Información general sobre el SSO de OpenID Connect
OpenID Connect (OIDC) es un protocolo de autenticación basado en OAuth 2.0 que han adoptado las principales empresas tecnológicas.
SSO básico
Independientemente de las funciones que hayas seleccionado, los requisitos de configuración del SSO básico son los mismos. Para añadir implementaciones de fidelidad o tarjetas de crédito, se pedirá más información.
Requisitos de configuración
Para configurar correctamente el acceso SSO de OIDC a tu sitio web creado a partir de una plantilla, necesitaremos varios datos, como los siguientes:
- APIs (autorizar, token, userProfile, JWKS)
- ID de cliente
- Secreto de cliente
- ResponseMode
- isNounceEnabled
- customerDetailsAPIKey (si está disponible)
Flujos de autorización
Autorizar punto final
El punto de conexión GET /authorize se utiliza para la autenticación y la autorización. Devuelve una concesión o código de autorización al cliente post usuario es logged-in. Es una redirección del navegador.
Parámetros de solicitud
| Parámetro | Descripción | Tipo de datos | Ejemplo de valor | ¿Obligatorio? |
|---|---|---|---|---|
client_id | Identifica al cliente. Debe coincidir con el valor prerregistrado en tu proveedor de identidad (IDP). Se obtiene durante el registro manual del cliente o a través de la API de registro dinámico de clientes. | Cadena | Sí | |
nonce | Se utiliza para mitigar los ataques de repetición. Este valor se devuelve en el ID de token. | Cadena | Sí | |
prompt | El tipo de interacción necesaria para validar. Si está "vacío", el usuario debe identificarse si aún no se ha autentificado. Si es "ninguno", el IDP no solicitará el inicio de sesión, pero devolverá un código de autorización si se ha iniciado sesión, o un error en caso contrario. | Cadena | Valores válidos: Ninguno O vacío | No |
redirect_uri | Lugar de devolución de llamada donde se debe enviar el código de autorización o los tokens. Debe coincidir con el valor prerregistrado en tu IDP durante el registro del cliente. | Cadena | Sí | |
response_type | Valor code (IDP). | Cadena | Sí | |
response_mode | Cómo debe devolverse la respuesta de autorización. | Cadena | Valor válido: consulta | No |
scope | Identificador de acceso, utilizado para obtener los detalles del perfil. Necesario para las solicitudes de autenticación. | Cadena | OpenID, perfil y correo electrónico | Sí |
state | El estado de la interacción. Este valor se devuelve en el token y permite al usuario hacer clic, autenticarse y volver a la página que le interesaba originalmente. El valor puede contener caracteres alfanuméricos, comas, puntos, guiones bajos y guiones. | Cadena | Sí | |
ui_locales | Lenguas y scripts preferidos por el usuario para la interfaz de usuario. | Cadena | en_CA, fr_CA | No |
audience | El destinatario previsto. | Cadena | Definido por los socios | No |
Parámetros de respuesta
| Parámetro | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
code | Código de autorización que identifica al cliente. Debe coincidir con el valor prerregistrado en tu IDP. Se obtiene durante el registro manual del cliente o a través de la API de registro dinámico de clientes. | Cadena | Sí |
state | El estado de la interacción. Este valor se devuelve en el token y permite al usuario hacer clic, autenticarse y volver a la página que le interesaba originalmente. El valor puede contener caracteres alfanuméricos, comas, puntos, guiones bajos y guiones. | Cadena | Sí |
Ejemplo de URL de autorización
https://example.com/authorize?client_id={clientID}&response_type=code&state=d6b93799-404b-4205-9bb3-c579b1180428&scope=openid email profile&nounce=234567687867&redirect_uri=https://{ExpediaDomain}/sso/authEjemplo de URL de devolución de llamada
https://{ExpediaDomain}/sso/auth?code=12345678&state=d6b93799-404b-4205-9bb3-c579b1180428Punto final del token
El punto final POST /token es una llamada a la API backend que se utiliza para obtener un token de acceso y un token de identificación presentando una concesión o código de autorización.
