OpenID Connect para integração com provedores de identidade
O OpenID Conectar (OIDC) integra o Qlik Cloud com provedores de identidade, adicionando uma camada para autenticação de usuário sobre o protocolo OAuth 2.0. Isso habilita o SSO (login único) seguro, permitindo que os usuários façam login uma vez e acessem vários aplicativos e sites sem repetição de autenticação.
OAuth 2.0 e OIDC
O OAuth 2.0 foi desenvolvido apenas para autorização. Ele permite que um aplicativo conceda a outro acesso a seus dados ou recursos usando um token seguro, em vez de expor as credenciais do usuário. Esse token fornece acesso limitado, garantindo que você compartilhe apenas informações que concordou em compartilhar. Você pode retirar o token a qualquer momento.
O OAuth 2.0 não inclui informações de identidade do usuário. O OpenID Conectar (OIDC) aprimora isso introduzindo tokens de ID, que contêm detalhes da conexão do usuário e Informações de perfil. Esses tokens permitem que diferentes clientes (baseados na web, móveis, JavaScript e outros) verifiquem a identidade do usuário, com base na autenticação realizada por um servidor de autorização. Os clientes também podem solicitar informações básicas de perfil sobre o usuário.
Para obter uma introdução ao OAuth e ao OIDC, assista ao vídeo: Guia ilustrado do OAuth e do OpenID Connect.
Tokens de ID
Os tokens de ID, usados no OpenID Connect (OIDC), lidam com a autenticação do usuário e incluem informações detalhadas do usuário, como identidade e detalhes do perfil. Esses tokens são normalmente formatados como JSON Web Tokens (JWT), que aceitam vários algoritmos de assinatura e criptografia.
Os tokens de ID contêm reivindicações - dados sobre o usuário, como ID, nome, tempo de login e indicações de adulteração. As declarações nos ID tokens fornecem ao aplicativo os detalhes necessários para verificar a identidade do usuário e facilitar o login único (SSO). A especificação OIDC define um conjunto padrão de declarações, incluindo nome, e-mail, gênero e data de nascimento. Podem ser adicionadas reivindicações personalizadas para incluir informações adicionais do usuário, conforme necessário. Emitidos pelo servidor de autorização após a autenticação de usuário bem-sucedida, os ID tokens são obtidos por meio de fluxos OAuth 2.0 e são aplicáveis a aplicativos da Web e móveis.
Para proteger dados confidenciais, como Informações de Identificação Pessoal (PII), você pode usar tokens de ID criptografados. A criptografia ajuda a evitar acesso não autorizado e garante privacidade e segurança.
Tokens de acesso
Os tokens de acesso são usados no OAuth 2.0 para autorização. Eles permitem que um aplicativo acesse dados ou recursos específicos em nome do usuário. Um token de acesso pode ser formatado como um JSON Web Token (JWT) ou um token não JWT. Serve como uma credencial que informa à API o consentimento do usuário e as permissões concedidas. Ao contrário dos tokens de ID, os tokens de acesso não incluem informações de identidade do usuário; eles simplesmente concedem acesso a recursos especificados.
Especificação OpenID Connect
A especificação do OpenID Connect 1.0 consiste em vários documentos que definem sua funcionalidade principal e recursos opcionais. A Qlik é compatível com essa especificação, mas pode não aceitar todas as implementações específicas do fornecedor. No entanto, o Qlik pode fornecer configurações convenientes para plataformas populares de gerenciamento de identidade.
Os principais documentos da especificação incluem:
- OpenID Connect Core: define a funcionalidade central do OIDC, incluindo a autenticação baseada no OAuth 2.0 e o uso de reivindicações para compartilhar informações do usuário.
- OpenID Connect Discovery (opcional): define como os clientes descobrem dinamicamente informações sobre provedores OpenID.
- OpenID Connect Dynamic Client Registration (opcional): define como os clientes se registram dinamicamente com os provedores OpenID.
- OAuth 2.0 Multiple Response Types: define novos tipos específicos de resposta do OAuth 2.0.
- OAuth 2.0 Form Post Response Mode (opcional): define como retornar parâmetros de resposta de autorização do OAuth 2.0 usando valores de formulário HTML que são enviados automaticamente via HTTP POST.
- OpenID Connect Session Management (opcional): define como gerenciar sessões OIDC, incluindo logout baseado em postMessage e funcionalidade de logout iniciada por RP.
- OpenID Connect Front-Channel Logout (opcional): define um mecanismo de logout que não usa um iframe OP em páginas RP.
- OpenID Connect Back-Channel Logout (opcional): define um mecanismo de logout usando comunicação direta de canal secundário entre o OP e os RPs que estão sendo desconectados.
- OpenID Connect Federation (opcional): define como conjuntos de OPs e RPs podem estabelecer confiança utilizando um Operador de Federação.
Para acessar esses documentos, visite Welcome to OpenID Connect.