OpenID Connect (OIDC) integrerar Qlik Cloud med identitetsleverantörer och lägger till ett lager för användarautentisering ovanpå OAuth 2.0-protokollet. Det aktiverar säker enkel inloggning (SSO) och låter användarna logga in en gång och få åtkomst till flera program och webbplatser utan upprepad autentisering.
OAuth 2.0 och OIDC
OAuth 2.0 är endast avsett för auktorisering. Det gör att ett program kan ge ett annat program åtkomst till sina data eller funktioner med hjälp av en säker token, i stället för att exponera inloggningsuppgifter. Denna token ger begränsad åtkomst och säkerställer att du bara ger åtkomst till information som du vill dela. Du kan återkalla din token när som helst.
OAuth 2.0 inkluderar inte information om användaridentiteter. OpenID Connect (OIDC) förbättrar detta genom att införa ID-tokens, som innehåller användarens inloggningsuppgifter och profilinformation. Dessa token låter olika klienter (webbaserade, mobila, Javascript med flera) verifiera användaridentiteten baserat på autentiseringen som utförs av en autentiseringsserver. Klienter kan även begära grundläggande profilinformation om användaren.
Se videon för en introduktion till OAuth och OIDC: An Illustrated Guide to OAuth and OpenID Connect.
ID-token
ID-tokens, som används i OpenID Connect (OIDC), hanterar användarautentisering och innehåller detaljerad användarinformation som identitets- och profiluppgifter. Dessa tokens är vanligtvis formaterade som JSON Web Tokens (JWT), som stöder olika signatur- och krypteringsalgoritmer.
ID-tokens innehåller påståenden – bitar av data om användaren, till exempel ID, namn, inloggningstid och indikationer på manipulering. Anspråk i ID-token ger programmet nödvändiga detaljer för att verifiera användarens identitet och underlätta enkel inloggning (SSO). OIDC-specifikationen definierar en standarduppsättning av påståenden, inklusive namn, e-post, kön och födelsedatum. Anpassade anspråk kan läggas till för att inkludera ytterligare användarinformation efter behov. ID-token, utfärdade av auktoriseringsservern efter en lyckad användarautentisering, erhålls genom OAuth 2.0-flöden och är tillämpliga på både webb- och mobilapplikationer.
För att skydda känsliga uppgifter, t.ex. personliga identitetsuppgifter (PII), kan du använda krypterade ID-tokens. Kryptering hjälper till att förhindra obehörig åtkomst och säkerställer integritet och säkerhet.
Åtkomsttoken
Åtkomsttoken används i OAuth 2.0 för auktorisering. De låter ett program få tillgång till specifika data eller funktioner för användarens räkning. En åtkomsttoken kan formateras som en JSON Web Token (JWT) eller en icke-JWT-token. Den fungerar som en referens som informerar API:et om användarens samtycke och de beviljade behörigheterna. Till skillnad från ID-token inkluderar åtkomsttoken inte information om användaridentitet; de ger helt enkelt åtkomst till specificerade resurser.
OpenID Connect-specifikation
OpenID Connect 1.0-specifikationen består av flera dokument som definierar dess kärnfunktioner och valfria funktioner. Qlik stöder denna specifikation men stöder eventuellt inte alla leverantörsspecifika implementeringar. Dock kan Qlik tillhandahålla praktiska konfigurationer för populära plattformar för identitetshantering.
Viktiga dokument i specifikationen inkluderar:
- OpenID Connect Core : Definierar OIDC:s kärnfunktioner, inklusive autentisering som bygger på OAuth 2.0 och användning av anspråk för att dela användarinformation.
- OpenID Connect Discovery (valfritt): Definierar hur klienter dynamiskt identifierar information om OpenID-leverantörer
- OpenID Connect Dynamisk Klientregistrering (Valfritt): Definierar hur klienter dynamiskt registrerar sig med OpenID-leverantörer.
- Flera typer av svar för OAuth 2.0: Definierar specifika nya OAuth 2.0-svarstyper.
- OAuth 2.0 Form Post Response Mode (valfritt): Definierar hur parametrar för OAuth 2.0 Authorization Response ska returneras med HTML-formulärvärden som skickas automatiskt av användaragenten via HTTP POST.
- OpenID Connect Session Management (valfritt): Definierar hur OIDC-sessioner ska hanteras, inklusive postMessage-baserad utloggning och RP-initierad utloggningsfunktionalitet.
- OpenID Connect Front-Channel Logout (valfritt): Definierar en utloggningsmekanism som inte använder OP-iframe på RP-sidor.
- OpenID Connect Back-Channel Logout (valfritt): Definierar en utloggningsmekanism som använder direkt back-channel-kommunikation mellan OP:t och RP:er som loggas ut
- OpenID Connect Federation (valfritt): Definierar hur uppsättningar med OP:n och RP:er kan etablera förtroende genom att använda en Federation Operator.
Dokumenten hittar du på Welcome to OpenID Connect (Välkommen till OpenID Connect).