SAML 2.0 可以做什么而 OID 连接不能?
What can SAML 2.0 do that OID connect can not?
我花了几天时间研究这两种技术,但我仍然感到困惑。
谢谢
Saml 2.0 是一个较旧的标准,发明于单页应用程序、REST APIs 和移动 phone 应用程序之前。它侧重于 Web 应用程序单点登录和单点注销。
OpenID Connect 也做网络应用程序,但增加了对 SPA 和移动应用程序的支持并处理 API 安全性。所以在很多方面,OIDC 更胜一筹。
然而,有些事情是 SAML2 可以做的,但在 OIDC 中是没有的:
- 联合,其中一个中央实体提供一个聚合的元数据文件,其中包含有关许多身份提供者和应用程序(服务提供者)的信息。美国的 InCommon 就是其中之一。新的欧洲eID系统eIDAS也是SAML2联盟。
- Idp 发起登录 - 其中 Idp 是一种应用程序门户。请注意,这会导致会话固定攻击,有时不适合允许。
- 允许通过导入描述应用程序的元数据来配置 Idp 的应用程序(服务提供商/依赖方)元数据。
请注意,API SAML2 规范通过 ECP 配置文件提供了安全性,但几乎没有人使用它,而且实现也很少。
我花了几天时间研究这两种技术,但我仍然感到困惑。
谢谢
Saml 2.0 是一个较旧的标准,发明于单页应用程序、REST APIs 和移动 phone 应用程序之前。它侧重于 Web 应用程序单点登录和单点注销。
OpenID Connect 也做网络应用程序,但增加了对 SPA 和移动应用程序的支持并处理 API 安全性。所以在很多方面,OIDC 更胜一筹。
然而,有些事情是 SAML2 可以做的,但在 OIDC 中是没有的:
- 联合,其中一个中央实体提供一个聚合的元数据文件,其中包含有关许多身份提供者和应用程序(服务提供者)的信息。美国的 InCommon 就是其中之一。新的欧洲eID系统eIDAS也是SAML2联盟。
- Idp 发起登录 - 其中 Idp 是一种应用程序门户。请注意,这会导致会话固定攻击,有时不适合允许。
- 允许通过导入描述应用程序的元数据来配置 Idp 的应用程序(服务提供商/依赖方)元数据。
请注意,API SAML2 规范通过 ECP 配置文件提供了安全性,但几乎没有人使用它,而且实现也很少。