OpenID Connect do integracji z dostawcami tożsamości
OpenID Connect (OIDC) integruje Qlik Cloud z dostawcami tożsamości, dodając warstwę uwierzytelniania użytkowników do protokołu OAuth 2.0. Umożliwia to bezpieczne pojedyncze logowanie (SSO), pozwalając użytkownikom zalogować się raz i uzyskiwać dostęp do wielu aplikacji oraz witryn internetowych bez wielokrotnego uwierzytelniania.
OAuth 2.0 i OIDC
OAuth 2.0 służy do autoryzacji. Umożliwia jednej aplikacji przyznanie innej aplikacji dostępu do jej danych lub funkcji za pomocą bezpiecznego tokena, zamiast ujawniania danych uwierzytelniających użytkownika. Ten token umożliwia ograniczony dostęp z udostępnianiem tylko tych informacji, na których udostępnianie wyrażono zgodę. W dowolnym momencie możesz wycofać token.
OAuth 2.0 nie obejmuje informacji o tożsamości użytkownika. OpenID Connect (OIDC) usprawnia to, wprowadzając tokeny ID, które zawierają dane logowania użytkownika i informacje profilowe. Te tokeny umożliwiają różnym klientom (internetowym, mobilnym, JavaScript i innym) weryfikację tożsamości użytkownika na podstawie uwierzytelnienia dokonanego przez serwer autoryzacyjny. Klienty mogą również prosić o podstawowe informacje o profilu użytkownika.
Wprowadzenie do OAuth oraz OIDC można znaleźć w filmie: Ilustrowany przewodnik po OAuth oraz OpenID Connect.
Tokeny ID
Tokeny ID, używane w OpenID Connect (OIDC), obsługują uwierzytelnianie użytkowników i zawierają szczegółowe informacje o użytkowniku, takie jak tożsamość i szczegóły profilu. Tokeny te są zazwyczaj formatowane jako JSON Web Tokens (JWT), które obsługują różne algorytmy podpisu oraz szyfrowania.
Tokeny ID zawierają oświadczenia – fragmenty danych o użytkowniku, takie jak jego identyfikator, nazwa, czas logowania i wskazówki świadczące o manipulacji. Oświadczenia w tokenach ID dostarczają aplikacji niezbędnych szczegółów do weryfikacji tożsamości użytkownika i ułatwiają logowanie jednokrotne (SSO). Specyfikacja OIDC definiuje standardowy zestaw twierdzeń, zawierający nazwę, e-mail, płeć oraz datę urodzenia. Niestandardowe oświadczenia można dodać, aby zawierały dodatkowe informacje o użytkowniku, zgodnie z potrzebami. Tokeny ID są wydawane przez serwer autoryzacji po udanym uwierzytelnieniu użytkownika, uzyskiwane za pośrednictwem przepływów OAuth 2.0 i mają zastosowanie zarówno do aplikacji sieciowych, jak i mobilnych.
Aby chronić poufne dane, takie jak informacje umożliwiające identyfikację osób (PII), możesz użyć zaszyfrowanych tokenów Identyfikatora. Szyfrowanie pomaga zapobiegać nieautoryzowanemu dostępowi oraz zapewnia prywatność i bezpieczeństwo.
Tokeny dostępu
Tokeny dostępu są używane w OAuth 2.0 do autoryzacji. Pozwalają one aplikacji na dostęp do określonych danych lub funkcji w imieniu użytkownika. Token dostępu może być sformatowany jako JSON Web Token (JWT) lub token inny niż JWT. Służy jako dane uwierzytelniające, które informują API o zgodzie użytkownika oraz przyznanych uprawnieniach. W przeciwieństwie do tokenów ID, tokeny dostępu nie zawierają informacji o tożsamości użytkownika – po prostu przyznają dostęp do określonych zasobów.
Specyfikacja OpenID Connect
Specyfikacja OpenID Connect 1.0 składa się z kilku dokumentów, które definiują jej podstawową funkcjonalność i funkcje opcjonalne. Qlik obsługuje tę specyfikację, ale może nie obsługiwać wszystkich implementacji specyficznych dla dostawcy. Qlik może jednak zapewnić dla wygody konfiguracje dla popularnych platform zarządzania tożsamością.
Kluczowe dokumenty zawarte w specyfikacji to:
- OpenID Connect Core: definiuje podstawowe funkcje OIDC, w tym uwierzytelnianie oparte na OAuth 2.0 i wykorzystanie oświadczeń do udostępniania informacji o użytkownikach.
- OpenID Connect Discovery (opcjonalnie): definiuje sposób, w jaki klienci dynamicznie odkrywają informacje o dostawcach OpenID
- OpenID Connect Dynamic Client Registration (opcjonalnie): definiuje sposób, w jaki klienty dynamicznie rejestrują się u dostawców OpenID.
- OAuth 2.0 Multiple Response Types: definiuje nowe, specyficzne typy reakcji OAuth 2.0.
- OAuth 2.0 Form Post Response Mode (opcjonalnie): określa sposób zwracania parametrów odpowiedzi autoryzacyjnej OAuth 2.0, które są automatycznie wysyłane przy użyciu metody HTTP POST
- OpenID Connect Session Management (opcjonalnie): określa sposób zarządzania sesjami OIDC, w tym funkcję wylogowania na podstawie funkcji postMessage oraz funkcję wylogowania inicjowaną przez stronę RP.
- OpenID Connect Front-Channel Logout (opjconalnie):definiuje mechanizm wylogowania, który nie wykorzystuje ramki OP iframe na stronach RP.
- OpenID Connect Back-Channel Logout (opcjonalnie): definiuje mechanizm wylogowania, który wykorzystuje bezpośrednią komunikację kanałem ukrytym pomiędzy wylogowywanymi ramkami OP i stronami RP.
- OpenID Connect Federation (opcjonalnie): określa, jak zestawy ramek OP i stron RP mogą ustanowić zaufanie poprzez wykorzystanie Operatora Federacji
Aby uzyskać dostęp do dokumentów, przejdź do strony Witamy w OpenID Connect.