Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen

OpenID Connect voor de integratie met identiteitsproviders

OpenID Connect (OIDC) wordt gebruikt voor de integratie van Qlik Cloud met identiteitsproviders. OIDC is een dunne identiteitslaag op het OAuth 2.0-protocol. OAuth 2.0 is het standaardprotocol voor autorisatie en OIDC het standaardprotocol voor de authenticatie van gebruikers. Samen stellen deze twee protocollen u in staat meerdere apps en websites op een veilige manier te openen, zonder dat u zich meerdere keren moet aanmelden via eenmalige aanmelding (SSO).

OAuth 2.0 is alleen ontwikkeld voor autorisatie. U kunt toegang verlenen tot gegevens en functies van de ene app naar de andere app door aan de verzoekende client een sleutel ter beschikking te stellen. Door het gebruik van een sleutel hoeft u uw aanmeldgegevens niet ter beschikking te stellen. In plaats daarvan kun u uw aanmeldgegevens gebruiken van een app waar u als gebruiker bent geregistreerd, zoals een e-mailprovider. Met de sleutel wordt verzekerd dat u alleen gegevens deelt die u wilt delen. U kunt de sleutel op elk moment intrekken.

De sleutel is nuttig, maar geeft geen informatie over u als gebruiker. OIDC voegt functionaliteit toe voor de aanmeld- en profielgegevens van de persoon die zich heeft aangemeld via ID-tokens. OIDC staat verschillende clients (webgebaseerd, mobiel, Javascript enzovoort) toe voor het verifiëren van de gebruiker op basis van de authenticatie die door een authorisatieserver wordt uitgevoerd. Clients kunnen ook basisprofielgegevens van de gebruiker opvragen.

Bekijk de onderstaande video voor een inleiding tot OAuth en OpenID Connect: Een geïllustreerde gids voor OAuth en OpenID Connect.

ID-tokens

OpenID Connect gebruikt ID-tokens die de integratie vereenvoudigt en een uitgebreid aanbod aan apps ondersteunt.

Een ID-token is een reeks tekens met een specifieke opmaak, ook wel een JSON Web Token of JWT genoemd. JWT's zijn veelzijdig en ondersteunen een reeks handtekening- en versleutelingsalgoritmen. Clients kunnen gegevens ophalen die in de JWT zijn ingesloten, zoals een ID, naam, wanneer u zich hebt aangemeld, de vervaldatum van een ID-token en of er pogingen zijn geweest om de JWT onrechtmatig te wijzigen. De gegevensbestanden in de ID-token worden claims genoemd.

Zoals eerder vermeld, gebruiken clients OAuth 2.0-stromen om ID-tokens op te halen. Dit werkt voor web-apps en speciale mobiele apps.

Toegangstokens

Naast ID-tokens, zijn er toegangstokens: referenties die een toepassing kan gebruiken om een API te openen. Een toegangstoken kan een JWT of een niet-JWT-token zijn. De token wordt gebruikt om de API te informeren dat de drager van deze token toestemming heeft om de API te openen.

Claims

JWT-tokens bevatten claims, dit zijn statements (zoals een naam of e-mailadres) over een entiteit (meestal de gebruiker) en aanvullende metagegevens.

De OIDC-specificatie definieert een set standaardclaims. De set standaardclaims omvat een naam, e-mailadres, geslacht, geboortedatum en meer. Als u gegevens over een gebruiker wilt verzamelen die niet in een standaardclaim zijn opgenomen, dan kunt u aangepaste claims maken en deze aan uw tokens toevoegen.

Specificatie van OpenID Connect

De OpenID Connect 1.0-specificatie bestaat uit de volgende documenten. Qlik ondersteunt deze specificatie, maar niet alle specifieke aangepaste implementaties van de specificatie van de leverancier. Qlik kan ervoor kiezen om een gebruiksvriendelijke configuratie toe te voegen voor onze klanten voor populaire producten en platformen voor identiteitsbeheer.

  • Kern: Definieert de kernfunctionaliteit van OpenID Connect: authenticatie die boven op OAuth 2.0 is gebouwd en het gebruik van claims om informatie over de gebruiker te communiceren
  • Ontdekken (optioneel): Definieert hoe clients op dynamische wijze gegevens over OpenID-aanbieders ontdekken
  • Dynamische registratie (optioneel): Definieert hoe clients zich op dynamische wijze bij OpenID-aanbieders registreren
  • Meerdere antwoordtypen van OAuth 2.0: Definieert verschillende specifieke nieuwe antwoordtypen van OAuth 2.0
  • OAuth 2.0 form post-antwoordmodus (optioneel): Definieert hoe OAuth 2.0-antwoordparameters voor autorisatie (inclusief OpenID Connect Authentication Response-parameters) moeten worden geretourneerd bij gebruik van HTML-formulierwaarden die automatisch worden verzonden door de gebruikersagent met behulp van HTTP POST
  • Sessiebeheer (optioneel): Definieert hoe OpenID Connect-sessies worden beheerd, inclusief op postMessage gebaseerd afmelden en door RP geïnitieerde afmeldfunctionaliteit
  • Front-Channel Logout (optioneel): Definieert een mechanisme voor front-channel logout dat geen gebruik maakt van OP iframe op RP-pagina's
  • Back-Channel Logout (optioneel): Definieert een afmeldmechanisme dat gebruik maakt van directe back-channelcommunicatie tussen de OP en RP's die worden afgemeld
  • OpenID Connect-federatie (optioneel): Definieert hoe sets met OP's and RP's vertrouwen tot stand kunnen brengen bij gebruik van een federatie-operator

Ga naar Welkom bij OpenID Connect om de documenten te raadplegen.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!

Geef hier uw feedback