SAMLvsOIDC一文读懂两大身份协议
安全断言标记语言(SAML)和 OpenID Connect(OIDC)是两种较为常见的身份验证协议和身份标准,有各自的优缺点和差异性。本文将对比 SAML 和 OIDC 两种协议探究各自的企业用例,以及每种协议对身份和访问管理(IAM)的贡献。两种协议都支持单点登录(SSO),但在部署之前需要明确两者在技术和概念上的差异:SAML 的重点在于安全授予跨域网站访问权限,而 OIDC 为移动应用和 Web 应用提供了额外的情境。
1. SAML 和 OIDC 的差异
在比较 SAML 2.0 和 OIDC协议之前,首先要比较 SAML 和 OAuth 协议,OAuth 是 OIDC 的基础,OIDC 通过身份层在此基础上进行了扩展,实现去中心化的身份验证服务。OpenID 开源社区于2005年启动了 OpenID 的开发项目。据基金会称,现在已有来自超过50,000多个网站的10亿多个用户账号启用 OpenID,管理支持 OIDC 身份验证、OIDC 社区以及合规操作的基础架构。
而SAML 2.0 是一个开放标准,自2003年以来一直为商用、私用身份提供程序(IdP)和服务提供程序(SP)提供身份验证和授权功能。SAML 最初使用基于可扩展标记语言(XML)的框架来实现单点登录,允许 IdP 和 SP 彼此独立,支持集中式用户管理。下节将介绍 SAML 的工作原理,探究协议中的每个组件。
2. SAML 的实现原理
上文提到,SAML 是一种用于身份验证和授权的开放标准,通过身份联合提供对 Web 应用的单点登录访问。SAML 从 IdP 中继用户凭证来验证访问权限和 SP,其中服务提供提供程序(SP)需要在授予用户访问权限之前进行身份验证。每个用户或组都有各自的属性概括了配置文件信息,并声明具体的访问权限。
SAML 使用 XML 元数据文档, 也就是 SAML 令牌进行断言,验证用户身份和访问权限。
SAML 插件通常会用在应用或资源中实现单点登录,确保符合安全要求,协议中的凭证和断言明确了访问准入的身份。此外,SAML 还能用于控制身份在应用中的访问权限。 SAML 的核心组件包括IdP、SP、客户端和属性,这些组件可以交换用户信息从而控制准入。
1)身份提供程序(IdP)
IdP 是维护管理数字身份的服务,在整个应用、网络和 Web 服务范围内验证用户凭证,主要作用是保护用户凭证的完整性,并在需要单点登录的地方提供用户身份联合。
2)客户端
客户端是指使用由 IdP 管理的凭证对服务进行身份验证的用户。举例来说,企业可以通过 SAML 协议批准员工使用企业邮箱和密码完成单点登录来访问所需服务。
3)属性
SAML 还负责将称为断言的消息从 IdP 传输到 SP。这些断言通过验证、授权和确定客户端的权限级别来设置访问事件的所有相关安全要求。这一过程中会使用"部门"、"邮件"和"角色"等属性实施访问管理和准入控制。有时还会使用自定义属性扩展 SAML 协议以支持自定义软件。
4)服务提供程序(SP)
SP 是用户使用 SAML 进行单点登录后通过身份验证所要使用的资源,通常是私有网站或应用。SP 在授予用户访问权限之前会先接收或拒绝 IdP 针对客户端配置文件发送的断言。SP 会向 IdP 发送身份验证请求,然后客户端会向 IdP 发送断言作为响应。这一过程有时会颠倒顺序,IdP 可以以任何一种顺序开始登录流程。
3. OIDC 的实现原理
OIDC 在 OAuth 协议上进行了扩展,主要组件包括 OAuth 协议的基础框架加上具有唯一性的用户工作流。OIDC 让客户端服务也就是应用通过 OpenID 验证服务器核验用户身份并通过 RESTful API 交换配置文件信息,这些 API 会分派 JSON Web 令牌(JWT)用于身份验证过程中的信息共享。这种方法具有高度的可扩展性和跨平台的灵活性,而且实施相对简单,吸引了很多开发人员。
4. 用户认证
用户是资源所有者,通过授权服务器的身份验证后获取客户端应用的访问权限,授权服务器会授予用户访问令牌,允许应用从用户信息(UserInfo)端点接收同意信息,用户信息端点受到 OpenID 服务器的保护,服务器中的 JSON 对象包含了有关每个用户的断言。随后服务器将身份验证信息编码在应用接收的 ID 令牌中,信息缓存后就能实现可扩展性以及个性化的终端用户体验。
5. 基于 OAuth 2.0 协议
OIDC 建立在 OAuth 2.0 框架的基础上,OAuth 2.0 标准可授予第三方应用和服务访问用户 ID 资源的权限。用户凭证并不是通过网络发送,也不会存储在第三方服务器上,因此提高了资源安全性,也方便了管理员操作。
6. SAML 和 OIDC 的相似性与差异性
