Przeskocz do zawartości głównej Przejdź do treści uzupełniającej
Zasoby Qlik

OpenID Connect do integracji z dostawcami tożsamości

OpenID Connect (OIDC) służy do integracji Qlik Cloud z dostawcami tożsamości. OIDC to cienka warstwa tożsamości nałożona na protokół OAuth 2.0. OAuth 2.0 jest standardowym protokołem do autoryzacji i standardowym protokołem OIDC do uwierzytelniania użytkowników. Razem te dwa protokoły umożliwiają bezpieczny dostęp do wielu aplikacji i stron internetowych, bez konieczności wielokrotnego logowania, poprzez logowanie jednokrotne (SSO).

OAuth 2.0 jest przeznaczony tylko do autoryzacji. Można przyznawać dostęp do danych i funkcji z jednej aplikacji do drugiej, dostarczając żądanemu klientowi klucz. Używając klucza, nie trzeba podawać swoich poświadczeń. Zamiast tego używa się swoich poświadczeń w aplikacji, w której jest się już zarejestrowanym użytkownikiem, na przykład u dostawcy poczty elektronicznej. Klucz zapewnia udostępnianie tylko tych informacji, na których udostępnianie wyrażono zgodę. Masz również prawo do wycofania klucza w dowolnym momencie.

Klucz jest przydatny, ale nie zdradza żadnych informacji o użytkowniku. OIDC dodaje funkcjonalność związaną z informacją o logowaniu i profilu osoby, która jest zalogowana za pomocą tokenów ID. OIDC umożliwia różnym klientom (internetowym, mobilnym, Javascript i innym) weryfikację tożsamości użytkownika na podstawie uwierzytelnienia dokonanego przez serwer autoryzacyjny. Klienci mogą również poprosić o podstawowe informacje o profilu użytkownika.

Podstawowe informacje o protokole OAuth oraz OpenID Connect można znaleźć w poniższym filmie: Ilustrowany przewodnik dotyczący protokołu OAuth i OpenID Connect.

Tokeny ID

OpenID Connect korzysta z tokenów ID, które ułatwiają integrację i obsługują wiele różnych aplikacji.

Token ID jest specjalnie sformatowanym ciągiem znaków znanym jako JSON Web Token lub JWT. Tokeny JWT są uniwersalne i obsługują szereg algorytmów podpisu i szyfrowania. Klienci mogą wyodrębnić informacje zawarte w JWT, takie jak identyfikator, imię i nazwisko, czas zalogowania się, wygaśnięcie tokena ID oraz ewentualne próby manipulowania tokenem JWT. Dane zawarte w tokenie ID nazywane są oświadczeniami.

Jak wspomniano wcześniej, klienci korzystają z przepływów OAuth 2.0, aby uzyskać tokeny ID, które działają zarówno z aplikacjami internetowymi, jak i natywnymi aplikacjami mobilnymi.

Tokeny dostępu

Poza tokenami ID istnieją także tokeny dostępu: poświadczenia, które mogą być używane przez aplikację w celu uzyskania dostępu do interfejsu API. Token dostępu może być tokenem JWT lub tokenem innego typu. Token służy do informowania interfejsu API, że posiadacz tego tokena uzyskał dostęp do tego interfejsu.

Oświadczenia

Tokeny JWT zawierają oświadczenia, które są instrukcjami (takie, jak nazwa lub adres e-mail) o elemencie (zazwyczaj użytkowniku) oraz dodatkowe metadane.

Specyfikacja OIDC określa zestaw standardowych oświadczeń. Zestaw standardowych oświadczeń obejmuje imię i nazwisko, adres e-mail, płeć, datę urodzenia oraz inne informacje. Aby zebrać informacje o użytkowniku, który nie jest objęty standardowym oświadczeniem, można stworzyć własne oświadczenie i dodać je do swoich tokenów.

Specyfikacja OpenID Connect

Specyfikacja OpenID Connect 1.0 składa się z następujących dokumentów. Qlik obsługuje tę specyfikację, nie wszystkie specyficzne niestandardowe implementacje specyfikacji dostawcy. Qlik może zdecydować się na dodanie wygodnej konfiguracji dla naszych klientów w zakresie popularnych produktów i platform do zarządzania tożsamością.

  • Rdzeń: definiuje podstawową funkcjonalność OpenID Connect: uwierzytelnianie zbudowane w oparciu o protokół OAuth 2.0 i używanie oświadczeń do przekazywania informacji o użytkowniku
  • Wykrywanie (opcjonalnie): definiuje sposób, w jaki klienci dynamicznie odkrywają informacje o dostawcach OpenID
  • Dynamiczna rejestracja (opcjonalnie): definiuje sposób, w jaki klienci dynamicznie rejestrują się u dostawców OpenID
  • Typy wielu odpowiedzi OAuth 2.0: definiują kilka konkretnych nowych typów odpowiedzi OAuth 2.0
  • Tryb odpowiedzi Post formularza protokołu OAuth 2.0 (opcjonalnie): określa sposób zwracania parametrów odpowiedzi autoryzacyjnej OAuth 2.0 (w tym parametrów odpowiedzi na wezwanie uwierzytelniania OpenID Connect) przy użyciu wartości formularza HTML, które są automatycznie wysyłane przez agenta użytkownika przy użyciu metody HTTP POST
  • Zarządzanie sesjami (opcjonalnie): określa sposób zarządzania sesjami OpenID Connect, w tym funkcję wylogowania na podstawie funkcji postMessage oraz funkcję wylogowania inicjowaną przez stronę RP
  • Wylogowanie kanałem przednim (opcjonalnie): definiuje mechanizm wylogowania kanałem przednim, który nie wykorzystuje ramki OP iframe na stronach RP
  • Wylogowanie kanałem ukrytym (opcjonalnie): definiuje mechanizm wylogowania, który wykorzystuje bezpośrednią komunikację kanałem ukrytym pomiędzy wylogowywanymi ramkami OP i stronami RP
  • Federacja OpenID Connect (opcjonalnie): określa, w jaki sposób zestawy ramek OP i stron RP mogą ustanowić zaufanie poprzez wykorzystanie Operatora Federacji

Aby uzyskać dostęp do dokumentów, przejdź do strony Witaj w OpenID Connect.

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać, co możemy poprawić!

Przekaż tu opinię