Fédération avec OIDC

Open ID Connect (OIDC) est une norme de fédération moderne qui présente à peu près les mêmes fonctionnalités que SAML.

TODO : image de haut niveau simple

OIDC est une extension d'OAuth2 et est souvent utilisé ensemble. OIDC et OAuth2 ont des objectifs différents :

OIDC : Fournit la preuve de l'identité et de l'authentification d'un utilisateur. En plus de cela, une plage de validité et une audience sont fournies. Des attributs liés à l'utilisateur sont également fournis avec cette preuve. Avec cela, le destinataire d'une telle preuve peut établir une session d'application locale de la même manière que cela peut également être fait avec SAML. La preuve est transportée dans ce qu'on appelle un ID-Token, qui est un JWT avec des attributs définis.
OAuth2 : Fournit la permission d'accéder à une API (autorisation API). Ces permissions sont transportées sous la forme de jetons d'accès (AT). Les jetons d'accès sont généralement des "jetons porteurs", ce qui signifie que quiconque présente un tel jeton a le droit d'utiliser cette API. Les jetons d'accès sont soit des JWT, soit des jetons "opaques". Un jeton d'accès opaque ne peut pas être vérifié directement par le destinataire, mais doit être envoyé à l'émetteur (le serveur d'autorisation) pour vérification. Il faut savoir que le jeton d'accès doit avoir une durée de vie courte (quelques minutes) ou qu'une fonctionnalité de révocation doit être disponible.

Il est important de noter que dans l'eIAM, seul OIDC est implémenté. Le jeton OAuth2 fourni est opaque et ne peut être utilisé que pour le point de terminaison de l'API eIAM userinfo, qui fournit des données sur les utilisateurs et fait partie d'OIDC.

Veuillez consulter les pages suivantes pour obtenir une vue d'ensemble des modèles d'intégration possibles ainsi que d'autres détails techniques.