Parámetros de solicitud
| Parámetro | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
grant_type | El mecanismo que utiliza IDP para autorizar la creación de tokens. Valor: authorization_code | Cadena | Sí |
redirect_uri | Especifica la ubicación de la llamada de retorno donde se ha enviado la autorización. Este valor debe coincidir con el redirect_uri utilizado para generar el authorization_code original o el punto de conexión del token fallará. | Cadena | Sí |
code | Código de identificación del cliente recibido en la respuesta a la llamada /authorize. | Cadena | Sí |
Encabezados de solicitud
| Campo | Descripción | Tipo de datos | Ejemplo de valor | ¿Obligatorio? |
|---|---|---|---|---|
accept | Debe ser "application/json" | Cadena | application/json | Sí |
authorization | Codifica el ID y el secreto del cliente con Base64. Utiliza la información codificada en el encabezado de autorización HTTP. | Cadena | Basic<ID y secreto del cliente cifrados con Base64> | Sí |
Content-Type | Debe ser "application/x-www-form-urlencoded" | Cadena | application/x-www-form-urlencoded | Sí |
Parámetros de respuesta
| Campo | Descripción | Tipo de datos |
|---|---|---|
access_token | Un token de acceso | Cadena |
token_type | El público del token | Cadena |
expires_in | El tiempo de expiración del token de acceso en segundos | Entero |
scope | Los ámbitos contenidos en el token de acceso | Cadena |
id_token | Un identificador que se devuelve si se concede el ámbito OpenID | Cadena |
ID_token
ID_token es un token web JSON (JWT) que incluye fragmentos de información de autenticación llamados reclamaciones. Las soluciones de plantilla de Expedia utilizan las reclamaciones header, payload y signature com en la tabla siguiente.
Reclamaciones de encabezado
| Campo | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
alg | Identifica el algoritmo utilizado de firma digital (siempre RS256) | Cadena | No |
kid | ID de la clave: identifica la clave pública utilizada para verificar el token de identificación; la clave pública correspondiente se puede encontrar a través del conjunto de claves web JSON (JWKS) | Cadena | Sí |
Reclamaciones de carga
| Campo | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
amr | Matriz JSON de cadenas que son identificadores para los métodos de autenticación | Matriz | No |
aud | Identifica el público al que va dirigido este token de identificación (uno de los ID de cliente OAuth 2.0 de tu aplicación) | Cadena | Sí |
auth_time | La hora a la que se ha verificado el usuario final, representada en tiempo Unix (segundos) | Entero | No |
exp | La hora a la que caduca el ID de token, representada en tiempo Unix (segundos) | Entero | Sí |
iat | La hora a la que se ha emitido el ID de token, representada en tiempo Unix (segundos) | Entero | No |
idp | Un indicador del proveedor de identidad | Cadena | Sí |
iss | La URL del servidor de autorización que ha emitido este token de identificación | Cadena | No |
jti | Un identificador único para este ID de token con fines de depuración y revocación | Cadena | Sí |
sub | Un identificador único para el sujeto de la llamada de autorización (el usuario) | Cadena | No |
ver | La versión semántica del ID de token | Entero | Sí |
Reclamaciones de firma
Validación de la firma: La firma se validará con la clave apropiada (obtenida mediante JWKS endpoint) para ese client_id y algoritmo.
Muestra de token CURL
curl --location 'https://example.com/token’ \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'Authorization: Basic {encoded ClientID:clientSecret}' \
--data-urlencode 'grant_type=authorization_code' \
--data-urlencode 'redirect_uri=https://{ExpediaDomain}/sso/auth’ \
--data-urlencode 'code={Authorization code after login as part of callback to Expedia /sso/auth endpoint}'Ejemplo de respuesta de token
{
"access_token": "eyJhbGciOi.JSUzI1NiIsImtpZCI6Ilk1MkFDVXd3QV9SUzI1NiIsInBp.LmF0bSI6ImlrY20ifQ",
"id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6.IllEQnJQdlllYlRwa1laODZoaGk1MkFDVX.d3QV9SUzI1NiJ9",
"token_type": "Bearer",
"expires_in": 1799
}Punto final Userinfo
El punto final GET /userinfo es una llamada a la API backend que devuelve afirmaciones sobre el usuario autenticado basadas en el token de acceso proporcionado.
