3

我有一个关于 SSO 和 Federated SO 的问题。这两者有什么区别?

我们试图完成的是让用户能够使用他们的 Facebook、Twitter 或 Linked In 帐户登录,但我们也希望将其保存在我们的公司 ID 中,以便我们知道他们是谁。我们希望将他们的公司 ID 与他们喜欢的任何社交平台相关联。在公司内部,我们还希望他们使用相同的身份登录其他公司的数字资产,如网站和其他应用程序。公司内部有各种软件系统,用户需要对其进行身份验证才能获得访问权限。这听起来像 SSO 还是联合 SO?我们需要外部供应商吗?这些供应商的标准是什么?

我找到了一篇关于两者之间差异的文章,但坦率地说仍然不明白,因为使用的语言超出了我的知识水平。

http://technotes.khitrenovich.com/difference-sso-single-sign-on-identity-federation/

先感谢您

4

2 回答 2

6

“身份联合”是指接受未在您的系统中进行身份验证的用户的能力(例如,他们使用 Twitter、FB、其他人的 Active Directory 等)

SSO 是一种登录一次,然后无需再次输入凭据即可访问许多应用程序的能力。

您经常通过联合实现 SSO。但是没有它你也可以拥有 SSO。(例如,一个 Active Directory 域和该域中的多个应用程序:您只需登录一次)

于 2013-03-14T14:52:26.390 回答
1

文章和@Eugenio 都拥有它的权利。

既然你想实现这个,让我做一些可能对你有帮助的实际观察:

  • 您希望提供多种方式来验证共同身份。
    • 用户 ID 和密码进入您自己的目录 (Active Directory)
    • Facebook、Twitter、LinkedIn、Google、Yahoo、Live、百度等社交登录。
    • 公司内部的另一个身份系统
    • 来自公司外部的另一个身份系统,例如合作伙伴或客户公司
  • 许多人使用 Active Directory 作为身份存储。
  • 您需要考虑在此目录中配置用户:
    • 对于员工来说,这通常是发生雇用/终止/晋升事件的时候
    • 对于外部用户,您可以在首次使用时使用即时 (JIT) 注册。
    • 所有社交登录都会返回一个电子邮件地址。您可以使用它来检查使用此电子邮件的用户是否已经存在。如果是这样,您可以询问他们是否愿意关联这些帐户。如果是这样,您可以要求对该帐户进行身份验证,例如密码或已与该帐户关联的另一个社交登录。这将防止用户在不希望的情况下意外创建新帐户。
    • 您将希望支持多种单点登录协议。
      • 内部应用程序可能能够使用集成 Windows 身份验证 (IWA) 和 Kerberos。
      • 对于非 Windows 应用程序,对 Web 应用程序使用 SAML 或 WS-Federation,对 API 使用 OAuth2,对社交应用程序使用 OpenID 或 OpenID Connect。这些都支持在身份验证期间和随后的属性。这是一种将有关用户的信息(例如姓名和电子邮件、角色和首选项)传递给您的应用程序的方法。
  • 当您添加移动和云应用程序 (SaaS) 时,您将希望拥有一个基于您渴望的标准的架构。这将使您能够随着社交、移动和云的趋势而发展。

有很多方法可以实现这一点。

  • 您可以使用开源自行开发,尽管这些是具有许多选项的复杂、复杂的技术,当然,您永远拥有进化和维护的所有权。
  • Microsoft 提供免费产品 ADFSv2。这比开源稍微好一点,但是您仍然需要针对每种情况进行配置,它不支持所有协议,并且支持来自 Microsoft。(有点像“免费小狗”中的“免费”。)
  • 最后是堆栈供应商和第三方提供更完整的产品和服务。

* 插头类型=无耻 我的公司 Ping Identity 做到了这一切,轻松自如,比任何人都好,并且拥有世界上最好的客户服务。我们的实现通常需要几个小时,有时需要几天。我们将其作为产品和服务提供。这就是我们所做的一切,我们已经为 1,000 名大大小小的客户做了这 10 年。请访问http://www.pingidentity.com查看我们 /插头 *

于 2013-04-01T14:06:54.510 回答