SAML还是OIDC,单点登录的协议如何选择?

于 2022-06-08 17:13:36 发布
阅读量788 收藏 1
点赞数
分类专栏: 身份开发 IDaaS 文章标签: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39884933/article/details/125188549
版权

如何选择单点登录的协议 

SAML还是OIDC

有很多开发者会在开发单点登录的时候,因为选择SAML还是OIDC的协议犹豫不决。

有很多开发者会在开发单点登录的时候,因为选择SAML还是OIDC的协议犹豫不决。

那么我们在开发的时候如何选择合适的协议?

在作出选择之前,除了协议规范本身,我们需要先了解下协议诞生和背景和解决的问题,以便于我们提出问题、分析问题、并解决问题。

关于SAML协议

2001-2005年期间,SaaS应用程序的率先在美国爆炸式增长,给身份管理带来了挑战。

转眼间,企业纷纷采用SaaS服务,使得IT部门对于SaaS应用的身份管理力不从心,在SaaS应用程序中通常没有管理员工身份的好方法。

对于一家公司来说,很难管理其员工在SaaS系统中账户,同时,用户再次必须记住每个应用程序的密码。

他们享受的跨内部应用程序的单点登录并没有扩展到外部SaaS应用程序。

SAML的诞生

2005年,一个新的行业标准

SAML2.0(securityassertion-Markup)发布了。

SAML 2.0在2005年三月正式代替SAML 1.1成为OASIS标准。

来自超过24个公司及团体的大约30人参与了SAML 2.0的创建。

尤其是,自由联盟将身份联合框架规范(ID-FF)贡献给OASIS,后者成为了SAML 2.0规范的基础。

这恰好适合于使用SaaS应用程序的企业, SAML 2.0为需要在SaaS

最低0.47元/天 解锁文章
OneAuth
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
OneAuth 2022.11.23版本更新内容
11-25 450
通 OpenLDAP 协议可读取 OneAuth 中的用户组以及其中的成员。通过自定义Scope 和 Claims 进行 API 和数据的详细访问授权。在部分情况下,当策略和规则引用了位置和网络时无法正确命中策略和规则的问题。适应了更多 Web 网站的通过 GWA 身份认证方法的登录。同步飞书:OneAuth 可以同步飞书中的组织架构和用户。支持通过自定义属性和映射,获取北森中用户的自定义属性。
博客
如何基于钉钉通讯录生成LDAP服务
11-14 1462
如何通过钉钉目录 生成 LDAP服务,让企业运维LDAP更简单
博客
JumpServer 如何配置LDAP服务
11-14 1442
基于云的LDAP服务,快速配置JumpServer LDAP认证
博客
员工如何通过自助方式重置AD密码
11-14 1415
员工忘记AD密码,无法自助重置,通过OneAuth的 AD Agent 能够帮助企业轻松管理AD账号问题。
博客
IDaaS身份管理之属性映射和表达式
11-08 345
IDaaS身份体系建设可以高效管理用户,通过提供身份智能快发现和修正用户权限,避免遗漏。通过身份管理,能够增加企业对于
博客
用酒店门卡思路来深度理解OAuth2.0的工作原理
08-25 377
OAuth 2.0访问令牌和酒店房卡有什么共同点?酒店房卡与OAuth2.0 访问令牌是很相似的。 首先我们来用酒店的7个场景来更好的理解这个问题。01用酒店的7个场景类比这个问题 01前台验证即可获得房卡(验证身份获取Token)在酒店前台办理入住手续,出示您的身份证,您会得到一张房卡,您可以使用它进入您的酒店房间。在 OAuth 中,应用程序将用户发送到他们进行身份验证的 OAuth 服务器(类似于在前台出示身份证),然后 OAuth2.0 服务器将向应用程序发出访问令牌(Token)。02任何可以
博客
使用网络位置限制,保护公司数据安全
08-25 287
IP 限制策略通常是一组组合,例如定义的 IP 范围或单个 IP 地址和时间,因此 IP 限制解决方案允许管理员或组织所有者将单个用户限制为一个或多个预定义的 IP 地址。因此,启用 IP 限制可确保您的重要数据无法在不安全的公共场所或通过未注册的 IP 地址访问。通常,当用户尝试登录/访问其帐户时,IP 限制解决方案会根据允许列表评估登录请求的 IP 地址。如果您不知道您的 IP 地址,您可以通过百度键入“ IP ”来检查您的 IP 地址。动态 IP – 用户每次连接到网络时,IP 地址可能会有所不同。