Encabezados de solicitud
| Campo | Descripción | Tipo de datos | Ejemplo de valor | ¿Obligatorio? |
|---|---|---|---|---|
ClientId | Identifica al cliente. Debe coincidir con el valor prerregistrado en tu proveedor de identidad (IDP). Se obtiene durante el registro manual del cliente o a través de la API de registro dinámico de clientes. | Cadena | Sí | |
Authorization | Cabecera HTTP utilizada para enviar credenciales o tokens para autenticar a un usuario | Cadena | Portador [access_token] | Sí |
Respuesta
| Campo | Descripción | Tipo de datos | Ejemplo de valor | ¿Obligatorio? |
|---|---|---|---|---|
membershipId | Identificador que identifica de forma única la cuenta del Cliente | Cadena | Sí | |
optIn | Indicador booleano si el cliente opta por recibir correos electrónicos de marketing | Booleano | verdadero/falso | No |
languageId | Lengua preferida por el usuario | Cadena | En, fr | No |
channelType | Diferentes plataformas a través de las cuales un usuario interactúa con una aplicación | Cadena | WEB, MÓVIL, TABLET | No |
firstName | Nombre del Cliente | Cadena | Sí | |
middleName | Segundo nombre del Cliente | Cadena | No | |
lastName | Apellidos del Cliente | Cadena | No | |
email | Dirección de correo electrónico del Cliente | Cadena | No | |
programAccount | Loyalty-related información | programAccount | Consulta la sección Add loyalty -> programAccount para más detalles sobre los Objetos. | No |
CardDetails | Datos de la tarjeta de crédito del cliente | CardDetails | Consulta la sección Restrict payment card -> Payload details para más detalles sobre los Objetos. | No |
Ejemplo de Userinfo CURL
curl --location 'https://example.com/userinfo' \
--header 'client_id: {clientId}' \
--header 'Authorization: Bearer {acess_token from token endpoint}'Ejemplo de respuesta de Userinfo
{
"membershipId": "12345678",
"languageID": "en",
"middleName": "MiddleName",
"lastName": "LastName",
"firstName": "FirstName",
"email": "test@expediagroup.com",
"programAccount": {
"programId": "Gold",
"loyaltyAccountBalance": {
"value": "10000",
"currency": "Points"
}
}
}Añadir programa de fidelidad
Como parte de tu sitio web creado a partir de una plantilla, puedes incluir la posibilidad de que tus clientes ganen puntos de fidelidad en sus compras de viajes. Si quieres, la plantilla también puede permitir a tus clientes utilizar sus puntos de fidelidad acumulados para comprar viajes.
Se aplican los mismos requisitos de configuración que en la implementación estándar, así como muchos de los valores. Aquí solo se incluyen los que son diferentes.
Además del estándar user information, la configuración del programa de fidelización incluirá los siguientes valores.
