OpenID

OpenID 是一个开放式标准,在此标准中,用户可对多个实体认证自身而不需要管理多个帐户或多组凭证。Liberty 支持 OpenID 2.0 并在 Web 单点登录中充当依赖方的角色。

OpenID 提供程序 (OP)
一个 OpenID 认证服务器,可断言用户是否控制唯一标识。
依赖方 (RP)
一个实体,需要用户控制唯一标识的证明。
OpenID 标识:
一个 http 或 https URL,属于 OpenID 提供程序或用户。

访问 Web 站点之类的各种实体通常需要与每个实体相关联的唯一帐户。OpenID 启用由 OpenID 提供者处理的一组凭证,以授予对支持 OpenID 的任意数目实体的访问权。

如果需要登录实体(例如,支持 OpenID 并充当依赖方的 Web 站点),那么用户应通过直接与 OP 交互而不是对 RP 本身提供凭证来执行认证。OP 验证用户身份并将认证确认发送回 RP。OP 接收到此确认时,RP 接受用户通过认证。

下面描述了典型的 OpenID 认证流程:

  1. 用户尝试访问受保护资源,例如,网页。
  2. 充当 RP 的 Liberty 服务器为受保护资源提供表单登录页面。
  3. 用户输入 OpenID 标识。
  4. RP 获取该标识并将用户重定向至相应 OP。
  5. OP 提示用户输入凭证。
  6. 用户输入与 OP 相关联的帐户的凭证。
  7. OP 认证用户并(可选)提示用户批准或拒绝向 RP 提供用户信息,然后将用户重定向回 RP 并显示认证结果。
  8. 如果 OP 认证成功,那么 RP 会尝试对用户授权。
  9. 如果用户授权成功,那么 RP 会建立与用户的已认证会话。
可在此处查看 OpenID 认证流程

OpenID 有助于将错误处理用户凭证或敏感信息的机会降至最低。通过 OpenID,用户凭证仅与 OpenID 提供程序交换,这意味着 OP 以外的 Web 站点不会见到用户凭证。此标准有助于减少不道德或不安全的 Web 站点危害用户身份的可能性。用户还会控制与所访问网站分享的个人信息量。例如,用户可选择允许与一个 Web 站点共享与他们的 OpenID 帐户相关联的姓名和电子邮件地址,同时选择不向另一 Web 站点提供他们的电子邮件地址或根本不向另一 Web 站点提供任何信息。

受支持的 OpenID 标准规范包括:

OpenID Authentication 2.0.

OpenID Attribute Exchange 1.0.

注: 必须使用 OpenID 2.0 声明标识来根据规范标识用户(标识最终用户)。但是,声明标识不是用户友好的,许多依赖方选择一个 OpenID 属性来表示用户。用于表示用户的最热门属性是用户的电子邮件地址。

大家都知道 OpenID 提供程序可能不会验证某些 OpenID 属性(包括电子邮件)。如果不信任提供程序将为您提供已验证的电子邮件地址,那么不得将该提供程序的电子邮件地址用作 WebSphere Application Server 中的已认证用户名。


用于指示主题类型的图标 概念主题

文件名:cwlp_openid.html