ocl包括了哪幾個規範?安全斷言标記語言(SAML)和 OpenID Connect(OIDC)是兩種較為常見的身份驗證協議和身份标準,有各自的優缺點和差異性本文将對比 SAML 和 OIDC 兩種協議探究各自的企業用例,以及每種協議對身份和訪問管理(IAM)的貢獻兩種協議都支持單點登錄(SSO),但在部署之前需要明确兩者在技術和概念上的差異:SAML 的重點在于安全授予跨域網站訪問權限,而 OIDC 為移動應用和 Web 應用提供了額外的情境,下面我們就來說一說關于ocl包括了哪幾個規範?我們一起去了解并探讨一下這個問題吧!
安全斷言标記語言(SAML)和 OpenID Connect(OIDC)是兩種較為常見的身份驗證協議和身份标準,有各自的優缺點和差異性。本文将對比 SAML 和 OIDC 兩種協議探究各自的企業用例,以及每種協議對身份和訪問管理(IAM)的貢獻。兩種協議都支持單點登錄(SSO),但在部署之前需要明确兩者在技術和概念上的差異:SAML 的重點在于安全授予跨域網站訪問權限,而 OIDC 為移動應用和 Web 應用提供了額外的情境。
1. SAML 和 OIDC 的差異在比較 SAML 2.0 和 OIDC協議之前,首先要比較 SAML 和 OAuth 協議,OAuth 是 OIDC 的基礎,OIDC 通過身份層在此基礎上進行了擴展,實現去中心化的身份驗證服務。OpenID 開源社區于2005年啟動了 OpenID 的開發項目。據基金會稱,現在已有來自超過50,000多個網站的10億多個用戶賬号啟用 OpenID,管理支持 OIDC 身份驗證、OIDC 社區以及合規操作的基礎架構。
而SAML 2.0 是一個開放标準,自2003年以來一直為商用、私用身份提供程序(IdP)和服務提供程序(SP)提供身份驗證和授權功能。SAML 最初使用基于可擴展标記語言(XML)的框架來實現單點登錄,允許 IdP 和 SP 彼此獨立,支持集中式用戶管理。下節将介紹 SAML 的工作原理,探究協議中的每個組件。
2. SAML 的實現原理上文提到,SAML 是一種用于身份驗證和授權的開放标準,通過身份聯合提供對 Web 應用的單點登錄訪問。SAML 從 IdP 中繼用戶憑證來驗證訪問權限和 SP,其中服務提供提供程序(SP)需要在授予用戶訪問權限之前進行身份驗證。每個用戶或組都有各自的屬性概括了配置文件信息,并聲明具體的訪問權限。
SAML 使用 XML 元數據文檔, 也就是 SAML 令牌進行斷言,驗證用戶身份和訪問權限。
SAML 插件通常會用在應用或資源中實現單點登錄,确保符合安全要求,協議中的憑證和斷言明确了訪問準入的身份。此外,SAML 還能用于控制身份在應用中的訪問權限。 SAML 的核心組件包括IdP、SP、客戶端和屬性,這些組件可以交換用戶信息從而控制準入。
1)身份提供程序(IdP)
IdP 是維護管理數字身份的服務,在整個應用、網絡和 Web 服務範圍内驗證用戶憑證,主要作用是保護用戶憑證的完整性,并在需要單點登錄的地方提供用戶身份聯合。
2)客戶端
客戶端是指使用由 IdP 管理的憑證對服務進行身份驗證的用戶。舉例來說,企業可以通過 SAML 協議批準員工使用企業郵箱和密碼完成單點登錄來訪問所需服務。
3)屬性
SAML 還負責将稱為斷言的消息從 IdP 傳輸到 SP。這些斷言通過驗證、授權和确定客戶端的權限級别來設置訪問事件的所有相關安全要求。這一過程中會使用“部門”、“郵件”和“角色”等屬性實施訪問管理和準入控制。有時還會使用自定義屬性擴展 SAML 協議以支持自定義軟件。
4)服務提供程序(SP)
SP 是用戶使用 SAML 進行單點登錄後通過身份驗證所要使用的資源,通常是私有網站或應用。SP 在授予用戶訪問權限之前會先接收或拒絕 IdP 針對客戶端配置文件發送的斷言。SP 會向 IdP 發送身份驗證請求,然後客戶端會向 IdP 發送斷言作為響應。這一過程有時會颠倒順序,IdP 可以以任何一種順序開始登錄流程。
3. OIDC 的實現原理OIDC 在 OAuth 協議上進行了擴展,主要組件包括 OAuth 協議的基礎框架加上具有唯一性的用戶工作流。OIDC 讓客戶端服務也就是應用通過 OpenID 驗證服務器核驗用戶身份并通過 RESTful API 交換配置文件信息,這些 API 會分派 JSON Web 令牌(JWT)用于身份驗證過程中的信息共享。這種方法具有高度的可擴展性和跨平台的靈活性,而且實施相對簡單,吸引了很多開發人員。
4. 用戶認證用戶是資源所有者,通過授權服務器的身份驗證後獲取客戶端應用的訪問權限,授權服務器會授予用戶訪問令牌,允許應用從用戶信息(UserInfo)端點接收同意信息,用戶信息端點受到 OpenID 服務器的保護,服務器中的 JSON 對象包含了有關每個用戶的斷言。随後服務器将身份驗證信息編碼在應用接收的 ID 令牌中,信息緩存後就能實現可擴展性以及個性化的終端用戶體驗。
5. 基于 OAuth 2.0 協議OIDC 建立在 OAuth 2.0 框架的基礎上,OAuth 2.0 标準可授予第三方應用和服務訪問用戶 ID 資源的權限。用戶憑證并不是通過網絡發送,也不會存儲在第三方服務器上,因此提高了資源安全性,也方便了管理員操作。
6. SAML 和 OIDC 的相似性與差異性相似性
差異性
開發人員和企業應選擇最适合自身特定用例的解決方案,部分情況也可以采用組合方案。OIDC要用于需要請求訪問令牌的反向通道網站和移動應用。
SAML 幾乎都用于前向通道網站訪問,這類訪問中用戶會觸發應用的身份驗證,并且假定客戶端應用(Web 服務)在與用戶設備以外的其他設備上運行。以下是針對兩種協議用例的一些通用提示:
OIDC 和 SAML 協議之間不會相互排斥,企業可以考慮将 SAML 用于單點登錄,保護資源訪問,對于具有高可擴展性要求的移動化用例則可以使用 OIDC。總的來說,兩者各有其優點,都支持單點登錄服務。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!