c card
2012-04-16 10:12:56 UTC
聯合登錄身份驗證和單一登錄身份驗證方法有什麼區別?
聯合登錄身份驗證和單一登錄身份驗證方法有什麼區別?
單點登錄(SSO)允許用戶通過一次登錄訪問多種服務。
該術語實際上是一個小模棱兩可的詞。有時,這通常意味著(1)用戶每次會話僅需提供一次憑據,然後即可訪問多種服務,而無需在該會話期間再次登錄。但是有時它只是用來表示(2)相同的憑證用於多種服務; 用戶可能必須多次登錄,但始終使用相同的憑據。因此請注意,在這方面所有SSO都不相同。許多人(包括我在內)僅將第一種情況視為“真實” SSO。
聯邦身份(FID)是指用戶在其憑據中存儲的位置。或者,可以將FID視為將身份管理系統連接在一起的一種方式。在FID中,用戶的憑據始終存儲在“家庭”組織(“身份提供者”)中。當用戶登錄服務時,服務提供者會信任身份提供者來驗證憑據,而不是向服務提供者提供憑據。因此,用戶永遠不會直接向身份提供者以外的任何人提供憑據。
FID和SSO不同,但經常一起使用。大多數FID系統都提供某種SSO。許多SSO系統都在後台作為FID實施。但是他們不必那樣做。 FID和SSO也可以完全分開。
SSO允許單個身份驗證憑據(用戶ID和密碼,智能卡,一次性密碼令牌或生物識別設備)訪問單個組織內的多個或不同系統。聯合身份管理系統提供對不同企業中多個系統的單一訪問。
Web SSO可以定義為“您需要輸入一次憑據,並且它們在同一個cookie提供程序下,如果它們也在同一個cookie提供程序下,則不需要重新輸入用戶名和密碼”,例如:Gmail- -> google
聯合SSO可以定義為“您可能會被要求使用位於不同企業/網絡或其他組織下的應用程序,在這種情況下,我們需要擁有聯合身份驗證,如果您要使用其他公司的Web產品的服務(例如現在的服務),那麼您將充當身份提供者[IDP],而他們將成為服務提供者[SP]“
聯邦是主要原則,而SSO只是一個用例。 SSO對不同的人可能意味著不同的意思,但是通用的含義是“每個會話使用相同的憑據登錄一次,這在本地許多企業中已廣泛使用”。聯盟原則解決了許多獨立企業希望讓其用戶登錄以使用其所有服務的問題,換句話說就是跨境登錄。從這種需求中產生了今天稱為聯合SSO的一種單點登錄類型。
單點登錄無需解釋!這是IT系統的質量。您只需登錄一次,然後在會話期間就可以做出授權決定,而無需重新進行身份驗證。
所有細微之處都出現在您想要擴大資源覆蓋範圍的情況下。單點登錄。在本地計算機和Intranet域上,我們早已忘記了這場戰鬥的勝利,但是單點登錄必須在操作系統和域控制器中實現。
今天的戰鬥是提供單點登錄。對於世界上的每個網站,聯合ID是用於解決此問題的兩種架構模式之一。另一個更簡單,更普遍的是委託ID。 此處說明了區別。如果作為授權服務器,您很樂意接受一個身份令牌,例如僅知道它是一個OpenId令牌,而不關心生成它的人,那麼您做聯邦身份證。
單點登錄(SSO):單點登錄是一種身份驗證機制的特徵,該機制與用於跨多個服務提供商進行訪問的用戶身份有關。
SSO允許進行單個身份驗證過程(
聯合SSO:聯合身份管理是一個子帳戶,該子帳戶由單個身份提供商或其他身份驗證機制管理)以在單個組織內的多個系統中使用。 IAM的紀律,但通常由同一團隊參與支持。聯合是一種SSO,其中的參與者橫跨多個組織和安全域。
聯合是這些組織之間存在的信任關係。它關係到用戶憑證的實際存儲位置,以及可信第三方如何在不實際看到憑證的情況下針對這些憑證進行身份驗證。
聯合關係可以通過幾種不同的協議之一來實現,包括(不限於):
SAML1.1
SAML2
WS聯合身份驗證
OAuth2
OpenID Connect
WS-信任
各種專有協議
您還可以查看單點登錄實現列表
FID對信任同一身份管理系統的多方進行研究,例如,您可以使用Yahoo帳戶登錄Flicar;在這裡,Flicar依靠Yahoo並信任它來實現您的身份。在FID中,用戶和服務提供商旁邊必須有第三方(身份提供商)。
SSO正在研究如何登錄到多帳戶通過單點登錄提供服務。例如,如果您登錄到hotmail帳戶,則無需重新登錄即可登錄SkyDrive服務。
我沒有示例,但我認為您可以通過SSO使用FID登錄到許多服務,或者您可以不使用FID通過SSO登錄。