博客
对于零信任 企业应该知道这22问
08-24 263
在产业数字化升级与业务上云的趋势下,传统企业保护边界逐渐被瓦解,企业被攻击面大幅增加,零信任这一网络安全的理念受到更多的关注,国内外围绕零信任展开大量的研究和实践。企业该如何部署零信任,OneAuth身份引擎云管理安全围绕零信任基于自身应用实践,梳理了22个常见的问题,帮助用户快速理解。Q1大家都在讨论零信任,零信任到底是什么?答:本质上,零信任既不是技术也不是产品,而是一种安全理念,“持续验证,永不信任”是其基本观点。零信任假定网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要
博客
云原生架构需遵循七个原则
08-23 735
作为一种架构模式,云原生架构通过若干原则来对应用架构进行核心控制。这些原则可以帮助技术主管和架构师在进行技术选型时更加高效、准确,下面将展开具体介绍。服务化原则在软件开发过程中,当代码数量与开发团队规模都扩张到一定程度后,就需要重构应用,通过模块化与组件化的手段分离关注点,降低应用的复杂度,提升软件的开发效率,降低维护成本。随着业务的不断发展,单体应用能够承载的容量将逐渐到达上限,即使通过应用改造来突破垂直扩展(Scale Up)的瓶颈,并将其转化为支撑水平扩展(Scale Out)的能力,在全局并发访问的
博客
使用spring security 实现CAS单点登录
08-22 1270
每次验证时,CAS Server 会根据 TGT签发一个ST,并把ST拼接在service参数中,同时将相应的TGC设置到用户的cookie中(域为CAS Server),并返回302 状态码,指示浏览器重定向到 service,例如 http://cas.client.com/me?在单点登录系统中,需要定义一个独立的认证中心,只有认证中心才能接受用户的用户名密码等安全信息,而其他系统并不提供登录入口,只接受认证中心的间接授权,间接授权通过令牌实现。,只需要登录一次就可以进入多个系统,而不需要重新登录。
博客
东半球最佳的身份引擎服务,诚邀探索
08-12 190
当然,每个组织都不会突然放弃其现有⽹络并将所有东⻄推到云中,但是,新的解决⽅案必须支持混合的场景,通过整合本地⽹路连接到云的场景,逐渐的转变。OneAuth 致力于为未来的云身份管理打造极致体验的产品,接受您对产品的任何挑战,对于采纳的建议,我们将提供精美的礼品一份。在认证环节,OneAuth 提供了非常灵活的策略配置,管理员可以根据能够想到的任意安全考量去设计用户的登录和获取权限的流程。连接消费者,建⽴⾯向消费者的统⼀设计语⾔的登录体验,以及建⽴企业级的⽤户中⼼。配置访问的策略以确定是授予还是拒绝访问。.
博客
如何完成繁杂的身份治理
08-12 439
例如身份源中企业微信的员工离职,管理员在企业微信中将员工状态变更,即同步状态到 OneAuth 中该员工则无法登录 OneAuth 继而收回之前授权的应用权限。OneAuth 的映射和表达式起到了非常关键的作用,无需任何代码,即可简便配置,支持复杂场景的账号关联和映射。例如一些企业,由于历史原因,HR 系统和 AD 的邮箱为公司邮箱,但是身份管理平台,需要简化的用户登录名称,登录名为邮箱前缀,而 OA 系统的登录名为用户 ID ,这就造成了各个系统之间的割裂。身份映射统一管理分散的身份。...
博客
企业如何实现安全可靠的云密码管理
08-12 974
密码在企业应用中充当着身份鉴权的基本角色。云原生的发展国内SaaS类型的应用也日益增多,众多企业开始使用SaaS类的对企业的业务进行管理。如HR SaaS 、CRM、ERP等,对于密码的统一安全管理是众多企业都需要考虑的问题。‍面对众多的员工的应用账号密码应该如何合理有效的进行授权、管理、回收、这可能是众多企业管理员头疼的问题。企业内部存在着一些共享的账号应用,即多人使用同一账号。一般情况下管理员会将明文的账号密码直接分发给员工使用,这可能会造成该应用账号被其他人使用的可能性。当员工离职时,管理员通过修改账
博客
企业应用身份中台,让登录变得更加高效
08-11 316
