OpenID Connect

OpenID Connect 1.0 是基于 OAuth 2.0 协议的简单身份层,其中用户的身份也会传输到客户机应用程序。 OpenID Connect 允许应用程序根据 OpenID Connect 提供者执行的认证来验证用户身份,并以可互操作的类似 REST 的方式获取有关用户的基本概要文件信息。 客户机应用程序从 OpenID Connect 提供者检索标识令牌 (格式为 JWT) ,然后该令牌用于代表用户访问资源。

有关 OpenID Connect 的更多信息,请参阅其 规范

要查看哪些 CICS® 访问方法支持 OpenID Connect,请参阅哪种身份验证方法可用于哪种访问方法?

为何使用 OpenID Connect?

OpenID Connect 1.0 广泛用作开放式身份协议。 使用 OpenID Connect with CICS 允许您使用与其他平台和应用程序服务器相同的认证和标识机制。 使用 CICS Liberty 配置 openidConnectClient-1.0 功能部件允许您使用 JWT 来认证请求,而无需编写定制认证代码。

OpenID Connect 的工作方式

支持 OpenID Connect 的 OAuth 2.0允许用户安全地与第三方共享对信息的访问权。 它通过避免需要管理多个 Web 站点的许多不同凭证,简化了用户体验。 OAuth 2.0 旨在使一个 Web 站点能够从另一个站点请求用户信息,同时允许用户控制对信息的访问。

OAuth 2.0 为客户机应用程序提供不同类型的 GRANT或方法来获取访问令牌。 这些授权涵盖不同的用例; 请参阅 OAuth 2.0 规范 以获取详细信息。 图 1 显示典型 OpenID Connect 流中针对授权类型 授权代码的步骤。

图 1。 OpenID Connect 流
这是显示 OpenID Connect 流的图。 以下文本中描述了每个步骤。
  1. 用户向客户机应用程序发出请求。
  2. 客户机应用程序将请求重定向到 OpenID Connect 提供者 (OP) 以进行授权。
  3. OP 向用户发送认证和授权请求。
  4. 用户认证并授权客户机应用程序访问资源。
  5. OP 向客户机应用程序发送授权代码。
  6. 客户机应用程序向 OP 发送请求,以将授权代码交换为标识令牌 (格式为 JWT) ,访问令牌和刷新令牌。
  7. OP 将标识令牌 (JWT) ,访问令牌和刷新令牌发送到客户机应用程序。
  8. 客户机应用程序使用 JWT 向资源服务器发出请求,该 JWT 用于认证用户并授权访问资源。
  9. 响应将从资源服务器发送到客户机应用程序。
  10. 响应将从客户机应用程序发送到用户。

CICS Liberty for OpenID Connect 中的支持

CICS Liberty 支持 OpenID Connect 1.0 ,并且可以充当客户机, OpenID Connect 提供者或资源服务器的角色。 例如,可以使用 openidConnectClient-1.0 功能部件来配置 Liberty JVM 服务器,以接受 JWT 作为认证令牌。 有关指示信息,请参阅 配置 JWT 认证