Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen

OpenID Connect voor de integratie met identiteitsproviders

OpenID Connect (OIDC) integreert Qlik Cloud met identiteitsproviders en voegt bovenop het OAuth 2.0 protocol een laag voor gebruikersverificatie toe. Dit maakt een veilige eenmalige aanmelding (SSO) mogelijk, waardoor gebruikers zich slechts één keer hoeven aan te melden en toegang krijgen tot meerdere applicaties en websites zonder herhaalde verificatie.

OAuth 2.0 en OIDC

OAuth 2.0 is ontwikkeld voor autorisatie. Hiermee kan een applicatie een andere applicatie toegang verlenen tot zijn gegevens of functies met behulp van een beveiligd token, in plaats van gebruikersreferenties vrij te geven. Dit token biedt beperkte toegang, zodat u alleen gegevens deelt die u wilt delen. U hebt de mogelijkheid om het token op elk moment in te trekken.

OAuth 2.0 bevat geen informatie over de identiteit van gebruikers. OpenID Connect (OIDC) verbetert dit door ID-tokens te introduceren die aanmeldetails en profielgegevens van gebruikers bevatten. Deze tokens staan verschillende clients (webgebaseerd, mobiel, JavaScript enzovoort) toe voor het verifiëren van de identiteit van de gebruiker op basis van de authenticatie die door een authorisatieserver wordt uitgevoerd. Clients kunnen ook basisprofielgegevens van de gebruiker opvragen.

Bekijk de video voor een inleiding tot OAuth en OIDC: Een uitgebreide gids voor OAuth en OpenID Connect.

ID-tokens

ID-tokens, die worden gebruikt in OpenID Connect (OIDC), handelen de gebruikersverificatie af en bevatten gedetailleerde gebruikersinformatie zoals identiteits- en profieldetails. Deze tokens worden meestal geformatteerd als JSON Web Tokens (JWT), die verschillende handtekenings- en coderingsalgoritmen ondersteunen.

ID-tokens bevatten claims — stukjes met gegevens over de gebruiker, zoals hun id, naam, inlogtijd en indicaties van sabotage. Claims in ID-tokens voorzien de applicatie van de nodige details om de identiteit van de gebruiker te verifiëren en eenmalige aanmelding (SSO) te vergemakkelijken. De OIDC-specificatie definieert een standaardset met claims, inclusief naam, e-mailadres, geslacht en geboortedatum. Aangepaste claims kunnen worden toegevoegd om extra gebruikersinformatie op te nemen. ID-tokens worden uitgegeven door de autorisatieserver na succesvolle gebruikersauthenticatie, worden verkregen via OAuth 2.0-stromen en zijn van toepassing op zowel web- als mobiele applicaties.

Om gevoelige gegevens te beschermen, zoals Personally Identifiable Information (PII - persoonsgegevens), kunt u gecodeerde id-tokens gebruiken. Encryptie helpt ongeautoriseerde toegang te voorkomen en zorgt voor privacy en veiligheid.

Toegangstokens

Tokens voor toegang worden in OAuth 2.0 gebruikt voor autorisatie. Ze geven een applicatie toegang tot specifieke gegevens of functies namens de gebruiker. Een toegangstoken kan worden geformatteerd als een JSON Web Token (JWT) of een niet-JWT-token. Het dient als een referentie die de API informeert over de toestemming van de gebruiker en de verleende machtigingen. In tegenstelling tot ID-tokens, bevatten toegangstokens geen informatie over de identiteit van de gebruiker; ze verlenen alleen toegang tot opgegeven bronnen.

Specificatie van OpenID Connect

De specificatie van OpenID Consist 1.0 bestaat uit verschillende documenten die de kernfunctionaliteit en optionele functies definiëren. Qlik ondersteunt deze specificatie maar biedt mogelijk geen ondersteuning voor alle leveranciersspecifieke implementaties. Qlik kan echter handige configuraties bieden voor populaire platformen voor identiteitsbeheer.

Belangrike documenten in de specificatie zijn:

  • OpenID Connect Core: bevat de kernfunctionaliteit van OIDC, waaronder verificatie op basis van OAuth 2.0 en het gebruik van claims om gebruikersinformatie te delen.
  • OpenID Connect Discovery (optioneel): definieert hoe clients op dynamische wijze gegevens over OpenID-aanbieders ontdekken
  • OpenID Connect Dynamic Client Registration (optioneel): definieert hoe clients zich dynamisch registreren bij OpenID-providers.
  • OAuth 2.0 Multiple Response Types: definieert specifieke nieuwe OAuth 2.0-responstypen.
  • OAuth 2.0 Form Post Response Mode (optioneel): definieert hoe OAuth 2.0-antwoordparameters voor autorisatie moeten worden geretourneerd bij gebruik van HTML-formulierwaarden die automatisch worden verzonden via HTTP POST.
  • OpenID Connect Session Management (optioneel): definieert hoe OIDC-sessies worden beheerd, inclusief op postMessage gebaseerd afmelden en door RP geïnitieerde afmeldfunctionaliteit.
  • OpenID Connect Front-Channel Logout (optioneel): definieert een afmeldmechanisme dat geen gebruik maakt van OP iframe op RP-pagina's.
  • OpenID Connect Back-Channel Logout (optioneel): definieert een afmeldmechanisme dat gebruik maakt van directe back-channelcommunicatie tussen de OP en RP's die worden afgemeld.
  • OpenID Connect Federation (optioneel): definieert hoe sets met OP's and RP's vertrouwen tot stand kunnen brengen bij gebruik van een federatie-operator.

Ga naar Welkom bij OpenID Connect om deze documenten te raadplegen.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!

Geef hier uw feedback