OpenID Connect : Guide du développeur pour les données d'identité

Dans le paysage numérique interconnecté actuel, la gestion sécurisée de l'identité des utilisateurs est primordiale. Bien qu'OAuth 2.0 excelle dans l'autorisation – en accordant aux applications l'accès aux ressources au nom d'un utilisateur – il ne fournit pas intrinsèquement d'informations sur l'utilisateur. C'est là qu'OpenID Connect (OIDC) entre en jeu. OIDC est une couche d'identité construite sur OAuth 2.0, offrant une manière standardisée de vérifier l'identité de l'utilisateur et d'obtenir des informations de profil de base. Ce guide approfondira les concepts clés d'OpenID Connect, ses avantages et les considérations pratiques pour les développeurs.

Points clés

OIDC s'appuie sur OAuth 2.0 : OIDC utilise le framework OAuth 2.0 pour l'authentification et l'autorisation, en ajoutant une couche d'identité.

Jetons d'identité (ID Tokens) : Les ID Tokens basés sur JWT transmettent en toute sécurité les données d'identité utilisateur vérifiées.

Claims : OIDC utilise des 'claims' pour représenter des éléments d'informations sur l'utilisateur, standardisés pour l'interopérabilité.

Flux standardisés : OIDC définit plusieurs flux pour différents types d'applications (web, mobile, native) afin de rationaliser l'intégration.

Qu'est-ce qu'OpenID Connect ?

OpenID Connect (OIDC) est une couche d'authentification au-dessus du framework d'autorisation OAuth 2.0. Il fournit une méthode standardisée pour que les applications vérifient l'identité d'un utilisateur final en fonction de l'authentification effectuée par un serveur d'autorisation. De manière cruciale, OIDC introduit le concept de jeton d'identité (ID Token), un jeton Web JSON (JWT) qui contient des claims concernant l'utilisateur authentifié. Ces claims fournissent des données d'identité essentielles, telles que le nom de l'utilisateur, son adresse e-mail et sa photo de profil. Contrairement aux jetons d'accès OAuth 2.0 qui accordent l'accès aux ressources, les ID Tokens sont spécifiquement conçus pour affirmer l'identité de l'utilisateur.

Considérez OAuth 2.0 comme la clé pour déverrouiller une porte (accéder à des ressources) et OIDC comme un badge qui prouve qui vous êtes avant de recevoir la clé. Sans OIDC, l'application sait seulement que l'utilisateur est autorisé ; avec OIDC, elle sait qui est l'utilisateur.

Comprendre les claims OIDC

Les claims sont les éléments constitutifs fondamentaux des données d'identité dans OIDC. Ce sont des déclarations concernant l'utilisateur, telles que son nom, son adresse e-mail ou son adresse. OIDC définit un ensemble de claims standard, garantissant l'interopérabilité entre les différents fournisseurs d'identité (IdP) et les applications. Les claims couramment utilisés incluent :

• sub : Identifiant de sujet – un ID unique pour l'utilisateur.
• name : Nom complet de l'utilisateur.
• given_name : Prénom de l'utilisateur.
• family_name : Nom de famille de l'utilisateur.
• email : Adresse e-mail de l'utilisateur.
• picture : URL de la photo de profil de l'utilisateur.
• aud : Audience – l'ID client de l'application recevant le jeton d'identité.
• iss : Émetteur – l'URL du serveur d'autorisation qui a émis le jeton d'identité.
• exp : Date d'expiration – l'horodatage après lequel le jeton d'identité est invalide.

Les applications peuvent demander des claims spécifiques pendant le processus d'authentification. L'IdP n'inclura alors que les claims demandés dans le jeton d'identité, minimisant ainsi la quantité d'informations partagées. Des claims personnalisés peuvent également être définis, mais l'utilisation de claims standardisés est fortement recommandée pour une compatibilité maximale.

Flux OIDC : Flux d'autorisation avec PKCE

OIDC prend en charge plusieurs flux, chacun adapté à différents types d'applications. Le flux le plus courant et recommandé pour les applications web modernes est le flux d'autorisation avec preuve de clé pour l'échange de code (PKCE). Ce flux offre une sécurité renforcée contre les attaques d'interception de code d'autorisation.

