OAuth es un protocolo de autorización que permite autenticar el acceso a los recursos de servidores y servicios sin compartir ninguna credencial de inicio de sesión. OpenID Connect es una capa de identidad sobre el marco de OAuth.
En pocas palabras, OAuth le ayuda a acceder a un recurso sin tener que demostrar su identidad después de haber sido autenticado.
Mientras que OAuth proporciona el marco básico para lograrlo y deja en sus manos la decisión de elegir qué detalles de usuario utilizar para la autenticación, OpenID Connect intenta estandarizar esas áreas personalizables en OAuth.
Si utiliza alguna aplicación que requiera autenticación, es muy probable que esté utilizando el lenguaje de marcado para confirmaciones de seguridad (SAML) para acceder a la aplicación. SAML 2.0 es el protocolo de autenticación estándar más utilizado en diferentes industrias.
Puede utilizar tanto SAML como OAuth para implementar el inicio de sesión único (SSO). En lugar de comparar estos dos protocolos, es mejor entender cómo pueden trabajar juntos para darle lo mejor de ambos mundos. SAML es un protocolo de autenticación, mientras que OAuth es un protocolo de autorización. Puede utilizar SAML siempre que se requiera un inicio de sesión y utilizar OAuth para proporcionar acceso a otros recursos protegidos como aplicaciones y archivos.
Verifica las credenciales del usuario y proporciona la clave que le permite iniciar sesión. Ya que el servidor de autorización es el propietario de todos los datos del usuario, controla el alcance y el tiempo durante el cual los clientes pueden acceder a estos datos.
Contiene los recursos a los que el usuario desea acceder. La aplicación del cliente se comunica con el servidor para obtener información que permita verificar la identidad del usuario antes de concederle acceso.
El usuario intenta iniciar sesión en la aplicación cliente. La información del usuario se almacena en el servidor para verificar y proporcionar acceso a los usuarios correctos.
Así es como OAuth proporciona el SSO:
OpenID Connect es similar al SSO de OAuth, pero aquí se utiliza un token de ID. El token de ID contiene la firma del servidor y los detalles del usuario. Hay dos escenarios posibles aquí: acceso iniciado por la aplicación y acceso iniciado por el servidor. Vamos a entender el flujo de trabajo en ambos casos.
Acceso iniciado por la aplicación
La característica más importante de OAuth es la tokenización de los datos. Los tokens garantizan que las credenciales reales y otra información sensible de una cuenta de usuario no queden expuestas a robos de datos y otros ataques. Además, si se detecta alguna actividad sospechosa, el servidor puede revocar fácilmente un token.
OAuth se basa en SSL, que utiliza criptografía para garantizar que los datos transferidos entre el servidor y el cliente permanezcan privados, haciendo que incluso los tokens sean seguros.
Los usuarios tienen un acceso limitado, ya que los tokens tienen una duración determinada. Así se evitan los riesgos causados por la disponibilidad prolongada de los recursos protegidos.
Identity360 es una solución de gestión de identidades y SSO basada en la nube. Puede centralizar el acceso, simplificar la gestión de usuarios y auditar el acceso y el uso de aplicaciones.
Identity360 es compatible con las principales aplicaciones empresariales y aplicaciones internas que utilizan OAuth y OpenID Connect, además de aplicaciones habilitadas para SAML. Estas son algunas de las ventajas de utilizar Identity360 para implementar el SSO:
Permita a los usuarios acceder a varias aplicaciones, incluyendo aplicaciones on-premise, en la nube e internas, desde un portal seguro.
Habilite el SSO para cualquier aplicación que admita OAuth, OpenID Connect o SAML.
Obtenga información sobre todos los accesos a aplicaciones, los inicios de sesión correctos o fallidos y mucho más con los informes pre-integrados.
Evite que los usuarios tengan que recordar diferentes nombres de usuario y contraseñas para sus aplicaciones empresariales; una vez que inicien sesión en Identity360, podrán acceder a otras aplicaciones sin tener que pasar varias veces por el proceso de verificación.
Ahorre tiempo y esfuerzo en la configuración y el mantenimiento. Haga unos pocos clics y listo.