相似性SAML 和 OIDC 都是实现单点登录的身份协议。SAML 和 OIDC 都是安全成熟、有据可查的技术。用户都通过 IdP 进行一次身份验证后就可以访问"信任"IdP 的其他应用。部分零信任服务都会在信任链的每个节点进行身份验证,并使用另一种验证方法定期验证访问。登录工作流对于终端用户似乎都一样,但后台的技术实现却有着千差万别。
差异性很多开发人员认为 OIDC 的实现更简单,不需要 XML 处理。OIDC 缺乏权限等用户授权数据,重点关注身份断言。SAML 是身份数据的交换,功能更加丰富OIDC 支持去中心化的身份验证。SAML 使用断言,OIDC 和 OAuth 使用 ID 令牌。OIDC 专为 API 工作负载而设计,可用于保护 API。
7. 用例
开发人员和企业应选择最适合自身特定用例的解决方案,部分情况也可以采用组合方案。OIDC要用于需要请求访问令牌的反向通道网站和移动应用。
SAML 几乎都用于前向通道网站访问,这类访问中用户会触发应用的身份验证,并且假定客户端应用(Web 服务)在与用户设备以外的其他设备上运行。以下是针对两种协议用例的一些通用提示:
移动应用通常使用 OIDC 类型的轻量化服务,开发人员使用的工具很大一部分都是预构建工具,也可以从插件库中获得。内置 SAML 的应用使用很简单,只涉及 SAML。使用 SAML 从门户访问企业应用。使用 OAuth 2.0 或 OIDC 服务保护 API 或公开 API。企业有时更喜欢用 SAML,因为可以自定义,而且优先交换安全数据。有监管要求的行业几乎都会用 SAML 保护用户敏感信息。
OIDC 和 SAML 协议之间不会相互排斥,企业可以考虑将 SAML 用于单点登录,保护资源访问,对于具有高可扩展性要求的移动化用例则可以使用 OIDC。总的来说,两者各有其优点,都支持单点登录服务。
PS5好搭档,这些配件值得选购元旦期间想着过节放假,得有东西玩,就在多多加价300入手了国行PS5,到手了之后,海鲜市场8元搞定港服注册备份,本来打完4个关卡后以为就结束了,后来朋友来玩时,发现还有一个霸王龙B
手机日期只能设置到2038年?这背后有个大问题世界末日到底是哪一天?这个无厘头的问题一直有着各种各样的离奇答案。当你打开手机,关闭自动设置时间,往未来的方向滑动数字时,你会发现时间停在了2038年。小米华为可以设置到2037年
腾讯音乐CEO梁柱大家不要去字节了,在腾讯挺好3月2日,据界面新闻报道,春节前,QQ音乐召开内部年会,腾讯音乐CEO梁柱在会上表示,任何人的离职都跟人无关,而是组织调整的要求,今年将继续实施管理干部的轮岗制度。梁柱在QQ音乐的
寄快递时记得打开这个选项让信息免裸奔来源武汉晚报原标题寄快递时记得打开这个选项让信息免裸奔(主题)记者探访发现大部分快递企业都未主动推广(副题)记者汪洋顺丰快递将加密服务设置为关闭状态,很少有用户知晓该服务。快递面单
自然最新论文社区公开警员信息或可降低犯罪率中新网北京3月3日电(记者孙自法)国际著名学术期刊自然最新发表一篇人类行为研究论文认为,为居民提供所在社区的警员信息或可降低犯罪率。结合实验和实地研究结果,这项研究发现我们对匿名性
你手机里都安装了什么好玩的软件?这是我手机上一部分软件,我一个个介绍好了,大家都有的就不说了。优酷爱奇艺芒果TV腾讯视频是我看视频的软件,其中腾讯视频是为了看恶魔少爷别吻我这部剧下载的,但是从视频的进度看还是不错
ubuntu如何解压。zip。001。zip。002。zip。003文件1。如何解压。zip。001。zip。002。zip。003文件1。1。问题描述今天下载数据集时,发现下载下来的压缩文件是。zip。001。zip。002。zip。003的。不能直
局势瞬息万变,认知战已在中国网络空间打响哎最近都没有发文章的小聊其实还是很关心国际局势的哈从去年开始,以微博B站等为代表的中国互联网的网络社区,逐渐成为世界各国发布本国外交政策和相关言论等的重要平台。今年伊始,随着乌克兰
亚马逊运营QA集锦(21812190)Q2181我在电脑登录亚马逊店铺的同时,没有退出账号的情况下在这个电脑上注册一个新的邮箱,新邮箱是用来注册新店铺的。目前只是注册了新邮箱,新店铺还没有去注册,这个新邮箱后面在新网络
直播源码的当下与未来规划科技的发展不止给人们带来了生活上的改变还给予了直播行业新的发展机遇,直播源码也因此成为了投资的热门风口,直播在2016年一度成为家喻户晓的存在,那一年也可以称为直播元年,而现如今光
经典面试题Integerc100,d100,cd一定是false吗?相信大家在面试的过程中可能都遇到过这样一道题吧!publicstaticvoidmain(Stringargs)Integera1000,b1000Integerc100,d100