OpenID Connect 1.0 est une simple couche d'identité au-dessus du protocole OAuth 2.0. Il complète les flux d'authentification OAuth existants et fournit des informations sur les utilisateurs aux clients de manière bien décrite.
OpenID connect est un moyen standardisé de mettre en œuvre OAuth et de partager des informations sur les utilisateurs authentifiés. Il sera désormais possible de configurer les services à utiliser ORCID « prêt à l'emploi » aux côtés d'autres fournisseurs OpenID Connect conformes aux normes. OpenID Connect fournit également des jetons d'identification partageables, qui sont des objets signés qui peuvent prouver qu'un utilisateur s'est authentifié à l'aide ORCID à un moment précis. Ces jetons peuvent être utilisés par les éléments de l'interface utilisateur pour maintenir les sessions utilisateur.
ORCID prend en charge le profil de conformité Basic OpenID Provider, qui est une extension du flux de code d'autorisation OAuth. ORCID prend également en charge le flux de jetons implicite pour les portées «/ authenticate» et «openid».
Cela signifie que ORCID:
- Incorpore des jetons d'identification signés dans les réponses de jetons pour les codes d'autorisation générés avec la portée « openid »
- Prend en charge le flux implicite lors de l'utilisation de "token" ou "token id_token" response_types et de la portée "openid".
- Prend en charge les paramètres «prompt», «nonce» et «max_age» pour les demandes d'autorisation qui incluent la portée «openid».
- Prend en charge la découverte Openid Connect et les points de terminaison userinfo
- Prend en charge le champ «amr» pour les intégrateurs utilisant l'API membre pour les demandes d'autorisation qui incluent la portée «openid». Cela peut être utilisé pour découvrir si un utilisateur s'est authentifié à l'aide de l'authentification à deux facteurs.
Le lancement d'une authentification OpenID Connect fonctionne de la même manière qu'une authentification OAuth classique. Tout ce qui est requis est que le client demande la portée 'openid'. Si vous utilisez la portée / authenticate, remplacez-la par openid, car authenticate et openid ont la même autorisation, seul l'un ou l'autre doit être utilisé. Si vous utilisez d'autres étendues, ajoutez openid à la liste des étendues demandées. Lorsque la portée openid est incluse, le registre renvoie un id_token dans la réponse du jeton et accorde au client l'autorisation d'accéder au point de terminaison des informations utilisateur pour cet utilisateur.
notez que la portée 'openid' ne commence pas par un '/' comme les autres ORCID Portées de l'API. Ceci est dû au fait que la portée 'openid' n'est pas définie par ORCID, mais défini par la spécification OpenID Connect.
Découvrez nos offres de documentation technique pour plus d'informations.