OpenID Connect в конечном итоге заменит SAML в качестве доминирующего протокола для SSO?

Question

OpenID Connect в конечном итоге заменит SAML в качестве доминирующего протокола для SSO?

Я видел в некоторых статьях, говорится, что OpenID Connect заменит SAML в качестве доминирующего протокола для SSO. Я не уверен, как openID connect будет обрабатывать возможности управления сеансами с различными поставщиками услуг и как его можно использовать для реализации единого выхода из системы? В настоящее время существуют IDM-серверы (с открытым исходным кодом или коммерческие), которые поддерживают OpenID connect как SSO IDP (в качестве замены для SAML2 SSO IDP)?

14

openid openid-connect saml security single-sign-on

автор: Hans Z.

4 ответов

автор: Andrew K. · Accepted Answer · 2014-01-22 14:11:03

PingFederate [отказ от ответственности: как говорится в моем имени, я работаю для PingIdentity] встроенный OIDC в продукт в апреле 2013 - версия 7.0. Кроме того, мы поддерживаем OpenID с декабря 2010 года с помощью набора интеграции.

это сказало, " SLO " под OIDC-это совершенно новая игра. Я бы предложил прочитать Управление Сеансами часть OID Spec. Суть в том, что SLO выполняется совершенно иначе, чем большинство систем SAML реализовал его, и он очень ориентирован на пользователя, а не на OP или RP.

одна последняя вещь... Хотя возможно, что OIDC в конечном итоге заменит SAML, я просто хотел бы отметить, что у нас наконец-то появился серьезный эффект снежного кома с SAML. OIDC еще не окончательно, и для миграции потребуется время. Изменится ли фокус? Очень возможно. Но этого не случится ни в этом году, ни в следующем, и, скорее всего, не случится еще пару раз после этого. Если вы смотрите на продукты, которые кровоточащий край, поддерживающий OIDC, достаточно справедлив... Но если вы действительно хотите реализовать, возможностей мало и далеко друг от друга. Там просто не так много RPs там еще-в первую очередь потому, что спецификация не является "окончательной".

Я также должен упомянуть, что некоторые из наших конкурентов, такие как Gluu, Okta, IBM и Layer7, продемонстрировали поддержку OIDC (конкурируя в тестировании взаимодействия), но я не могу говорить о степени их поддержки в текущих продуктах.

автор: Stefan Rasmusson · Accepted Answer · 2014-01-21 18:07:14

OpenAM, похоже, поддерживает его с выпуска 11. wikis.forgerock.org/confluence/display/openam/OpenAM + Дорожная карта

автор: Mike Schwartz · Accepted Answer · 2014-06-13 02:47:34

Да не вопрос. Никто не хочет использовать стандарт SOAP/XML с 2005 года (pre-mobile), когда они могут использовать API JSON/REST с 2014 года. См. прогнозы протокола Gluu:http://www.gluu.co/sso-protocol-predictions

Если вы сомневаетесь в этом, смотрите прогнозы Форрестера... http://www.gluu.org/blog/wp-content/uploads/2014/06/eve_uma_irmsummit_2014-300x225.jpg Обратите внимание на SAML на кривой" умеренный успех "и OpenID Connect на" значительный успех" кривая.

проблема в том, что поставщики SAML не согласились бы на нарушение изменений, а мобильные/безголовые API сломали некоторые из допущений, сделанных в дизайне SAML.

Майк Шварц Основатель / генеральный директор Gluu http://gluu.org

автор: JBernhardt · Accepted Answer · 2016-06-13 10:13:33

Я ожидал бы, что OIDC заменит аутентификацию на основе SAML с течением времени.

Apache Fediz (начиная с версии 1.3.0) обеспечивает поддержку * SAML для входа веб-Федерации * WS-Federation * OIDC

великий думать о Fediz является, то есть также поддерживает протокол моста. Таким образом, вы можете войти в систему с IDP с помощью SAML Web SSO и, наконец, войти в oidc Web Портал. https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html

однако SLO в настоящее время не поддерживается для OIDC. Но поскольку это проект с открытым исходным кодом, его нужно просто добавить, поскольку вклад всегда приветствуется.