Sistema de red con protocolo de inicio de sesión único universal
En términos generales, una organización tendrá múltiples sistemas. Suponga que los usuarios necesitan ingresar su número de cuenta/contraseña para iniciar sesión antes de ingresar a cada sistema. Cuando la cantidad de sistemas es pequeña, el usuario aún puede recibirlo cada vez que ingresa el número de cuenta/contraseña; grande, el usuario no podrá recibir. El inicio de sesión único resuelve este problema.
El principio del inicio de sesión único es que los usuarios solo necesitan iniciar sesión una vez para acceder a múltiples sistemas.
Hay muchos protocolos disponibles para el inicio de sesión único y aquí se ofrece una breve descripción general de cuatro de los más comunes: CAS, OAuth2, OpenID y SAML.
El protocolo CAS es un protocolo basado en tokens. Se utiliza para el inicio de sesión único o cierre de sesión de aplicaciones web. El contenido del protocolo es estandarizar un conjunto de URI para inicio de sesión/cierre de sesión: /blog/2014/05/oauth_2_0.html
Aspectos destacados aquí. Uso del proceso de inicio de sesión único Oauth2:
La última versión de OpenID es OpenID Connect, que es el producto de tercera generación de la tecnología OpenID. OpenID Connect permite el uso por todo tipo de clientes, incluidos clientes basados en navegador y aplicaciones móviles nativas.
OpenID se utiliza para la autenticación del usuario final, mientras que OAuth2 se utiliza para autorizar recursos en el cliente cuando se sabe que la identidad del usuario es legítima.
OpenID Connect se basa en el protocolo OAuth. OAuth2 tiene un alcance especial "openid" para identificar la solicitud de openid y agrega un campo idtoken en el cuerpo de devolución de OAuth2 para identificar al usuario.
El proceso de inicio de sesión único que utiliza OpenID Connect es coherente con Oauth2.
Actualmente, muchas aplicaciones domésticas (navegadores o teléfonos móviles) admiten la verificación de identidad de terceros, como WeChat, Weibo, etc. Esta autenticación de terceros es posible a través de OpenID Connect.
Tenga en cuenta que el uso de autenticación de terceros generalmente solo se admite para aplicaciones empresariales.
SAML interactúa a través de XML y se basa en HTTP.
La terminología básica involucrada en el protocolo SAML se resume a continuación.
IdP: Proveedor de identidad se refiere a los servicios que proporcionan gestión de identidad. Los IdP de propiedad empresarial comunes incluyen AD FS, Shibboleth, etc., y los IdP de nube incluyen Azure AD, Okta, OneLogin, etc.
SP: Proveedor de servicios, un proveedor de servicios, es una aplicación que utiliza la función de gestión de identidad del IdP para proporcionar servicios específicos a los usuarios. SP consume información del usuario proporcionada por el IdP. En algunos sistemas de identidad de protocolo que no son SAML, como OIDC, los proveedores de servicios también se conocen como partes de confianza, es decir, partes subordinadas del IdP.
SAML: Security Assertion Markup Language es un protocolo estándar para implementar la autenticación de usuarios a nivel empresarial. Es una de las implementaciones técnicas que permite la comunicación entre SP e IdP. Actualmente es el estándar de facto para Enterprise Identity Alliance (SAML 2.0).
Aserción SAML: La aserción SAML es el elemento central del protocolo SAML y se utiliza para describir la solicitud de autenticación (Solicitud) y la respuesta de autenticación (Respuesta). Por ejemplo, los atributos específicos del usuario se incluyen en las aserciones de la respuesta de autenticación.
Confianza: La confianza se refiere al mecanismo de confianza mutua establecido entre SP e IdP, generalmente implementado mediante claves públicas y privadas. El SP obtiene sin confianza los metadatos de la federación de identidades del IdP, que incluyen la clave pública correspondiente a la clave privada del IdP utilizada para firmar la aserción SAML, y el SP puede usar la clave pública para verificar la integridad de la aserción.
Ejemplos de SSO de Alibaba Cloud: /doc/document_detail/69969.html
Enlace de referencia: /p/5d535eee0a9b
Elegir qué SSO requiere sopesar los pros y los contras.