This the multi-page printable view of this section. Click here to print.
OpenID Connect
1 - Historia
OpenID Connect fue ratificado como estándar por sus miembros el 26 de Febrero del 2014. OpenID Connect provee un framework de identidad para interacciones RESTful. Fue desarrollado bajo el alero de OpenID Foundation y tiene sus raíces en OpenID, pero fue influido en gran medida por OAuth 2.0.
El anuncio emitido por la OpenID Foundation referente al lanzamiento del estándar OpenID Connect está disponible en aquí
OpenID, quien sigue los pasos de SAML en 2005, revolucionó la autenticación web. Brad Fitzpatrick, fundador de LiveJournal, indicó. El principio básico tras ambos OpenID y SAML, son los mismos. Ambos pueden ser utilizados para facilitar single sign-on (SSO) y cross-domain identity federation. OpenID mantiene una mayor comunidad, centra mejor al usuario y es descentralizado. Yahoo! incorporó soporte para OpenID en Enero del 2008, MySpace anunció soporte para Julio de ese mismo año, Google uniéndose en Octubre. Para diciembre del 2009, hay más de 1 billon de cuentas de usuario OpenID-Enabled. Fue un tremendo éxito como protocolo SSO Web.
2 - Inicio Rápido
¿Cuántos perfiles mantienes hoy en diferentes sitios web?. Quizás tienes una cuenta Yahoo!, una en Facebook, otra en Google, etc. Cada vez que se actualiza un dato personal, teléfono o dirección, tienes que actualizarlo en cada lugar o mantener datos desactualizados. OpenID soluciona este problema de datos de perfil distribuidos por diferentes proveedores. Con OpenID, mantienes tu perfil solamente en tu OpenID provider. Y todos los otros sitios se transforman en OpenID relying parties. Estos “hablan” con tu proveedor OpenID para obtener tu información de perfil.
Cada vez que intentes entrar a un sitio web OpenID relying party; serás redireccionado al OpenID provider. Ahí deberás autenticarte y aprobar el requerimiento de atributos hecho por el relying party. Al aprobar, eres redireccionado de vuelta al sitio del relying party con los atributos del request.
Con SSO, solamente autentificas en el proveedor OpenID. Esto siendo, un relying party te redirecciona por primera vez. Luego de eso, el OpenID provider no vuelve a consultar por credenciales, sino que utiliza la sesión creada previamente. Esta sesión autenticada es mantenida ya sea por una cookie hasta que el browser sea cerrado, o por una cookie persistente.
sequenceDiagram;
participant Usuario
participant Relying Party
participant OpenID Provider
Usuario->>+Relying Party: Intento de Login
Relying Party-->>-Usuario: Login link
Usuario->>Usuario: Click link
alt auth flow
Usuario->>+OpenID Provider: Login request
OpenID Provider-->>-Usuario: Render toma de evidencias
Usuario->>+OpenID Provider: Proporciona evidencias
end
alt consent flow
OpenID Provider-->>-Usuario: Render toma consentimientos
Usuario->>+OpenID Provider: Proporciona consentimientos
end
OpenID Provider-->>-Usuario: 302 callback url
Usuario->>Usuario: resuelve 302
Usuario->>Relying Party: Entrega code
Relying Party->>OpenID Provider: Intercambio code por tokens
OpenID Provider->>Relying Party: AccessToken y/o idToken
3 - ID Token
El ID Token es la principal adición a OAuth2 que realiza OpenID Connect. Es un JSON web token JWT que transporta información relevante al usuario autenticado desde el servidor de autorización (OpenID provider) hacia la aplicacion cliente (OpenID relaying party). La estructura de un ID Token es definida por la especificación OpenID Connect. A continuación un ejemplo de ID Token:
{
"iss": "https://accounts.autentiaplus.id/",
"sub": "d733edad-4d05-402a-9b66-090b06d40f7a",
"name": "Luis Ignacio Cisternas Rojas",
"given_name": "Luis Ignacio",
"family_name": "Cisternas Rojas",
"gender": "male",
"updated_at": 1604416603,
"aud": "67jjuyuy7JHk12",
"nonce": "88797jgjg32323",
"exp": "1416283970",
"iat": "1416283970",
"auth_time": ":1311280969",
"acr": "urn:acr:password",
"amr": "password",
"azp": "67jjuyuy7JHk12"
}
| Atributo | Descripcion |
|---|---|
| iss | Identifica al emisor del token en formato HTTPS sin ningún parámetro o fragmentos. |
| sub | El identificador local del usuario en el OpenID provider. |
| aud | La audiencia del token, Puede ser una lista de identificadores, pero debe contener el OAuth client ID en él; de otra forma el client ID debe ser agregado al parámetro azp |
| nonce | Un nuevo parámetro que introduce la especificación OpenID Connect al authorization flow. En adición a los parámetros definidos por OAuth 2.0, la aplicación cliente puede opcionalmente incluir el parámetro nonce. Este parámetro permite mitigar ataques de “replay”. El servidor de autorización debe rechazar cualquier request si encuentra que dos o mas request con el mismo nonce. Si un nonce esta presente el el request de autenticación, entonces el servidor de autenticación debe incluir el mismo valor dentro del ID token. La aplicacion cliente debe validar que el valor de nonce devuelto por el servidor sea el mismo que se envió originalmente. |
| exp | El tiempo de expiración del token en segundos desde 1970-01-01T0:0:0Z (UTC), Unix Epoch. |
| iat | El tiempo de emisión del token en segundos desde 1970-01-01T0:0:0Z (UTC), Unix Epoch. |
