OIDC nasıl çalışır
OAuth 2.0 tek başına yetki devrini, yani bir uygulamaya kaynaklara erişim izni verilmesini yönetir; ancak kullanıcının kim olduğu hakkında hiçbir şey söylemez. OpenID Connect bu eksik kimlik katmanını ekler. Bağımlı taraf (relying party) denilen uygulama, kullanıcıyı kimlik sağlayıcıya yönlendirir. Doğrulamanın ardından sağlayıcı; kullanıcı tanımlayıcısı, ad, e-posta ve doğrulama zamanı gibi bilgileri içeren imzalı bir JSON Web Token (JWT) olan ID jetonunu üretir.
Önerilen akış, PKCE ile güçlendirilmiş yetkilendirme kodu akışıdır; bu akış, istemci sırrı tutamayan mobil ve tek sayfalık uygulamalarda bile jeton alışverişini korur. OIDC ayrıca keşif belgelerini ve UserInfo uç noktasını standartlaştırır; bu sayede entegrasyonlar eski protokollere kıyasla büyük ölçüde kendiliğinden yapılandırılır.
OIDC neden önemli
OIDC, modern yazılımın varsayılan kimlik protokolü haline geldi. JSON ve REST temelleri; SAML'ın XML işlemesinin ağır ve hantal kaldığı web API'leri, mobil uygulamalar ve mikroservislerle doğal biçimde uyuşur. Tüm büyük platformlar ve sosyal giriş düğmeleri OIDC üzerine kuruludur; her dilde bol geliştirici aracı bulunur.
Kurumlar için OIDC, yeni uygulamaların merkezi kimliğe hızlı ve güvenli biçimde bağlanması, ayrıca diğer sistemleri kapsayan SSO ve MFA politikalarının aynı şekilde uygulanması anlamına gelir. Standart akışlar ve kütüphaneler, hâlâ yaygın bir zafiyet kaynağı olan el yapımı kimlik doğrulama hatalarının riskini de azaltır.
Uygulamada OIDC
Bir uygulamayı OIDC ile bağlamak; kimlik sağlayıcıda bir istemci kaydı oluşturmayı, istemci kimliği almayı ve yönlendirme adreslerini yapılandırmayı içerir. Sağlayıcı, bilinen bir adreste keşif belgesi yayımlar; çoğu kütüphane uç noktaları ve imza anahtarlarını buradan otomatik yapılandırır. Doğru akışı seçmek önemlidir: kullanıcıya dönük uygulamalar için PKCE'li yetkilendirme kodu, saf makineler arası trafik için istemci kimlik bilgileri akışı.
Sık yapılan hatalar arasında jetonları eksik doğrulamak, imza veya hedef kitle kontrollerini atlamak ve jeton ömürlerini çok uzun tutmak vardır. Sertifikalı kütüphanelere bağlı kalmak bu sorunların çoğunu önler. Monosign; SAML ve WS-Fed'in yanında PKCE destekli OIDC ve OAuth 2.0 sunarak modern ve eski uygulamaların tek bir kimlik omurgasını paylaşmasını sağlar.