OpenID Connect 1.0 es una capa de identidad simple sobre el protocolo OAuth 2.0. Complementa los flujos de autenticación de OAuth existentes y proporciona información sobre los usuarios a los clientes de una manera bien descrita.
OpenID connect es una forma estandarizada de implementar OAuth y compartir información sobre usuarios autenticados. Ahora será posible configurar los servicios para usar ORCID "listo para usar" junto con otros proveedores de conexión OpenID que cumplen con los estándares. OpenID connect también proporciona tokens de identificación compartibles, que son objetos firmados que pueden demostrar que un usuario se autenticó mediante ORCID en un momento específico. Los elementos de la interfaz de usuario pueden utilizar estos tokens para mantener las sesiones de usuario.
ORCID admite el perfil de conformidad del proveedor de OpenID básico, que es una extensión del flujo del código de autorización de OAuth. ORCID también admite el flujo de token implícito para los ámbitos "/ authenticate" y "openid".
Esto significa que ORCID:
- Incorpora tokens de identificación firmados dentro de las respuestas de token para los códigos de autorización generados con el alcance 'openid'
- Admite el flujo implícito cuando se utilizan 'token' o 'token id_token' response_types y el alcance 'openid'.
- Admite los parámetros 'prompt', 'nonce' y 'max_age' para solicitudes de autorización que incluyen el alcance 'openid'.
- Admite puntos finales de información de usuario y descubrimiento de Openid Connect
- Admite el campo 'amr' para integradores que utilizan la API de miembro para solicitudes de autorización que incluyen el alcance 'openid'. Esto se puede utilizar para descubrir si un usuario se autenticó mediante la autenticación de dos factores.
Iniciar una autenticación OpenID Connect funciona de la misma manera que una autenticación OAuth normal. Todo lo que se requiere es que el cliente solicite el alcance 'openid'. Si está utilizando el alcance / authenticate, reemplácelo con openid, ya que authenticate y openid tienen la misma autorización, solo se debe usar uno u otro. Si está utilizando otros ámbitos, agregue openid a la lista de ámbitos solicitados. Cuando se incluye el alcance de openid, el Registro devolverá un id_token dentro de la respuesta del token y otorgará permiso al cliente para acceder al punto final de información del usuario para ese usuario.
Tenga en cuenta que el alcance 'openid' no comienza con un '/' como el otro ORCID Ámbitos de API. Esto se debe a que el alcance 'openid' no está definido por ORCID, pero en su lugar está definido por la especificación OpenID Connect.
Vea las reseñas de nuestros de documentación técnica para obtener más información.