OpenID Connect como SSO

Navega tus respuestas
0

Recientemente investigué sobre la solución SSO y entré en el marco de conexión OpenID; pero después de varios días de investigación, esto me confunde que el protocolo 'OpenID Connect' no define el flujo de cómo iniciar sesión en un Servidor de autenticación y El servidor ¿Cómo identificar a un usuario será el usuario que ingresa? ¿Pero de acuerdo con el documento oficial de que el propósito de OpenID Connect es solo para la autenticación?

Entonces, cualquiera podría darme algunas sugerencias de que si es posible utilizando openid connect para cumplir mi propósito:

  1. Si quiero implementar un servidor de proveedor de identidad, ¿cómo tratar con los procesos de inicio de sesión del usuario (después de que el usuario haga clic en el botón de inicio de sesión)?

  2. Y, si quiero implementar el SSO, ¿hay algo más que deba hacer? (solo alguna sugerencia)?

B.T.W, mi compañía proporcionará los diferentes tipos de productos de dispositivos (como, ios, android, html5 app), pero todos los productos deben iniciar sesión desde un servidor (SSO)

    
pregunta Kris 19.08.2015 - 06:42
fuente

1 respuesta

3

Primero, debe comprender que OpenID connect está construido sobre OAuth 2. Es decir, que necesita comprender las diferencias entre el servidor de Autorización, el servidor de recursos, el cliente y el usuario.

En general, la idea es:

  1. un usuario quiere usar una aplicación cliente pero primero tiene que iniciar sesión
  2. la aplicación cliente confía en un servidor de autorización,
  3. el servidor de autorización conoce al usuario y le pregunta sobre los datos que desea compartir con la aplicación cliente,
  4. si permite compartir los datos, el servidor de autorización responde a la aplicación cliente con un id_token
  5. La aplicación cliente ahora puede verificar el id_token y verificar la información del usuario contenida en el interior (como user_id, first_name, last_name, etc.)
  6. la aplicación cliente ahora le permite acceder (sabiendo quién es el usuario)

El flujo puede ser ligeramente diferente si está utilizando un código de autorización o una concesión implícita, pero eso debería darle una idea aproximada.

Si usted es el que implementa el proveedor de identidad y / o el servidor de autorización, debe permitir que una aplicación cliente pueda registrarse en su sistema. Por lo general, esto incluye el nombre del cliente y la redirección de las URL para responder cuando el usuario hizo clic en iniciar sesión.

espero que ayude,

    
respondido por el Jorge Alvarado 19.08.2015 - 09:03
fuente

Lea otras preguntas en las etiquetas

¿Impide la instalación del software VPN en las computadoras de su hogar? [cerrado] La forma en que se descubren las vulnerabilidades como CVE-2014-4148 [duplicado]