SaaS的好处是无可争议的,但是在提升便利的同时也带来了新的安全风险。当公司授予用户的访问权限超过完成工作所需的权限,而无法查看或管理多个SaaS和公有云环境中的用户权限时,就容易出现权限越权,影响企业的信息数据泄露等安全隐患。随着近些年的云原生的应用兴起,企业开始对SaaS应用的管理需求日益增高。越来越多的企业开始部署IAM身份管理系统,而对于企业而言自研身份管理类软件成本高、周期长且上线时间慢,而选择一个合适企业身份管理中台,是大多数企业的绝佳选择。OneAuth企业应用身份中台OneAuth 单点登录
博客
北森 x OneAuth,自动化企业员工账号生命周期管理
08-10 555
随着互联网、AI、云计算技术等行业的高速发展,企业信息化建设已成为实现可持续发展和提高企业核心竞争力的重要手段。业务系统的不断增多,员工规模的不断壮大,员工的入职、离职以及权限的开通都需要人工手动来创建,对于大量员工变动的情况下,显然这是一个很重复且的事情,企业往往因为一些业务原因无法及时对离职员工的权限进行收回,易出现企业敏感数据外泄等安全问题。企业应该建设数字化身份生命周期管理,加强对身份管理的重视是当下云时代的有必要注意的问题之一。01.什么是生命周期管理数字化身份生命周期管理是企业内身份伴随其角色进
博客
新一代IAM爆发式增长,混合云时代,企业如何选择云身份管理
08-05 372
根据瞻博网络发布的一项研究报告,未来五年,全球在身份和访问管理( IAM )解决方案上的支出将增长62%,从今年预计的160亿美元增加到2027年的265亿美元。新增的 IAM 市场将主要基于 SaaS 模式(云 IAM ),分析师认为 SaaS 正在迅速成为购买 IAM 解决方案的主要模式——预计到2027年,云IAM将占据 IAM 市场的绝大部分。报告指出:“需要管理的设备和服务比以往任何时候都多,对相关访问权限的要求也不同。”“随着员工在企业中的不同角色迁移,需要跟踪的内容也越来越多,管理身份和访问变
博客
OneAuth云目录,助力企业数字化身份统一管理
08-05 605
一般大型企业内部存在的应用、设备,如堡垒机、防火墙设备、 VPN 网关,无线网络AC控制器等都支持 LDAP 管理功能。建立 LDAP 服务是个相对复杂耗时的过程,企业若想使用 LDAP 服务需要复杂的搭建以及配置,前期部署成本和后期维护成本相对比较高且需要专人维护,对于后期IT运维的要求高且管理维护也颇为复杂。有没有合适解决方案可以既能解决问题又能轻松的使用 LDAP 服务,实现企业现代化建设的数字化身份管理的统一,化繁为简的同时卓越的提升企业管理效率。OneAuth 云目录的特性云目录是&nbs
博客
SSO与密码管理工具的区别:该用哪种?
08-03 186
密码管理器解决方案和单点登录(SSO)有着相同的目的:让用户可以轻松地跨不同的应用程序登录。在这两种技术中,用户只需一次登录即可解锁对多个网站和应用程序的访问。这些相似之处就是为什么人们经常怀疑 SSO 和密码管理器是否是一回事。但事实并非如此。这两种技术都支持多应用程序登录,但方式完全不同。在本文中,我们将更详细地研究这些技术,并帮助您选择最适合您的组织的解决方案。...
博客
OneAuth 7月主题 如果失败,让失败的代价更低
07-28 136
这里是2022年第4期的 OneAuth《身份月报》—— 致力于成为对大家“有用”的 Highlight 看板——每月初通过公众号以及 EDM 邮件等渠道发布。也欢迎大家转发和反馈。对于任何反馈(包括但不限于内容上、形式上)我们不胜感激、并有小惊喜回馈,例如你希望从“身份管理月报”中看到哪些内容;自己推荐的信源、话题、会议等;内容排版或呈现形式上有哪些可以改进的地方等,对与 OneAuth 的期望等等。我们欢迎更多的小
博客
从身份厂商OKTA黑客攻击事件,企业应该注意几大安全问题
07-27 1103
被全球数千家企业使用的认证技术方案公司Okta表示,它正在调查一个潜在的漏洞消息。披露这一消息时,黑客组织 Lapsus$ 在其 Telegram 频道上发布了自称是 Okta内部系统的截图,其中一张似乎显示了 Okta 的 Slack 频道,另一张是 Cloudflare 界面。Okta 是一家拥有超过15,000名客户的身份认证服务,周二表示,攻击者在1月份可以访问支持工程师的笔记本电脑五天。但据该公司称,该服务本身并未遭到破坏。01.OKTA的事件发生回顾Okta 泄密事件的主要原因:内部员工终端缺乏

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值