我只是在玩 OpenAM,发现身份验证可以通过 SAML 以及 CDSSO 的基于 cookie 的方法来完成。现在我担心的是,如果我在银行和医疗保健等领域工作,那么采用基于 CDSSO cookie 的方法有多可行,以及他们是否有任何组织在任何此类领域实践基于 cookie 的方法。
2 回答
SAML 旨在连接独立的安全“域”。在这种情况下,术语“域”与网络域名无关,而是一个比较模糊的术语,意味着安全系统之间的划分。一个更好解释的例子:A 公司使用 OpenAM 来保护其 Intranet 网站,但他们也使用 Salesforce 的服务。SAML 是这里显而易见的选择 - Salesforce 不会使用来自 OpenAM 的 cookie……他们怎么可能?您还可以使用它来互连公司(和域名)内部的两个不同系统,例如 OpenAM 和 Siteminder,因为这两个系统无法通过它们的 cookie 直接通信。
CDSSO 主要设计用于可能拥有多个受其保护的域的组织内部。它们可以在多个域中拥有多个策略服务器,但所有这些服务器都由同一个 OpenAM 实例管理,并且它们都共享一个公共后端。许多组织使用 OpenAM(以及 OAM 和 Siteminder)的 CDSSO 功能。但他们在他们控制的系统内使用它。
此外,我想不出有哪个服务提供商会希望您将其中一个 OpenAM 策略服务器放置在他们的网络中。您不希望他们接触您的服务器,并且他们不会(如果他们头脑清醒)相信您不会在他们的网络中放置木马。
TL;DR:
SAML - 管理域外
CDSSO - 管理域内
SAML 是实现 SSO 的基于标准的方式,代理是专有方式。
SAML 不提供开箱即用的任何授权(允许哪个用户访问给定的资源)……这就是倒退。