informazioni sugli utenti.
  • OpenID Connect Discovery (facoltativo): definisce in che modo i client individuano dinamicamente informazioni sui provider OpenID.
  • Registrazione client dinamica OpenID Connect . (facoltativa): definisce come i client si registrano dinamicamente con i provider OpenID.
  • Tipi di risposta multipla OAuth 2.0: definisce nuovi tipi di risposta specifici di OAuth 2.0.
  • Modalità di risposta post modulo OAuth 2.0 (facoltativa): definisce come restituire i parametri Risposta di autorizzazione di OAuth 2.0 usando valori di moduli HTML inviati in automatico dall'agente utente mediante HTTP POST.
  • Gestione sessioni OpenID Connect (facoltativa): definisce come gestire le sessioni OIDC, incluse le funzionalità di disconnessione basate su postMessage e inizializzate da RP.
  • Disconnessione Front-Channel OpenID Connect (facoltativa): definisce un meccanismo di disconnessione front-channel che non utilizza un iframe OP sulle pagine RP.
  • Disconnessione Back-Channel OpenID Connect (facoltativa): definisce un meccanismo di disconnessione che utilizza la comunicazione back-channel diretta tra l'OP e gli RP in disconnessione.
  • Federazione OpenID Connect (facoltativa): definisce in che modo i set di OP ed RP possono stabilire l'attendibilità utilizzando un Federation Operator.

Per accedere ai documenti, consultare Welcome to OpenID Connect.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!

Lascia qui il tuo feedback