跳到主要內容

OpenID Connect 用於與識別提供者整合

在此頁面

OpenID Connect 用於與識別提供者整合

OpenID Connect (OIDC) 用於與識別提供者的 Qlik Sense Enterprise SaaS 整合OIDC 是 OAuth 2.0 通訊協定以外的精簡識別層。OAuth 2.0 是用於授權的標準通訊協定,而 OIDC 是用於使用者驗證的標準通訊協定。併用這兩種通訊協定,可讓您透過 單一登入 (SSO) 以安全的方式存取多個應用程式和網站,而不必登入數次。

OAuth 2.0 的設計僅用於授權。您可以向要求的用戶端提供金鑰,以授予各個應用程式資料和功能的存取權限。使用金鑰時,不必揭露您的認證。您可透過應用程式 (而且您已經是其中的註冊使用者) 重複使用認證,例如電子郵件提供者。金鑰確保您只會分享您同意分享的資訊。您也能隨時撤銷金鑰。

金鑰十分實用,但不會提供關於作為使用者的您的任何資訊。OIDC 新增登入方面的功能以及關於已使用 ID Token 登入者的個人檔案資訊。OIDC 允許不同的用戶端 (網頁式、行動、Javascript 和其他) 根據授權伺服器執行的驗證來驗證使用者的身分識別。用戶端也可以要求關於使用者的基本個人檔案資訊。

如需 OAuth 和 OpenID Connect 的簡介,請參閱下列影片:An Illustrated Guide to OAuth and OpenID Connect.

ID Token

OpenID Connect 使用簡化整合的 ID Token 並支援各種應用程式。

ID Token 是特別格式化的字元字串,稱為 JSON Web TokenJWT。JWT 的用途多元,並支援一系列的簽名和加密演算法。用戶端可以擷取內嵌於 JWT 的資訊,例如 ID、名稱、登入時間、ID Token 到期時間以及是否有人嘗試竄改 JWT。ID Token 內部的資料物件稱為宣告。

如上述,用戶端使用 OAuth 2.0 流量取得 ID Token,這可搭配網頁應用程式和原生行動應用程式運作。

存取 Token

除了 ID Token,也有存取 Token:應用程式可用來存取 API 的認證。存取 Token 可以是 JWT 或非 JWT Token。Token 用來告知 API 此 Token 的持有人已獲得 API 的存取權限。

宣告

JWT Token 包含宣告,這是關於項目 (通常是使用者) 的陳述 (例如名稱或電子郵件地址) 和其他中繼資料。

OIDC 規格定義一組標準宣告。這組標準宣告包括名稱、電子郵件、性別、出生日期等。若您想要對標準宣告未涵蓋的使用者收集其相關資訊,可以建立自訂宣告並將他們新增至您的 Token。

OpenID Connect 規格

OpenID Connect 1.0 規格由下列文件組成。Qlik 支援此規格,而非所有特定自訂廠商對於該規格的實施。Qlik 可選擇針對熱門識別管理產品和平台,為客戶新增便利設定。

  • Core:定義核心 OpenID Connect 功能:建置於 OAuth 2.0 的驗證以及使用宣告來傳達關於使用者的資訊
  • Discovery (選用):定義用戶端如何動態探索關於 OpenID 提供者的資訊
  • Dynamic Registration (選用):定義用戶端如何透過 OpenID 提供者動態註冊
  • OAuth 2.0 Multiple Response Types: 定義數個特定的新 OAuth 2.0 回應類型
  • OAuth 2.0 Form Post Response Mode (選用):定義如何使用由使用者代理程式使用 HTTP POST 自動提交的 HTML 表單值傳回 OAuth 2.0 授權回應參數 (包括 OpenID Connect 驗證回應參數)
  • Session Management (選用):定義如何管理 OpenID Connect 工作階段,包括基於 postMessage 的登出和 RP 發起的登出功能
  • Front-Channel Logout (選用):定義不使用 RP 頁面上的 OP iframe 的前管道登出機制
  • Back-Channel Logout (選用):定義使用登出之 OP 和 RP 之間的直接後管道通訊的登出機制
  • OpenID Connect Federation (選用):定義 OP 和 RP 組如何能夠利用同盟運算子來建立信任

若要存取文件,請至歡迎來到 OpenID Connect