Conexão Única

Editar online

Conexão única é um processo de autenticação no qual um usuário pode acessar mais de um aplicativo inserindo um único ID de usuário e senha. Você pode configurar várias aplicações para usar Verify na autenticação e autorização de usuários. Os usuários fazem login nas aplicações de destino usando suas Verify credenciais de conta. Ao se autenticarem com Verify, os usuários podem acessar qualquer uma das aplicações às quais têm acesso, dentro da sessão autenticada. Quando a sessão expirar, os usuários deverão fazer login novamente através de Verify.

Para implementar o login único entre Verify e qualquer aplicativo de destino, é necessário que eles troquem informações de configuração. Você deve configurar o aplicativo em Verify e configurar Verify no aplicativo de destino.

Autenticação e autorização

Autenticação é a verificação da identidade de um usuário; provando que o usuário é a pessoa que ele alega ser. Autorização é a concessão de acesso de usuário a um recurso e a definição do que essa pessoa pode fazer com o recurso. Verify suporta autenticação e autorização por meio do SAML e do OpenID Connect.
Tabela 1. Resumo comparativo
SAML 2.0 Conexão OpenID
Descrição

A Security Assertion Markup Language ( SAML ) é um padrão aberto que oferece autenticação e autorização.

O padrão fornece uma estrutura para a comunicação segura de identidades do usuário entre um provedor de serviços e um provedor de identidade.

OpenID O Connect é um protocolo de padrão aberto que combina recursos de autenticação do tipo “ OpenID ” e de autorização do tipo “ OAuth2.0 ”.

O padrão fornece uma estrutura para a comunicação segura de identidades do usuário entre uma uma terceira parte e um provedor do OpenID Connect.
Caso de uso

Conexão única para aplicativos corporativos

Conexão única para aplicativos consumidores e corporativos
Tipos de clientes suportados
  • Baseada na web
  • Baseada na web
  • Dispositivo móvel ou nativo
  • JavaScript
Formato de dados XML JSON
Informações do usuário ou autenticação são enviadas por meio de

Uma afirmação de " SAML ".

A asserção contém as seguintes informações:
  • Sujeito (quem se autenticou)
  • Atributos (informações sobre a pessoa)
  • Emissor (quem emitiu a declaração)
  • Outras informações sobre o evento de autenticação

Um JSON Web Token (JWT), também conhecido como token de identificação.

O token contém as seguintes informações:
  • Sujeito (quem se autenticou)
  • Emissor (que emitiu as solicitações do usuário)
  • Expiração de autenticação
  • Atributos ou dados do usuário (informações sobre a pessoa) 1
  • Outras informações sobre o evento de autenticação
Tokens Token de acesso
  • Token de ID
  • Token acesso. O token de acesso pode ser uma sequência opaca ou no formato JWT.
  • Token de atualização
Observação: os comprimentos dos tokens OIDC do tipo OAuth não são fixos. Ao armazenar os tokens de acesso e de atualização, considere comprimentos variáveis. Se você precisar definir um comprimento máximo para armazenamento e não pretender usar tokens de acesso no formato JWT no futuro, reserve pelo menos 1024 caracteres para o comprimento do token.
Componentes/funções
  • Usuário, quem está solicitando o acesso.
  • Agente do usuário, onde o usuário se autentica; por exemplo, o navegador da web.
  • Provedor de serviços, o aplicativo que o usuário está tentando acessar.
  • Provedor de identidade, autentica o usuário.
  • Usuário, quem está solicitando o acesso.
  • Agente do usuário, onde o usuário se autentica; por exemplo, o navegador da web.
  • Parte dependente ou cliente, o aplicativo que o usuário está tentando acessar.
  • Provedor do OpenID Connect, autentica o usuário e o cliente.

Conexão única baseada em SAML

O provedor de serviços pode ser qualquer aplicativo baseado na web que requer que seus usuários sejam autenticados. É o consumidor das informações de identidade do usuário retornadas.

O provedor de identidade gerencia e declara a identidade do usuário.

  1. O usuário solicita acesso a um recurso protegido do provedor de serviços por meio de um agente do usuário.
  2. O provedor de serviços envia uma solicitação de autenticação do usuário, redirecionando o agente do usuário para o provedor de identidade.
  3. O provedor de identidade verifica a identidade do usuário e gera uma asserção de autenticação ( SAML ) que atesta a identidade do usuário.
  4. O provedor de identidade inclui a asserção em sua resposta de autenticação do tipo “ SAML ” enviada ao provedor de serviços.

Conexão única baseada no OpenID Connect

A parte conectada do OpenID pode ser qualquer aplicativo que exija que seus usuários sejam autenticados. É o consumidor das informações de identidade do usuário retornadas.

O provedor do OpenID Connect autentica o usuário por meio de seu terminal de autorização e autentica o cliente por meio de seu terminal do token.
  1. O usuário solicita acesso a um recurso protegido da uma terceira parte por meio de um agente do usuário.
  2. A parte responsável envia uma solicitação de autenticação de usuário por meio do redirecionamento do agente do usuário para o provedor do OpenID Connect.
  3. O provedor do OpenID Connect verifica se o usuário possui uma sessão válida. Caso contrário, o provedor do OpenID Connect solicita o login do usuário e autentica o usuário por meio do terminal de autorização.
  4. Dependendo do tipo de concessão de autorização, o terminal de autorização do provedor de identidade pode enviar uma resposta de autenticação para a uma terceira parte que contém:
    • Essa autorização pode então ser transmitida em uma solicitação feita por um cliente, por meio de um código de autorização2 que a parte confiável fornece a um endpoint de token em troca de um token de identificação, um token de acesso ou um token de atualização.
    • Um token de ID e um token de acesso.

      O token de ID ou token de atualização contém as solicitações do usuário e a assinatura usadas para estabelecer a sessão do usuário.

    • Um Código Quick Response, um código do usuário e uma URL.
    • Fluxo implícito. Ele realiza a autenticação e a autorização, retornando diretamente um token de identificação e um token de acesso ao cliente em sua resposta.
    Observação: O fluxo implícito do provedor OpenID Connect não é compatível com o endpoint de token.
1 Essas afirmações são declarações sobre o usuário, nas quais se pode confiar se o destinatário do token puder verificar sua assinatura. Destinam-se a fornecer o aplicativo cliente com detalhes do usuário consentidos, como e-mail e nome.
2 uma credencial intermediária, que codifica a autorização.