SAML vs federated login with OAuth

Spójrz na to proste wyjaśnienie podsumowane tutaj:

Wiele osób jest zdezorientowanych co do różnic między SAML, OpenID i OAuth, ale to naprawdę bardzo proste. Chociaż jest kilka nakładania się, oto bardzo prosty sposób rozróżnienia między trzy.

OpenID-jednokrotne logowanie dla konsumentów]}

SAML-jednokrotne logowanie dla użytkowników korporacyjnych

OAuth-autoryzacja API pomiędzy aplikacjami

Dla ludzie, którzy lubią wzorce projektowe OO, myślę, że jest ładny następstwo wrapper patterns. Think of , dekorator i Proxy wzory. Zasadniczo wszystkie są takie same, to tylko Opakowania... różnicą jest intencja każdego wzoru.

Podobnie, SAML, OAuth i OpenID ułatwiająróżne intencje poprzez wspólny mechanizm, czyli przekierowanie do dostawcy usług/organu ds. tożsamości w celu prywatnej interakcji, a następnie przekierowanie do aplikacji strony trzeciej, z której pochodzą.

Rozglądając się po sieci można zauważyć nakładanie się możliwości protokołów. uwierzytelnianie za pomocą OAuth jest całkowicie rozsądne. SSO nad OAuth może nie mieć większego sensu, ponieważ SAML i OpenID są specjalnie nastawione na Federacyjną tożsamość.

Do samego pytania, w kontekście korporacyjnym brzmi SAML bardziej odpowiedni niż OAuth dla SSO . Założę się, że jeśli spojrzysz na aplikacje innych firm, które chcesz zintegrować ze swoją tożsamością korporacyjną, zobaczysz, że są one już zaprojektowane do integracji z SAML/LDAP/Radius itp. IMO OAuth jest bardziej odpowiedni dla interakcji z Internetem między aplikacjami lub być może aplikacjami zawierającymi architekturę zorientowaną na usługi w dużym środowisku korporacyjnym.

Zasady autoryzacji mogą być określone w środowisku korporacyjnym również na inne sposoby. LDAP jest wspólne narzędzie do tego. Organizowanie użytkowników w grupy i kojarzenie uprawnień aplikacji z członkostwem w grupie jest powszechnym podejściem. Tak się składa, że LDAP może być również używany do uwierzytelniania. Active Directory jest świetnym przykładem, choć wolę OpenLDAP.

SAML ma wiele " profili "do wyboru, aby umożliwić innym użytkownikom" logowanie się " do twojej witryny. SAML-P lub SAML Passive jest bardzo powszechny i dość prosty w konfiguracji. WS-Trust jest podobny i również pozwala na Federację wśród stron internetowych.

OAuth jest przeznaczony do autoryzacji. Możesz przeczytać więcej tutaj:

Jaka jest różnica między OpenID a OAuth?

Zajmują się subtelnym przypadkiem użycia

SAML-współdzielenie danych uwierzytelniających (np. SSO) użytkownika różnym dostawcom usług (np. internet lub usługa internetowa) OAuth-użytkownik delegujący aplikację, aby uzyskać dostęp do zasobu w imieniu swojej]}

SAML jest do uwierzytelniania-używany głównie w scenariuszu Single Sign On . {[1] } służy do autoryzacji reprezentacji zasobów.

JSON Web Token (JWT) jest alternatywą dla tokenów SAML XML. JWT może być używany z OAuth

Dobrym odniesieniem jest SAML vs. OAuth: którego z nich powinienem użyć?

Termin Federacja naprawdę oznacza tożsamość połączeń między systemami. Jest to związane z SSO, ale nie są takie same. uważam ten wpis na blogu za bardzo pomocny w kategoriach tego, co naprawdę oznacza Federacja.

Znalazłem dobry artykuł tutaj

SAML (Security Assertion Markup Language) jest zestawem standardów do osiągnięcia Single Sign On (SSO), zarządzania Federacją i tożsamością.

Przykład: użytkownik (główny) uwierzytelnia się za pomocą strony internetowej rezerwacji lotów AirFlyer (dostawca tożsamości), która skonfigurowała SSO za pośrednictwem SAML z witryną rezerwacji lotów shuttler (dostawca usług). Po uwierzytelnieniu do Flyer użytkownik może zarezerwować transfery na Shuttler bez konieczności uwierzytelniania

OAuth (Open Authorization) jest standardem autoryzacji zasobów. Nie zajmuje się uwierzytelnianiem.

Przykład: Aplikacja mobilna do udostępniania zdjęć (konsument OAuth), która umożliwia użytkownikom Importowanie zdjęć z konta na Instagram (dostawca OAuth), który wysyła tymczasowy token dostępu lub klucz do aplikacji do udostępniania zdjęć, która wygasa po kilku godzinach.