OpenID Connect 1.0 - это простой уровень идентификации поверх протокола OAuth 2.0. Он дополняет существующие потоки аутентификации OAuth и предоставляет клиентам информацию о пользователях в хорошо описанной форме.
OpenID connect - это стандартизированный способ реализации OAuth и обмена информацией об аутентифицированных пользователях. Теперь можно будет настроить службы для использования ORCID «из коробки» наряду с другими провайдерами OpenID Connect, соответствующими стандартам. OpenID Connect также предоставляет токены ID с возможностью совместного использования, которые являются подписанными объектами, которые могут подтвердить, что пользователь прошел аутентификацию с помощью ORCID в определенное время. Эти токены могут использоваться элементами пользовательского интерфейса для поддержки пользовательских сеансов.
ORCID поддерживает базовый профиль соответствия поставщика OpenID, который является расширением потока кода авторизации OAuth. ORCID также поддерживает неявный поток токенов для областей действия «/ authenticate» и «openid».
Это означает, что ORCID:
- Встраивает подписанные токены идентификаторов в ответы токенов для кодов авторизации, сгенерированных с областью действия «openid»
- Поддерживает неявный поток при использовании response_types 'token' или 'token id_token' и области 'openid'.
- Поддерживает параметры «prompt», «nonce» и «max_age» для запросов авторизации, которые включают область «openid».
- Поддерживает обнаружение Openid Connect и конечные точки информации пользователя
- Поддерживает поле amr для интеграторов, использующих членский API для запросов авторизации, которые включают область openid. Это можно использовать, чтобы определить, прошел ли пользователь аутентификацию с использованием двухфакторной аутентификации.
Инициирование аутентификации OpenID Connect работает так же, как обычная аутентификация OAuth. Все, что требуется, это то, что клиент запрашивает область «openid». Если вы используете область / Authenticate, замените ее на openid, поскольку Authenticate и openid имеют одинаковую авторизацию, следует использовать только один или другой. Если вы используете какие-либо другие области, добавьте openid в список запрашиваемых областей. Когда область openid включена, реестр вернет id_token внутри ответа токена и предоставит клиенту разрешение на доступ к конечной точке информации о пользователе для этого пользователя.
обратите внимание, что область «openid» не начинается с «/», как другая ORCID Области API. Это связано с тем, что область действия openid не определяется ORCID, но вместо этого определяется спецификацией OpenID Connect.
Смотрите наши техническая документация чтобы получить больше информации.