O OpenID Connect (OIDC) é usado para a integração do Qlik Cloud com provedores de identidade. O OIDC é uma fina camada de identidade sobre o protocolo OAuth 2.0. O OAuth 2.0 é o protocolo padrão para autorização, enquanto o OIDC é o protocolo padrão para autenticação de usuários. Juntos, esses dois protocolos permitem acessar vários aplicativos e sites de maneira segura, sem a necessidade de fazer login várias vezes, via login único (SSO).
O OAuth 2.0 foi projetado apenas para autorização. Você pode conceder acesso a dados e recursos de um aplicativo para outro, fornecendo uma chave ao cliente solicitante. Ao usar uma chave, você não precisa divulgar suas credenciais. Em vez disso, você reutiliza suas credenciais com um aplicativo em que já é um usuário registrado, por exemplo, um provedor de e-mail. A chave garante que você compartilhe apenas as informações que concordou em compartilhar. Você também tem a chance de retirar a chave sempre que quiser.
A chave é útil, mas não fornece informações sobre você como usuário. Com o uso de tokens de identificação, o OIDC adiciona funcionalidade no que diz respeito ao login e às informações de perfil da pessoa que está conectada. O OIDC permite que diferentes clientes (baseados na Web, dispositivos móveis, Javascript e outros) verifiquem a identidade do usuário com base na autenticação realizada por um servidor de autorização. Os clientes também podem solicitar informações básicas de perfil sobre o usuário.
Para ver uma introdução ao OAuth e ao OpenID Connect, consulte o seguinte vídeo: An Illustrated Guide to OAuth and OpenID Connect.
Tokens de ID
O OpenID Connect usa tokens de ID que simplificam a integração e oferecem suporte a uma ampla variedade de aplicativos.
Um token de ID é uma sequência de caracteres formatada especificamente, conhecida como JSON Web Token ou JWT. JWTs são versáteis e compatíveis com uma variedade de algoritmos de assinatura e criptografia. Os clientes podem extrair informações incorporadas no JWT, como ID, nome, quando você fez login, expiração do token de ID e se houve tentativas de adulteração do JWT. Os dados dentro do token de ID são chamados de declarações.
Como mencionado anteriormente, os clientes usam fluxos OAuth 2.0 para obter tokens de ID, que funcionam com aplicativos da Web e aplicativos móveis nativos.
Tokens de acesso
Além dos tokens de ID, existem tokens de acesso: credenciais que podem ser usadas por um aplicativo para acessar uma API. Um token de acesso pode ser um token JWT ou não JWT. O token é usado para informar à API que o portador desse token recebeu acesso à API.
Declarações
Tokens JWT contêm declarações, que são instruções (como nome ou endereço de e-mail) sobre uma entidade (normalmente, o usuário) e metadados adicionais.
A especificação OIDC define um conjunto de declarações padrão. O conjunto de declarações padrão inclui nome, email, sexo, data de nascimento e muito mais. Se você quiser coletar informações sobre um usuário que não é coberto por uma declaração padrão, poderá criar declarações personalizadas e adicioná-las aos seus tokens.
Especificação OpenID Connect
A especificação OpenID Connect 1.0 consiste nos seguintes documentos. A Qlik oferece suporte a essa especificação, mas nem toda a implementação específica de fornecedor personalizado da especificação. A Qlik pode optar por adicionar uma configuração de conveniência para nossos clientes para produtos e plataformas populares de gerenciamento de identidades.
- Core: Define a funcionalidade central do OpenID Connect: autenticação criada com base no OAuth 2.0 e o uso de declarações para comunicar informações sobre o usuário
- Discovery (opcional): Define como os clientes descobrem dinamicamente informações sobre provedores OpenID
- Dynamic Registration (opcional): Define como os clientes se registram dinamicamente com provedores OpenID
- OAuth 2.0 Multiple Response Types: Define vários novos tipos de resposta específicos do OAuth 2.0
- OAuth 2.0 Form Post Response Mode (opcional): Define como retornar os parâmetros de resposta de autorização do OAuth 2.0 (incluindo Parâmetros de resposta de autenticação OpenID Connect) usando valores de formulário HTML enviados automaticamente pelo agente do usuário usando HTTP POST
- Session Management (opcional): Define como gerenciar sessões OpenID Connect, incluindo logout baseado em postMessage e funcionalidade de logon iniciado por RP
- Front-Channel Logout (opcional): Define um mecanismo de logout do canal frontal que não usa um iframe OP nas páginas RP
- Back-Channel Logout (opcional): Define um mecanismo de logout que usa comunicação direta de canal traseiro entre o OP e os RPs que estão sendo desconectados
- Federation OpenID Connect (opcional): Define como conjuntos de OPs e RPs podem estabelecer confiança utilizando um Operador de Federação
Para acessar os documentos, visite a página geral Bem-vindo ao OpenID Connect.