我想知道跨一组公共网站实施联合的技术。简单的答案是“联邦”或“saml”。但是,在实践中,我可以看到很多技术问题:创建帐户链接(以便站点 1 中的用户“SteveRoy”链接到站点 2 中的“SRoy”),更改登录页面以引用中央 IdP,处理不拥有跨所有站点的帐户,处理跨站点的会话注销等。简而言之,“saml”似乎是对一个更复杂的问题的过度简化。很想听听那些在这个领域取得成功的人的细节......
问问题
324 次
1 回答
0
可能不是您希望的答案,但这里有。:)
SAML(和相关/替代 OpenID)只是一种协议,用于传递有关身份的断言并将该身份验证决定联合到其他地方 - 它允许您接受您信任的服务字 (IdP) 来为您执行用户身份验证。这些协议允许您构建联合身份系统;它们本身并不是这样的系统。
您在问题中提到的所有内容(用户映射、实际的 SP 基础设施维护、单个站点授权、联合注销)一直是并且仍然是该领域的挑战,并且您在那里部署的任何解决方案都需要解决这些工程/实施问题. 您可以,也有人可能应该,写数百页的各种方法来处理构建有效的联合身份系统所涉及的所有细微差别。在这个领域没有简单的答案。
于 2012-03-09T14:19:32.950 回答