Inicio de sesión único
Inicio de sesión único es un proceso de autenticación por el cual un usuario puede acceder a más de una aplicación especificando un único ID de usuario y contraseña. Puede configurar varias aplicaciones para utilizar Verify para la autenticación y autorización de usuarios. Los usuarios inician sesión en las aplicaciones de destino utilizando sus credenciales de cuenta de Verify . Cuando se autentica con Verify, los usuarios pueden acceder a cualquiera de las aplicaciones a las que están autorizados, dentro de la sesión autenticada. Cuando la sesión caduca, los usuarios deben volver a iniciar sesión a través de Verify.
Para implementar el inicio de sesión único entre Verify y cualquier aplicación de destino, deben intercambiar detalles de configuración. Debe configurar la aplicación en Verify y configurar Verify en la aplicación de destino.
Autenticación y autorización
Autenticación consiste en verificar la identidad de un usuario, es decir, probar que el usuario es la persona que dice ser. Autorización es conceder a un usuario acceso a un recurso y definir qué operaciones puede realizar esa persona con el recurso. Verify da soporte a la autenticación y autorización utilizando SAML y OpenID Connect.| SAML 2.0 | OpenID Connect | |
|---|---|---|
| Descripción | Security Assertion Markup Language (SAML) es un estándar abierto que proporciona autenticación y autorización. El estándar proporciona una infraestructura para la comunicación segura de identidades de usuarios entre un proveedor de servicios y un proveedor de identidades. |
OpenID Connect es un protocolo estándar abierto que combina la autenticación de OpenID y las prestaciones de autorización de OAuth2.0 . El estándar proporciona una infraestructura para la comunicación segura de las identidades de usuarios entre una entidad de confianza y un proveedor de OpenID Connect. |
| Caso práctico | Inicio de sesión único para aplicaciones empresariales |
Inicio de sesión único para aplicaciones de empresa y de consumidor |
| Tipos de cliente admitidos |
|
|
| Formato de los datos | XML | JSON |
| Se envía información o autenticación de usuario | Una aserción SAML. La aserción contiene la información siguiente.
|
Una señal web JSON (JWT), denominada señal de ID. La señal o token contiene la información siguiente:
|
| Señales | Señal de acceso |
Nota: Las longitudes de señal OAuth/OIDC no se han arreglado. Al almacenar las señales de acceso y renovación, permita longitudes de variable. Si necesita establecer una longitud máxima para el almacenamiento y no tiene previsto utilizar señales de acceso de formato JWT en el futuro, permita al menos 1024 caracteres para la longitud de señal.
|
| Componentes / Roles |
|
|
Inicio de sesión único basado en SAML
El proveedor de servicios puede ser cualquier aplicación basada en web que exija la autenticación de sus usuarios. Es el consumidor de la información de identidad de usuario devuelta.
El proveedor de identidades gestiona y certifica la identidad de usuario.
- El usuario solicita acceso a un recurso protegido del proveedor de servicios a través de un agente de usuario.
- El proveedor de servicios envía una solicitud de autenticación de usuario al redireccionar el agente de usuario al proveedor de identidades.
- El proveedor de identidades verifica la identidad del usuario y genera una aserción SAML que confirma la identidad del usuario.
- El proveedor de identidades empaqueta la aserción en su respuesta de autenticación de SAML al proveedor de servicios de .
Inicio de sesión único basado en OpenID Connect
La parte dependiente de OpenID Connect puede ser cualquier aplicación que requiera la autenticación de sus usuarios. Es el consumidor de la información de identidad de usuario devuelta.
- El usuario solicita acceso a un recurso protegido de la entidad de confianza a través de un agente de usuario.
- La entidad de confianza envía una solicitud de autenticación de usuario al redireccionar el agente de usuario al proveedor de OpenID Connect.
- El proveedor de OpenID Connect verifica si el usuario tiene una sesión válida. De lo contrario, el proveedor de OpenID Connect solicita el inicio de sesión de usuario y autentica al usuario a través del punto final de autorización.
- En función del tipo de otorgamiento de autorización, el punto final de
autorización del proveedor de identidades puede enviar una respuesta
de autenticación a la entidad de confianza que contiene:
- A continuación, un cliente puede pasar esta autorización en una solicitud, con un código de autorización2 que la entidad de confianza proporciona a un punto final de señal a cambio de una señal de ID, una señal de acceso o una señal de renovación.
- Una señal de ID y una señal de acceso.
La señal de ID o la señal de renovación contienen las reclamaciones de usuario y la firma que se utilizan para establecer la sesión de usuario.
- Un código QR, un código de usuario y un URL.
- Flujo implícito. Realiza la autenticación y autorización devolviendo directamente una señal de ID y una señal de acceso al cliente en su respuesta.
Nota: OpenID Connect El flujo implícito no da soporte al punto final de señal.