OpenID Connect (OIDC)는 ID 공급자와 Qlik Cloud의 통합에 사용됩니다. OIDC는 OAuth 2.0 프로토콜 맨 위의 얇은 ID 계층입니다. OAuth 2.0은 인증을 위한 표준 프로토콜이고 OIDC는 사용자 인증을 위한 표준 프로토콜입니다. 이 두 프로토콜을 사용하여 단일 사인온(SSO)을 통해 여러 번 로그인할 필요 없이 여러 앱 및 웹 사이트에 안전하게 액세스할 수 있습니다.
OAuth 2.0은 인증용으로만 설계되었습니다. 요청하는 클라이언트에 키를 제공하여 응용 프로그램 간에 데이터 및 기능에 대한 액세스 권한을 부여할 수 있습니다. 키를 사용하여 자격 증명을 노출할 필요가 없습니다. 대신 이미 사용자로 등록된 응용 프로그램(예: 이메일 공급자)에서 자격 증명을 재사용합니다. 키를 사용하면 공유하기로 동의한 정보만 공유됩니다. 원하는 경우 언제든지 키 사용을 중단할 수도 있습니다.
키는 유용하지만 사용자에 대한 모든 정보를 제공하지는 않습니다. OIDC에는 ID 토큰을 사용하여 로그인한 사용자에 대한 로그인 정보 및 프로필 정보와 관련된 기능이 추가되었습니다. OIDC를 사용하여 다양한 클라이언트(웹 기반, 모바일, Javascript 등)가 인증 서버에서 수행한 인증을 기반으로 사용자의 ID를 확인할 수 있습니다. 클라이언트는 사용자에 대한 기본 프로필 정보를 요청할 수도 있습니다.
OAuth 및 OpenID Connect에 대한 소개는 다음 동영상을 참조하십시오. An Illustrated Guide to OAuth and OpenID Connect.
ID 토큰
OpenID Connect는 통합을 간소화하고 광범위한 앱을 지원하는 ID 토큰을 사용합니다.
ID 토큰은 JSON 웹 토큰 또는 JWT으로 알려진 문자로 구성된 문자열 형식으로 지정됩니다. JWT는 다목적이며 다양한 서명 및 암호화 알고리즘을 지원합니다. 클라이언트는 JWT에 포함된 정보(예: ID, 이름, 로그인 시간, ID 토큰 만료 및 JWT을 조작하려고 시도한 적이 있는지 여부)를 추출할 수 있습니다. ID 토큰 내부의 데이터 일부를 클레임이라고 합니다.
앞에서 언급한 바와 같이 클라이언트는 OAuth 2.0 흐름을 사용하여 웹 앱 및 기본 모바일 앱에서 모두 작동하는 ID 토큰을 얻습니다.
액세스 토큰
ID 토큰 외에도 액세스 토큰이 있으며, 이는 응용 프로그램에서 API에 액세스하는 데 사용할 수 있는 자격 증명입니다. 액세스 토큰은 JWT 토큰 또는 비-JWT 토큰일 수 있습니다. 토큰을 사용하여 이 토큰의 전달자가 API에 대한 액세스 권한을 부여했음을 API에 알립니다.
클레임
JWT 토큰에는 클레임이 포함되어 있습니다. 클레임은 엔터티(일반적으로 사용자) 및 추가 메타데이터에 대한 문(예: 이름 또는 이메일 주소)입니다.
OIDC 사양은 표준 클레임 집합을 정의합니다. 표준 클레임 집합에는 이름, 이메일, 성별, 생일 등이 포함됩니다. 표준 클레임에 포함되지 않은 사용자 정보를 수집해야 하는 경우 사용자 지정 클레임을 만들어 토큰에 추가할 수 있습니다.
OpenID Connect 사양
OpenID Connect 1.0 사양은 다음 문서로 구성됩니다. Qlik은 이 사양을 지원하며, 특정 사용자 지정 공급업체가 구현한 일부 사양은 지원되지 않습니다. Qlik은 널리 사용되는 ID 관리 제품 및 플랫폼에 고객의 편의를 위한 구성을 추가할 수 있습니다.
- Core: 핵심 OpenID Connect 기능을 정의합니다(OAuth 2.0 기반 인증 및 사용자 정보 교환을 위한 클레임 사용).
- Discovery (선택 사항): 클라이언트가 OpenID 공급자에 대한 정보를 동적으로 검색하는 방법을 정의합니다.
- Dynamic Registration (선택 사항): 클라이언트가 OpenID 공급자에 동적으로 등록하는 방법을 정의합니다.
- OAuth 2.0 Multiple Response Types: 몇 가지 새로운 OAuth 2.0 응답 유형을 정의합니다.
- OAuth 2.0 Form Post Response Mode (선택 사항): 사용자 에이전트가 HTTP POST를 통해 자동으로 제출하는 HTML 형식 값을 사용하여 OAuth 2.0 인증 응답 매개 변수(OpenID Connect 인증 응답 매개 변수 포함)를 반환하는 방법을 정의합니다.
- Session Management (선택 사항): postMessage 기반의 로그아웃과 RP에서 시작한 로그아웃 기능을 포함하여 OpenID Connect 세션을 관리하는 방법을 정의합니다.
- Front-Channel Logout (선택 사항): RP 페이지에서 OP iframe을 사용하지 않는 프런트-채널 로그아웃 메커니즘을 정의합니다.
- Back-Channel Logout (선택 사항): 로그아웃되는 OP와 RP 간에 다이렉트 백-채널 통신을 사용하는 로그아웃 메커니즘을 정의합니다.
- OpenID Connect Federation (선택 사항): 페더레이션 연산자를 활용하여 OP 및 RP 집합에 신뢰를 설정할 수 있는 방법을 정의합니다.
문서에 액세스하려면 OpenID Connect 시작으로 이동하십시오.