OpenID Connect в конечном итоге заменит SAML как доминирующий протокол для SSO?

Я видел в некоторых статьях, говорится, что OpenID Connect заменит SAML как доминирующий протокол для SSO. Я не уверен, как openID connect будет обрабатывать возможности управления сеансом с различными поставщиками услуг и как его можно использовать для реализации единого выхода? В настоящее время существуют ли серверы IDM (с открытым исходным кодом или коммерческие), которые поддерживают соединение OpenID в качестве IDO единого входа (в качестве замены для SOML2 SSO IDP)?

Ответы

Ответ 1

PingFederate [отказ от ответственности: как он говорит от моего имени, я работаю в PingIdentity], построил OIDC в ​​продукте в апреле 2013 года - версия 7.0. Кроме того, мы поддерживали OpenID с декабря 2010 года с помощью комплекта интеграции.

Тем не менее, "SLO" под OIDC - это совершенно новая игра в мяч. Я предлагаю прочитать раздел Управление сеансом в OID Spec. Суть его в том, что SLO полностью отличается от того, как большинство систем SAML реализовало его, и оно очень ориентировано на пользователя, а не OP или RP.

Последнее: хотя возможно, что OIDC заменит SAML в конце концов, я просто хотел бы указать, что мы наконец получили серьезный эффект снежного кома с SAML. OIDC еще не окончательный, и на переход потребуется время. Сдвинет ли фокус? Вполне возможно. Но этого не произойдет в этом году, или следующего, и, скорее всего, не для пары еще после этого. Если вы смотрите на продукты, которые имеют кровоточащие края, которые поддерживают OIDC, справедливо... Но если вы действительно хотите реализовать, возможности немного и далеко друг от друга. Там просто не так много RPs - прежде всего потому, что спецификация не является "окончательной".

Следует также упомянуть, что некоторые из наших конкурентов, такие как Gluu, Okta, IBM и Layer7, продемонстрировали поддержку OIDC (путем конкуренции в тестировании interop), но я не могу говорить о том, насколько они поддерживаются в текущих продуктах.

Ответ 2

OpenAM, похоже, поддерживает его с версии 11. wikis.forgerock.org/confluence/display/openam/OpenAM+Roadmap

Ответ 3

Да, не вопрос. Никто не хочет использовать SOAP/XML-стандарт с 2005 года (pre-mobile), когда они могут использовать API JSON/REST с 2014 года. См. Предсказания протокола Gluu: http://www.gluu.co/sso-protocol-predictions

Если вы сомневаетесь в этом, см. предсказания Forrester... http://www.gluu.org/blog/wp-content/uploads/2014/06/eve_uma_irmsummit_2014-300x225.jpg Обратите внимание на SAML на кривой "умеренного успеха" и OpenID Connect на кривой "значительного успеха".

Проблема заключается в том, что поставщики SAML не согласятся нарушать изменения, а API-интерфейс для мобильных/без заголовков нарушил некоторые предположения, сделанные в дизайне SAML.

  • Майк Шварц Основатель/генеральный директор Gluu http://gluu.org

Ответ 4

Я ожидаю, что OIDC заменит аутентификацию на основе SAML с течением времени.

Apache Fediz (начиная с версии 1.3.0) обеспечивает поддержку  * SAML Web SSO  * WS-Federation  * OIDC

Большое мнение о Fediz - это то, что также поддерживает мост протокола. Таким образом, вы можете войти в систему с помощью IDP с использованием SAML Web SSO и, наконец, войти на веб-портал OIDC. https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html

Однако SLO в настоящее время не поддерживается для OIDC. Но так как это проект с открытым исходным кодом, его следует просто добавить, поскольку вклады всегда приветствуются.