OpenID Connect (OIDC) används för att integrera Qlik Cloud med identitetsleverantörer. OIDC är ett tunt identitetsskikt ovanpå OAuth 2.0-protokollet. OAuth 2.0 är standardprotokollet för auktorisering och OIDC är standardprotokollet för användarautentisering. Via enkel inloggning (SSO) kan de här två protokollen tillsammans ge dig åtkomst till flera appar och webbplatser på ett säkert sätt, utan att du behöver logga in flera gånger.
OAuth 2.0 är endast avsett för auktorisering. Du kan ge åtkomst till data och funktioner från ett program till ett annat genom att ge klienten som skickar begäran en nyckel. När du använder en nyckel behöver du inte avslöja dina inloggningsuppgifter. Du kan istället återanvända inloggningsuppgifterna för ett program där du redan är registrerad som användare, till exempel en e-postleverantör. Nyckeln säkerställer att du bara ger åtkomst till information som du vill dela. Du kan också återkalla nyckeln när som helst.
Nyckeln är användbar, men den innehåller inte någon information om dig som användare. OIDC använder ID-token för att tillhandahålla funktioner för inloggning och profilinformation om personen som är inloggad. Med OIDC kan flera klienter (webbaserade, mobila, Javascript med flera) verifiera användarens identitet baserat på autentiseringen som utförs av en autentiseringsserver. Klienter kan även begära grundläggande profilinformation om användaren.
Följande video ger en introduktion till OAuth och OpenID Connect: An Illustrated Guide to OAuth and OpenID Connect.
ID-token
OpenID Connect använder ID-token som förenklar integreringen och har stöd för många olika appar.
En ID-token är en teckensträng med en specifik formatering. Den kallas även JSON Web Token eller JWT. JWT:er är mångsidiga och stöder flera signatur- och krypteringsalgoritmer. Klienter kan extrahera information som är inbäddad i JWT:n, till exempel ID, namn, när du loggade in, utgångsdatum för ID-token, och om någon har försökt att manipulera JWT:n. Databitarna inne i en ID-token kallas anspråk.
Som vi nämnde tidigare, hämtar klienter ID-token via OAuth 2.0-flöden, vilket fungerar med både webbappar och interna mobilappar.
Åtkomsttoken
Utöver ID-token finns åtkomsttoken: inloggningsuppgifter som kan användas av ett program för åtkomst till ett API. En åtkomsttoken kan vara JWT eller icke-JWT. Token används för att tala om för API:t att tokenbäraren har fått åtkomst till API:t.
Anspråk
JWT-token innehåller anspråk, det vill säga påståenden (som namn eller e-postadress) om ett element (normalt användaren) och ytterligare metadata.
I OIDC-specifikationen definieras ett antal standardanspråk. Standardanspråken omfattar bland annat namn, e-post, kön och födelsedatum. Om du vill samla in information om en användare, som inte ingår i standardanspråken, kan du skapa anpassade anspråk och lägga till dem i dina token.
OpenID Connect-specifikation
OpenID Connect 1.0-specifikationen består av följande dokument. Qlik stöder den här specifikationen, inte alla specifika anpassade leverantörsimplementeringar av specifikationen. För att underlätta för våra kunder kan Qlik välja att lägga till en konfiguration för populära identitetshanteringsprodukter och -plattformar.
- Core: Definierar kärnfunktionaliteten i OpenID Connect: autentisering som placerats ovanpå OAuth 2.0 och användning av anspråk för att kommunicera information om användaren
- Discovery (valfritt): Definierar hur klienter dynamiskt identifierar information om OpenID-leverantörer
- Dynamic Registration (valfritt): Definierar hur klienter dynamiskt registreras hos OpenID-leverantörer
- OAuth 2.0 Multiple Response Types: Definierar flera specifika nya OAuth 2.0-svarstyper
- OAuth 2.0 Form Post Response Mode (valfritt): Definierar hur parametrar för OAuth 2.0 Authorization Response ska returneras (inklusive OpenID Connect Authentication Response-parametrar) med HTML-formulärvärden som skickas automatiskt av användaragenten med hjälp av HTTP POST
- Session Management (valfritt): Definierar hur OpenID Connect-sessioner ska hanteras, inklusive postMessage-baserad utloggning och RP-initierad utloggningsfunktionalitet
- Front-Channel Logout (valfritt): Definierar en front-channel-utloggningsmekanism som inte använder OP-iframe på RP-sidor
- Back-Channel Logout (valfritt): Definierar en utloggningsmekanism som använder direkt back-channel-kommunikation mellan OP:t och RP:er som loggas ut
- OpenID Connect Federation (valfritt): Definierar hur uppsättningar med OP:n och RP:er kan etablera förtroende genom att använda en Federation Operator
Dokumenten hittar du på Welcome to OpenID Connect (Välkommen till OpenID Connect).