OpenID Connect в конечном итоге заменит SAML в качестве доминирующего протокола для единого входа?

Я видел в некоторых статьях, что OpenID Connect заменит SAML в качестве доминирующего протокола для SSO. Я не уверен, как openID connect будет обрабатывать возможности управления сеансом с разными поставщиками услуг и как его можно использовать для реализации единого выхода из системы? Существуют ли в настоящее время серверы IDM (с открытым исходным кодом или коммерческие), которые поддерживают подключение OpenID в качестве IDP системы единого входа (в качестве замены IDP системы единого входа SAML2)?


security openid-connect saml single-sign-on openid
person Asela    schedule 21.01.2014    source источник
comment
OpenAM, похоже, поддерживает его начиная с версии 11. wikis.forgerock.org/confluence/display / openam / OpenAM + Дорожная карта   -  person Stefan Rasmusson    schedule 21.01.2014
comment
да. Благодарю. Похоже, они поддерживают управление сеансом и выход из системы. посмотрю на это   -  person Asela    schedule 21.01.2014
comment
Я поставлю это как ответ, чтобы было легче найти   -  person Stefan Rasmusson    schedule 21.01.2014

Ответы (4)


arrow_upward
4
arrow_downward

PingFederate [отказ от ответственности: как сказано в моем имени, я работаю в PingIdentity] в апреле 2013 года встроил OIDC в ​​продукт - версия 7.0. Кроме того, мы поддерживаем OpenID с декабря 2010 года через комплект интеграции.

Тем не менее, SLO в рамках OIDC - это совершенно новая игра. Я предлагаю прочитать часть Управление сеансом Спецификация OID. Суть в том, что SLO выполняется совершенно иначе, чем в большинстве систем SAML, и очень ориентирован на пользователя, а не на OP или RP.

И последнее ... Хотя возможно, что OIDC в ​​конечном итоге заменит SAML, я просто хотел бы отметить, что мы, наконец, получили серьезный эффект снежного кома с SAML. OIDC еще не окончательная версия, и потребуется время, чтобы перейти на нее. Будет ли фокус сместиться? Вполне возможно. Но этого не произойдет ни в этом году, ни в следующем, и, скорее всего, еще через пару дней. Если вы смотрите на передовые продукты, поддерживающие OIDC, честно ... Но если вы действительно хотите внедрить, возможности немногочисленны и редки. Просто пока не так много RP - в первую очередь потому, что спецификация не «окончательная».

Я также должен упомянуть, что некоторые из наших конкурентов, такие как Gluu, Okta, IBM и Layer7, продемонстрировали поддержку OIDC (участвуя в тестировании взаимодействия), но я не могу говорить о степени их поддержки в текущих продуктах.

person Andrew K.    schedule 22.01.2014
comment
OpenID Connect действительно является выпущенной / окончательной спецификацией, был запущен еще в феврале. А может я вас неправильно понимаю? - person Chris Simmons; 14.11.2014
comment
Вы также можете заметить, что мой ответ был в январе, до завершения OIDC ... Увидим ли мы рост на основе этого? Конечно. И поможет ли этому делу тот факт, что такие крупные артисты, как Google, Yahoo и другие? Быть уверенным. Разработчикам из небольших магазинов по-прежнему потребуется время, чтобы разобраться в этом. - person Andrew K.; 14.11.2014

arrow_upward
4
arrow_downward

OpenAM, похоже, поддерживает его начиная с версии 11. wikis.forgerock.org/confluence/display/openam/OpenAM+Roadmap

person Stefan Rasmusson    schedule 21.01.2014
comment
Я работал с OpenAM и OpenID Connect. Да, они «поддерживают» его, но в нем много проблем и ошибок, которые быстро не исправляются. Также есть проблемы с входом в социальную сеть. Объедините социальный вход и OpenID Connect со своими SP, и вам будет сложно заставить его работать. - person Silver; 29.12.2016
comment
OpenAM - это открытый исходный код :) - person AlikElzin-kilaka; 23.03.2017

arrow_upward
3
arrow_downward

Да без вопросов. Никто не хочет использовать стандарт SOAP / XML с 2005 года (предварительно мобильный), когда они могут использовать JSON / REST API с 2014 года. См. Прогнозы протокола Gluu: http://www.gluu.co/sso-protocol-predictions

Если вы сомневаетесь в этом, см. Прогнозы Forrester ... http://www.gluu.org/blog/wp-content/uploads/2014/06/eve_uma_irmsummit_2014-300x225.jpg Обратите внимание на SAML на кривой "средний успех" и OpenID Connect на "значительный успех" изгиб.

Проблема в том, что поставщики SAML не соглашались с критическими изменениями, а мобильные / безголовые API нарушили некоторые допущения, сделанные при разработке SAML.

  • Майк Шварц Основатель / генеральный директор Gluu http://gluu.org
person Mike Schwartz    schedule 13.06.2014
comment
Привет Майк! :) Я думаю, что Ева (и ваши прогнозы) говорят, что мы увидим огромный первоначальный скачок со стороны крупных провайдеров ... Компании все еще потребуется время, чтобы сосредоточиться на OIDC на стороне RP. Я нисколько не не согласен с аргументом SOAP / REST XML / JSON. - person Andrew K.; 14.11.2014

arrow_upward
0
arrow_downward

Я ожидаю, что OIDC со временем заменит аутентификацию на основе SAML.

Apache Fediz (начиная с версии 1.3.0) обеспечивает поддержку * SAML Web SSO * WS-Federation * OIDC.

Самое замечательное в Fediz заключается в том, что он также поддерживает мост протоколов. Таким образом, вы можете войти в систему с IDP с помощью SAML Web SSO и, наконец, войти на веб-портал OIDC. https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html

Однако SLO в настоящее время не поддерживается для OIDC. Но поскольку это проект с открытым исходным кодом, добавить это должно быть просто, так как вклад всегда приветствуется.

person JBernhardt    schedule 13.06.2016