OpenID Connect (OIDC) es una capa de comprobación construida sobre el marco de autorización OAuth 2.0. OIDC es un protocolo de verificación común utilizado por los proveedores de identidades (IdP) para verificar a los usuarios que acceden a terceros proveedores de servicios (SP) sin exigirles que vuelvan a compartir su información de inicio de sesión en otro lugar.
OAuth proporciona a las aplicaciones acceso a recursos de otras aplicaciones de terceros. También puede emplearse para autenticar usuarios. Con unos sencillos pasos de configuración, ADSelfService Plus es compatible con SSO para todas las aplicaciones en la nube compatibles con OAuth y OIDC.
Dado que OIDC se construye como una capa de comprobación sobre OAuth 2.0, ambos protocolos funcionan de forma bastante similar. Sin embargo, hay ligeras desviaciones hacia el final del proceso de flujo de código.
Cuando un usuario quiere acceder a una aplicación o SP, OIDC inicialmente lleva al usuario a la página de inicio de sesión del IdP para la verificación. Ahí comunica ciertos parámetros: el URI de redirección, el tipo de respuesta, el alcance, etc. Después de que el usuario autentique correctamente su identidad con el IdP, se le redirige de nuevo a la aplicación.
Simultáneamente, el IdP pasa un código de autorización al SP en el canal de retorno seguro de los servidores. Este código luego es intercambiado por el token de acceso y el de identificación. Este último ayuda al SP a conocer la identidad del usuario que acaba de iniciar sesión. El token de acceso se usa si la aplicación cliente necesita acceder a más detalles sobre el usuario, tales como su foto de perfil.
El siguiente diagrama de flujo permite comprender mejor el flujo de SSO iniciado por el SP para OIDC.
El flujo de código de autorización de OAuth 2.0 funciona de forma idéntica al mencionado flujo de código de OIDC. Sin embargo, hay diferencias. En el último paso, el SP recibe el token de acceso y el de actualización del IdP a través del canal de retorno en lugar del token de ID. El token de actualización se emplea para obtener un nuevo token de acceso una vez que caduca sin hacer que el usuario se autentique de nuevo con el IdP.
ADSelfService Plus proporciona una gama de aplicaciones OAuth y OIDC de uso común preintegradas para facilitar la configuración de SSO. Los administradores también pueden añadir cualquier aplicación personalizada habilitada para OAuth u OIDC. La herramienta ofrece políticas detalladas para que los administradores configuren fácilmente el acceso de los usuarios a las aplicaciones. Proporciona opciones para determinar los detalles del IdP. Estos incluyen las URL de los endpoints de autorización, las URL de los endpoints de token y las URL de los endpoints de usuario. Esto aplica tanto para las aplicaciones personalizadas como para las preintegradas.
Hay dos maneras a través de las cuales los usuarios pueden iniciar sesión en una aplicación o un servicio usando OAuth y OIDC SSO de ADSelfService Plus:
Elija entre una gama de aplicaciones preintegradas que se han clasificado por categorías para mayor comodidad.
1. Conveniently categorized: Choose from a range of pre-integrated applications that have been categorized for convenience.
Haga clic en este botón para configurar los detalles avanzados del IdP. Estos incluyen las URL de los endpoints de autorización, las URL de los endpoints de token y las URL de los endpoints de usuario.
1. Configuración detallada: Configure los detalles avanzados de IdP, como las URL de punto final de autorización, las URL de punto final de token y las URL de punto final de usuario haciendo clic en este botón.
Configure qué usuario puede acceder a qué aplicaciones utilizando políticas granulares de ADSelfService Plus.
1. Acceso basado en políticas: configure qué usuario puede acceder a qué aplicaciones mediante políticas granulares de ADSelfService Plus.
Libere a los usuarios del Active Directory de largas llamadas a la mesa de ayuda permitiéndoles realizar sus tareas de restablecimiento de contraseñas/desbloqueo de cuentas de autoservicio. ¡Haga cambios de clave para empleados sin complicaciones con la consola "Cambiar contraseña" de ADSelfService Plus!
Acceda con un solo clic a más de 100 aplicaciones en la nube. Con el inicio de sesión único empresarial, los usuarios pueden acceder a todas sus aplicaciones en la nube con sus credenciales de Active Directory.
Avise a los usuarios del Active Directory de la inminente caducidad de sus contraseñas/cuentas notificándolos por correo electrónico.
Sincronice los cambios de contraseña/cuenta de usuario de Windows Active Directory en varios sistemas y de forma automática. Estos incluyen Office 365, G Suite, IBM iSeries y más.
Garantice contraseñas de usuario seguras y resistentes a diversas amenazas de hackeo con ADSelfService Plus obligando a los usuarios de Active Directory a utilizar claves que se ciñan a los estándares de seguridad mediante la visualización de los requisitos de complejidad de las claves.
Portal que permite a los usuarios de Active Directory actualizar su información más reciente y función de búsqueda rápida para localizar información sobre compañeros utilizando claves de búsqueda, como el número de contacto de la persona en cuestión.
