OpenID Connect 1.0 è un semplice livello di identità al di sopra del protocollo OAuth 2.0. Integra i flussi di autenticazione OAuth esistenti e fornisce informazioni sugli utenti ai client in modo ben descritto.
OpenID connect è un modo standardizzato di implementare OAuth e condividere informazioni sugli utenti autenticati. Sarà ora possibile configurare i servizi da utilizzare ORCID "out of the box" insieme ad altri provider di OpenID connect conformi agli standard. OpenID connect fornisce anche token ID condivisibili, che sono oggetti firmati che possono dimostrare che un utente è stato autenticato tramite ORCID in un momento specifico. Questi token possono essere utilizzati dagli elementi dell'interfaccia utente per mantenere le sessioni utente.
ORCID supporta il profilo di conformità Basic OpenID Provider, che è un'estensione del flusso del codice di autorizzazione OAuth. ORCID supporta anche il flusso di token implicito per gli ambiti "/authenticate" e "openid".
Ciò significa che ORCID:
- Incorpora token ID firmati all'interno delle risposte token per i codici di autorizzazione generati con l'ambito 'openid'
- Supporta il flusso implicito quando si utilizzano response_types 'token' o 'token id_token' e l'ambito 'openid'.
- Supporta i parametri 'prompt', 'nonce' e 'max_age' per le richieste di autorizzazione che includono l'ambito 'openid'.
- Supporta la scoperta di Openid Connect e gli endpoint di informazioni utente
- Supporta il campo "amr" per gli integratori che utilizzano l'API membro per le richieste di autorizzazione che includono l'ambito "openid". Questo può essere utilizzato per scoprire se un utente si è autenticato utilizzando l'autenticazione a due fattori.
L'avvio di un'autenticazione OpenID Connect funziona allo stesso modo di una normale autenticazione OAuth. Tutto ciò che è richiesto è che il client richieda l'ambito 'openid' Se si utilizza l'ambito /authenticate sostituirlo con openid, poiché autenticare e openid hanno la stessa autorizzazione solo uno o l'altro dovrebbe essere utilizzato. Se stai utilizzando altri ambiti, aggiungi openid all'elenco degli ambiti richiesti. Quando l'ambito openid è incluso, il registro restituirà un id_token all'interno della risposta del token e concederà al client l'autorizzazione per accedere all'endpoint delle informazioni utente per quell'utente.
Si noti che l'ambito 'openid' non inizia con un '/' come l'altro ORCID Ambiti API. Questo perché l'ambito 'openid' non è definito da ORCID, ma invece definito dalla specifica OpenID Connect.
vedere il nostro documentazione tecnica per maggiori informazioni.