OpenID Connect (OIDC) 用於與識別提供者的 Qlik Cloud 整合OIDC 是 OAuth 2.0 通訊協定以外的精簡識別層。OAuth 2.0 是用於授權的標準通訊協定,而 OIDC 是用於使用者驗證的標準通訊協定。併用這兩種通訊協定,可讓您透過 單一登入 (SSO) 以安全的方式存取多個應用程式和網站,而不必登入數次。
OAuth 2.0 的設計僅用於授權。您可以向要求的用戶端提供金鑰,以授予各個應用程式資料和功能的存取權限。使用金鑰時,不必揭露您的認證。您可透過應用程式 (而且您已經是其中的註冊使用者) 重複使用認證,例如電子郵件提供者。金鑰確保您只會分享您同意分享的資訊。您也能隨時撤銷金鑰。
金鑰十分實用,但不會提供關於作為使用者的您的任何資訊。OIDC 新增登入方面的功能以及關於已使用 ID Token 登入者的個人檔案資訊。OIDC 允許不同的用戶端 (網頁式、行動、Javascript 和其他) 根據授權伺服器執行的驗證來驗證使用者的身分識別。用戶端也可以要求關於使用者的基本個人檔案資訊。
如需 OAuth 和 OpenID Connect 的簡介,請參閱下列影片:An Illustrated Guide to OAuth and OpenID Connect.
ID Token
OpenID Connect 使用簡化整合的 ID Token 並支援各種應用程式。
ID Token 是特別格式化的字元字串,稱為 JSON Web Token 或 JWT。JWT 的用途多元,並支援一系列的簽名和加密演算法。用戶端可以擷取內嵌於 JWT 的資訊,例如 ID、名稱、登入時間、ID Token 到期時間以及是否有人嘗試竄改 JWT。ID Token 內部的資料物件稱為宣告。
如上述,用戶端使用 OAuth 2.0 流量取得 ID Token,這可搭配網頁應用程式和原生行動應用程式運作。
存取 Token
除了 ID Token,也有存取 Token:應用程式可用來存取 API 的認證。存取 Token 可以是 JWT 或非 JWT Token。Token 用來告知 API 此 Token 的持有人已獲得 API 的存取權限。
宣告
JWT Token 包含宣告,這是關於項目 (通常是使用者) 的陳述 (例如名稱或電子郵件地址) 和其他中繼資料。
OIDC 規格定義一組標準宣告。這組標準宣告包括名稱、電子郵件、性別、出生日期等。若您想要對標準宣告未涵蓋的使用者收集其相關資訊,可以建立自訂宣告並將他們新增至您的 Token。
OpenID Connect 規格
OpenID Connect 1.0 規格由下列文件組成。Qlik 支援此規格,而非所有特定自訂廠商對於該規格的實施。Qlik 可選擇針對熱門識別管理產品和平台,為客戶新增便利設定。
- Core:定義核心 OpenID Connect 功能:建置於 OAuth 2.0 的驗證以及使用宣告來傳達關於使用者的資訊
- Discovery (選用):定義用戶端如何動態探索關於 OpenID 提供者的資訊
- Dynamic Registration (選用):定義用戶端如何透過 OpenID 提供者動態註冊
- OAuth 2.0 Multiple Response Types: 定義數個特定的新 OAuth 2.0 回應類型
- OAuth 2.0 Form Post Response Mode (選用):定義如何使用由使用者代理程式使用 HTTP POST 自動提交的 HTML 表單值傳回 OAuth 2.0 授權回應參數 (包括 OpenID Connect 驗證回應參數)
- Session Management (選用):定義如何管理 OpenID Connect 工作階段,包括基於 postMessage 的登出和 RP 發起的登出功能
- Front-Channel Logout (選用):定義不使用 RP 頁面上的 OP iframe 的前管道登出機制
- Back-Channel Logout (選用):定義使用登出之 OP 和 RP 之間的直接後管道通訊的登出機制
- OpenID Connect Federation (選用):定義 OP 和 RP 組如何能夠利用同盟運算子來建立信任
若要存取文件,請至歡迎來到 OpenID Connect。