Voici un aperçu simplifié :

1. L'application génère un vérificateur de code et un défi de code.
2. L'application redirige l'utilisateur vers le serveur d'autorisation avec le défi de code.
3. L'utilisateur s'authentifie auprès du serveur d'autorisation.
4. Le serveur d'autorisation redirige l'utilisateur vers l'application avec un code d'autorisation.
5. L'application échange le code d'autorisation et le vérificateur de code contre un jeton d'identité et un jeton d'accès.
6. L'application valide le jeton d'identité et utilise les claims pour identifier l'utilisateur.

Intégration d'OIDC avec Didit

Didit simplifie l'intégration d'OIDC avec une plateforme complète et des API conviviales pour les développeurs. Notre plateforme gère les complexités d'OIDC, vous permettant de vous concentrer sur la création de votre application. Les fonctionnalités clés incluent :

• Connecteurs OIDC pré-construits : Intégration transparente avec les fournisseurs d'identité populaires tels que Google, Facebook et Microsoft.
• Claims personnalisables : Demandez des claims spécifiques adaptés aux besoins de votre application.
• Validation sécurisée des jetons : Validation automatisée des jetons d'identité pour garantir l'authenticité.
• Orchestration de flux de travail : Créez des flux d'identité personnalisés intégrant l'authentification OIDC.

Avec Didit, les développeurs peuvent implémenter rapidement et en toute sécurité l'authentification OIDC dans leurs applications, réduisant ainsi le temps de développement et améliorant la posture de sécurité.

Comment Didit peut vous aider

Didit fournit une plate-forme d'identité de bout en bout qui simplifie les complexités d'OpenID Connect. Nous prenons en charge le travail lourd de l'implémentation d'OIDC, permettant aux développeurs de :

• Réduire le temps de développement : Les connecteurs pré-construits et les API intuitives accélèrent l'intégration.
• Améliorer la sécurité : La validation sécurisée des jetons et la prise en charge de PKCE protègent contre les attaques courantes.
• Améliorer l'expérience utilisateur : Les flux d'authentification fluides minimisent la friction pour les utilisateurs.
• Évoluer en toute confiance : La plateforme Didit est conçue pour gérer des volumes élevés de demandes d'authentification.

Prêt à démarrer ?

Prêt à exploiter la puissance d'OpenID Connect et à rationaliser le processus d'authentification de votre application ?

Inscrivez-vous pour un compte Didit gratuit et explorez notre documentation complète sur Didit Docs. Commencez à créer des applications sécurisées et évolutives dès aujourd'hui !

FAQ

Quelle est la différence entre OAuth 2.0 et OpenID Connect ?

OAuth 2.0 est un framework d'autorisation qui permet aux applications d'accéder aux ressources au nom d'un utilisateur. OpenID Connect est une couche d'identité construite sur OAuth 2.0 qui fournit une manière standardisée de vérifier l'identité de l'utilisateur et d'obtenir des données d'identité.

Qu'est-ce qu'un jeton d'identité ?

Un jeton d'identité est un jeton Web JSON (JWT) qui contient des claims concernant l'utilisateur authentifié. Il est émis par le serveur d'autorisation après une authentification réussie et est utilisé par l'application pour identifier l'utilisateur.

Que sont les claims dans OIDC ?

Les claims sont des déclarations concernant l'utilisateur, telles que son nom, son adresse e-mail et sa photo de profil. OIDC définit un ensemble de claims standard pour garantir l'interopérabilité entre les différents fournisseurs d'identité et les applications.

OIDC est-il sécurisé ?

Oui, OIDC est un protocole sécurisé lorsqu'il est mis en œuvre correctement. Le flux d'autorisation avec PKCE est le flux recommandé pour les applications web modernes, car il offre une sécurité renforcée contre les attaques d'interception de code d'autorisation. L'utilisation d'un fournisseur d'identité de confiance et la validation du jeton d'identité sont essentielles pour la sécurité.