programAccount
| Campo | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
programId | Identificador del programa de fidelidad al que está afiliado el cliente o el nombre del nivel asociado al programa de fidelidad | Cadena | Sí |
loyaltyAccountNumber | El número de la cuenta de fidelidad del cliente; solo debería rellenarse si se requiere un identificador secundario (que no sea el membershipId único) para operaciones de fidelidad | Cadena | No |
lastFourDigitsOfCreditCard | Los cuatro últimos dígitos de la tarjeta de crédito utilizada en la reserva | Entero | No |
accountName | Nombre del programa (si no coincide con el nombre del nivel) | Cadena | No |
loyaltyConversionRatio | Ratio de cómo se convierten los puntos obtenidos en el pago (por ejemplo, 1 EUR = 1 punto) | Doble | No |
loyaltyAccountBalance | Saldo actual de puntos de fidelidad obtenidos por el cliente | Importe (consulta la sección Importe más abajo para conocer los detalles del Objeto) | No |
Importe
| Campo | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
value | Saldo de fidelidad; anidado bajo loyaltyAccountBalance | Largo | Sí |
currency | La moneda de recompensa que se utiliza en el programa de fidelidad, como CAD, USD, PUNTOS, MILLAS; anidado bajo loyaltyAccountBalance | Cadena | Sí |
Restringir tarjeta de pago
Podemos configurar tu sitio web para que los clientes deban usar la tarjeta de crédito de tu organización en las reservas. Es opcional, ya que todas las soluciones de plantilla pueden aceptar cualquier tarjeta de crédito o débito de las entidades principales y (en EE. UU.) PayPal.
Almacenamiento y seguridad de tarjetas de crédito
Si decides obligar a utilizar la tarjeta de crédito personalizada de tu organización en las compras, queremos que sea con seguridad. Así es como lo gestionamos.
- La información de la tarjeta se almacena en un formato de token que está vinculado al perfil del cliente en Expedia. Nunca se almacena sin cifrar.
- Ningún ser humano tiene acceso a los datos de tarjetas cifrados, y solo se descifran con las credenciales de IAM seguras.
- Cuando se precarga una tarjeta en la página de pago, solo se muestra la descripción de la tarjeta, pero no el número.
- El cliente debe introducir el CVV de la tarjeta para completar la reserva con la tarjeta almacenada.
Requisitos de configuración
Además de los requisitos de configuración de la implementación estándar, cuando introduzcas tu tarjeta de crédito tendremos que añadir lo siguiente:
- Un punto de conexión para utilizar con el parámetro AuthnRequest.
- Tu clave pública para la verificación de firma.
Utilizaremos la clave privada de Expedia para firmar la carga AuthnRequest y nuestra clave pública para que valides la firma.
Detalles de carga
Junto con los atributos descritos en la implementación estándar, cuando un cliente inicia sesión en tu sitio web, el SSO de tarjeta de crédito inicia el envío de dos parámetros de transacción al punto de conexión seguro de SSO de Expedia:
- API de información del usuario: carga de respuesta codificada y firmada con afirmaciones firmadas y cifradas.
- RelayState: un enlace profundo a la URL de la página de destino.
Nota
Si tu sitio web creado con plantilla está configurado para obtener puntos de fidelidad, también necesitarás la información programAccount.
La carga también incluirá los siguientes datos de la tarjeta de crédito:
| Campo | Descripción | ¿Obligatorio? |
|---|---|---|
cardNumber | El número de la tarjeta en la que se debe cobrar | Sí |
cardType | Tipo de tarjeta utilizada (por ejemplo, Visa, MasterCard, American Express) | Sí |
expirationDate | Fecha de caducidad de la tarjeta utilizada | Sí |
BillingAddress | Dirección de facturación asociada a la tarjeta utilizada | Sí |
addressCategoryCode | El tipo de dirección de facturación, por ejemplo, casa u oficina; anidado bajo BillingAddress | Sí |
firstAddressLine | Primera línea de la dirección de facturación; anidado bajo BillingAddress | Sí |
secondAddressLine | Segunda línea de la dirección de facturación; anidado bajo BillingAddress | No |
thirdAddressLine | Tercera línea de la dirección de facturación; anidado bajo BillingAddress | No |
cityName | Ciudad de la dirección de facturación; anidado bajo BillingAddress | Sí |
provinceName | Provincia de la dirección de facturación; anidado bajo BillingAddress | Sí |
postalCode | Código postal de la dirección de facturación; anidado bajo BillingAddress | Sí |
countryCode | Código de país de la dirección de facturación; anidado bajo BillingAddress | Sí |