| auth_time | El momento en el cual el usuario es autenticado por el OpenID provider. Si el usuario estaba previamente autenticado, entonces el OpenID provider no pedirá autenticación por parte del usuario. Como un OpenID provider maneja la sesión o el mecanismo de autenticación esta fuera del alcance de la especificación OpenID Connect. Un usuario podría crear una sesión entrando a un sitio web diferente a la aplicación cliente. En ese caso, el OpenID provider debe mantener el tiempo de autenticación original. Este es el valor de auth_time. |
| acr | Authentication Context Reference o acr. El valor de este parámetro debe ser comprendido tanto por la aplicación cliente como el proveedor de autenticación. Solicita un nivel de autenticación para el request. |
| amr | Authentication Method References p amr, Indica como fue autenticado el usuario por el provedor de identidad. Puede ser un array de valores. Tanto la aplicación cliente como el proveedor de autenticación deben comprender estos valores. |
| azp | Authorized Party o azp, Es necesario cuando existe una audiencia (aud) y su valor es diferente al OAuth client ID. El valor de azp debe ser el OAuth client ID. |
4 - Authorization Request
curl --location --request GET 'https://accounts.autentiaplus.id/oauth2/auth? \
response_type=code&
scope=openid&
client_id=eacd29ca-1bcf-418d-8b39-63c22b75bcf7
redirect_uri=https://localhost:3000/callback&
response_mode=query&
nonce=aXK2rXuApo&
state=8KHUzRUxtZ&
display=page&
prompt=login&
max_age=24h&
ui_locales=es-CL&
id_token_hint=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c&
login_hint=16182517-4&
acr_values=urn:acr:facial'
| Atributo | Descripción | Tipo | Requerido |
|---|---|---|---|
| response_type | El tipo de token que espera el cliente obtener | string | * |
| scope | Los scopes o permisos que el cliente requiere del usuario |
string | * |
| client_id | Identificador de la aplicación cliente | string | * |
| redirect_uri | URL Publica SSL, donde la aplicación cliente espera recibir el resultado del flujo | string | * |
| response_mode | Determina como el authorization server envía los parámetros de respuesta |
string | |
| nonce | Mitiga replay attacks. El authorizationserver rechaza cualquier requerimiento si encuentra que dos de ellos contienen el mismo nonce |
string | *pkce |
| state | Mitiga CSRF attacks. El authorizationserver exige este parámetro para flujos PKCE |
string | *pkce |
| display | Indica como la aplicación cliente espera que el authorization server despliegue la página de login y consent |
string | |
| prompt | Indica si el cliente requiere desplegar la página de login, de consent, ambas o ninguna | string | |
| max_age | Define la máxima antigüedad que una sesión anterior podría tener para ser reutilizada | string | |
| ui_locales | Expresa la localización requerida por el cliente | string | |
| id_token_hint | Un ID Token obtenido previamente por la aplicación cliente | string | |
| login_hint | Indica el username que la aplicación cliente espera autenticar |
string | |
| acr_values | authentication context reference values indica el nivel de autenticación requerida por el cliente |
string |
5 - Scope
(StandardClaims)[https://openid.net/specs/openid-connect-basic-1_0.html#StandardClaims]
| Scope | Claims | Requerido |
|---|---|---|
| openid | Retorna el claim sub, el cual identifica de forma única al usuario. Adicionalmente, se entregan default claims. ver ID Token |
* |
| birthdate | Retorna el claim birthdate |
|
| profile | Retorna el claim profile, birthdate, picture |
|
| credential | Retorna el claim credential. ver Credential |
|
Retorna el claim email y email_verified |
||
| phone | Retorna el claim phone_number y phone_number_verified |
|
| offline_access | Retorna refresh token |
6 - Credential
Credential Payload
{
"sub": "16182517-4",
"country": "CHL",
"typ": "rut",
"iss": "srcei"
}
7 - Authentication Context Reference
Strategy ACR’s
| Valor | Descripción | Alias | Locales |
|---|---|---|---|
| urn:acr:default | Verificación numero de documento | autoidentify | es_CL |
| urn:acr:password | Verificación de password | password | * |
| urn:acr:facial:live | Verificación facial CON prueba de vida | facial | es_CL, es_PE |
| urn:acr:facial:simple | Verificación facial SIN prueba de vida | facialself | es_CL, es_PE |
| urn:acr:facial:live?=sample=true | Verificación facial CON prueba de vida + muestra | facial | es_CL, es_PE |
| urn:acr:facial:simple?=sample=true | Verificación facial SIN prueba de vida + muestra | facialself | es_CL, es_PE |
| urn:acr:facial:live?=sample=false | Verificación facial CON prueba de vida | facial | es_CL, es_PE |
| urn:acr:facial:simple?=sample=false | Verificación facial SIN prueba de vida | facialself | es_CL, es_PE |
| urn:acr:finger:reader | Verificación dactilar con lector | es_CL, es_PE | |
| urn:acr:finger:picture | Verificación dactilar con cámara | es_CL, es_PE | |
| urn:acr:finger:reader?=sample=true | Verificación dactilar con lector + muestra | es_CL, es_PE | |
| urn:acr:finger:picture?=sample=true | Verificación dactilar con cámara + muestra | es_CL, es_PE | |
| urn:acr:finger:reader?=sample=false | Verificación dactilar con lector | es_CL, es_PE | |
| urn:acr:finger:picture?=sample=false | Verificación dactilar con cámara | es_CL, es_PE |
2FA ACR
| Valor |
|---|
| urn:acr:otp:email |
| urn:acr:otp:phone |
| urn:acr:otp:email?=recipient=foo@bar.com |
| urn:acr:otp:phone?=recipient=+56911111111 |