Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
OpenID Connect (OIDC) : son fonctionnement | Ping Identity

Article

OpenID Connect (OIDC) : son fonctionnement

OpenID Connect (OIDC), c’est quoi ?

OpenID Connect 1.0 (Connect) est un standard qui étend les capacités d’OAuth 2.0 en ajoutant l’identité pour créer un cadre unique permettant de sécuriser les API, les applications natives mobiles et les applications web au sein d’une architecture.

 

OpenID Connect ajoute l’identité au modèle d’émission des jetons d’OAuth.

 

  1. un jeton d’identité - l’envoi peut entraîner une expérience utilisateur de SSO fédéré pour un utilisateur
  2. une API d’attribut d’identité standardisée, auprès de laquelle un client peut récupérer les attributs d’identité d’un utilisateur en particulier

Quels problèmes OpenID Connect permet-il de résoudre ?

OAuth 2.0 n’est pas un protocole d’identité. Il s’agit d’un cadre d’authentification et d’autorisation pour sécuriser les API arbitraires par rapport aux API ayant les informations d’identité. De plus, les jetons d’accès OAuth transportent une sémantique d’autorisation sans avoir de sémantique d’identité. OIDC ajoute ces deux concepts d’identité à la « tuyauterie » d’OAuth pour créer un cadre pour l’identité distribuée.

Comment fonctionne OpenID Connect ?

Lorsqu’un client utilise OAuth pour interagir avec un serveur d’autorisation (SA), il doit seulement indiquer au SA qu’il souhaite s’engager dans les étapes et les flux supplémentaires que Connect définit au-delà de la base OAuth. Concernant OAuth, le SA peut authentifier l’utilisateur puis renvoyer au client à la fois un jeton d’accès (comme sur OAuth) ainsi qu’une construction supplémentaire appelée jeton d’identité. Le jeton d’identité est une affirmation par le SA au client que l’utilisateur en question s’est bien authentifié récemment. C’est grâce à la délivrance du jeton d’identité par le SA au client que l’utilisateur peut profiter d’une expérience de SSO chez le client. De plus, le client peut utiliser le jeton d’accès en appelant le terminal Userinfo du SA pour recevoir des attributs d’identité supplémentaires, au-delà de ceux du jeton d’identité.

 

OIDC définit également les mécanismes pour découvrir et gérer les sessions au-delà d’OAuth.

Installation d’OIDC

Les installations de Connect incluent Google, Bakunin (réseau d’universités japonaises), Microsoft, PayPal, Ping Identity, Nikkei Newspaper, Tokyu Corporation, mixi, Yahoo! Japan et Softbank. Des déploiements avancés sont également en cours au sein des groupes de travail des organisations participantes, notamment Deutsche Telecom, AOL et Salesforce.

 

Voici un exemple de flux Connect typique :

 
A diagram outlining an example of a typical Connect flow.

Lancez-vous dès Aujourd'hui

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.

Démonstration Gratuite