OpenID Connect 1.0 ist eine einfache Identitätsschicht auf dem OAuth 2.0-Protokoll. Es ergänzt bestehende OAuth-Authentifizierungsabläufe und stellt Clients auf gut beschriebene Weise Informationen über Benutzer bereit.
OpenID Connect ist eine standardisierte Methode zur Implementierung von OAuth und zum Austausch von Informationen über authentifizierte Benutzer. Es ist nun möglich, die zu verwendenden Dienste zu konfigurieren ORCID „out of the box“ neben anderen standardkonformen OpenID Connect-Anbietern. OpenID Connect bietet auch gemeinsam nutzbare ID-Token, signierte Objekte, die einen Benutzer authentifizieren können, indem ORCID zu einem bestimmten Zeitpunkt. Diese Token können von Elementen der Benutzeroberfläche verwendet werden, um Benutzersitzungen aufrechtzuerhalten.
ORCID unterstützt das Basic OpenID Provider-Konformitätsprofil, das eine Erweiterung des OAuth-Autorisierungscodeflusses ist. ORCID Unterstützt auch den impliziten Tokenfluss für die Bereiche „/authenticate“ und „openid“.
Dies bedeutet, dass ORCID:
- Bettet signierte ID-Token in Token-Antworten für Autorisierungscodes ein, die mit dem Bereich „OpenID“ generiert wurden.
- Unterstützt den impliziten Fluss bei Verwendung der Antworttypen „token“ oder „token id_token“ und des Bereichs „openid“.
- Unterstützt die Parameter „prompt“, „nonce“ und „max_age“ für Autorisierungsanfragen, die den Bereich „openid“ umfassen.
- Unterstützt Openid Connect-Erkennungs- und Benutzerinfo-Endpunkte
- Unterstützt das Feld „amr“ für Integratoren, die die Mitglieds-API für Autorisierungsanfragen verwenden, die den Bereich „openid“ umfassen. Dies kann verwendet werden, um herauszufinden, ob sich ein Benutzer mithilfe der Zwei-Faktor-Authentifizierung authentifiziert hat.
Das Initiieren einer OpenID Connect-Authentifizierung funktioniert auf die gleiche Weise wie eine reguläre OAuth-Authentifizierung. Alles, was erforderlich ist, ist, dass der Client den Bereich „openid“ anfordert. Wenn Sie den Bereich „/authenticate“ verwenden, ersetzen Sie ihn durch „openid“, da „authenticate“ und „openid“ dieselbe Berechtigung haben, sollte nur das eine oder das andere verwendet werden. Wenn Sie andere Bereiche verwenden, fügen Sie openid zur Liste der angeforderten Bereiche hinzu. Wenn der openid-Bereich enthalten ist, gibt die Registry ein id_token in der Token-Antwort zurück und erteilt dem Client die Berechtigung, auf den Benutzerinformationsendpunkt für diesen Benutzer zuzugreifen.
Beachten Sie, dass der Bereich „openid“ nicht wie der andere mit einem „/“ beginnt ORCID API-Bereiche. Dies liegt daran, dass der Bereich „openid“ nicht durch definiert ist ORCID, sondern durch die OpenID Connect-Spezifikation definiert.
Sie finden weitere Information unter den jeweiligen Technische Dokumentation für weitere Informationen.