Я видел в некоторых статьях, что OpenID Connect заменит SAML в качестве доминирующего протокола для SSO. Я не уверен, как openID connect будет обрабатывать возможности управления сеансом с разными поставщиками услуг и как его можно использовать для реализации единого выхода из системы? Существуют ли в настоящее время серверы IDM (с открытым исходным кодом или коммерческие), которые поддерживают подключение OpenID в качестве IDP системы единого входа (в качестве замены IDP системы единого входа SAML2)?
OpenID Connect в конечном итоге заменит SAML в качестве доминирующего протокола для единого входа?
Ответы (4)
PingFederate [отказ от ответственности: как сказано в моем имени, я работаю в PingIdentity] в апреле 2013 года встроил OIDC в продукт - версия 7.0. Кроме того, мы поддерживаем OpenID с декабря 2010 года через комплект интеграции.
Тем не менее, SLO в рамках OIDC - это совершенно новая игра. Я предлагаю прочитать часть Управление сеансом Спецификация OID. Суть в том, что SLO выполняется совершенно иначе, чем в большинстве систем SAML, и очень ориентирован на пользователя, а не на OP или RP.
И последнее ... Хотя возможно, что OIDC в конечном итоге заменит SAML, я просто хотел бы отметить, что мы, наконец, получили серьезный эффект снежного кома с SAML. OIDC еще не окончательная версия, и потребуется время, чтобы перейти на нее. Будет ли фокус сместиться? Вполне возможно. Но этого не произойдет ни в этом году, ни в следующем, и, скорее всего, еще через пару дней. Если вы смотрите на передовые продукты, поддерживающие OIDC, честно ... Но если вы действительно хотите внедрить, возможности немногочисленны и редки. Просто пока не так много RP - в первую очередь потому, что спецификация не «окончательная».
Я также должен упомянуть, что некоторые из наших конкурентов, такие как Gluu, Okta, IBM и Layer7, продемонстрировали поддержку OIDC (участвуя в тестировании взаимодействия), но я не могу говорить о степени их поддержки в текущих продуктах.
OpenAM, похоже, поддерживает его начиная с версии 11. wikis.forgerock.org/confluence/display/openam/OpenAM+Roadmap
Да без вопросов. Никто не хочет использовать стандарт SOAP / XML с 2005 года (предварительно мобильный), когда они могут использовать JSON / REST API с 2014 года. См. Прогнозы протокола Gluu: http://www.gluu.co/sso-protocol-predictions
Если вы сомневаетесь в этом, см. Прогнозы Forrester ... http://www.gluu.org/blog/wp-content/uploads/2014/06/eve_uma_irmsummit_2014-300x225.jpg Обратите внимание на SAML на кривой "средний успех" и OpenID Connect на "значительный успех" изгиб.
Проблема в том, что поставщики SAML не соглашались с критическими изменениями, а мобильные / безголовые API нарушили некоторые допущения, сделанные при разработке SAML.
- Майк Шварц Основатель / генеральный директор Gluu http://gluu.org
Я ожидаю, что OIDC со временем заменит аутентификацию на основе SAML.
Apache Fediz (начиная с версии 1.3.0) обеспечивает поддержку * SAML Web SSO * WS-Federation * OIDC.
Самое замечательное в Fediz заключается в том, что он также поддерживает мост протоколов. Таким образом, вы можете войти в систему с IDP с помощью SAML Web SSO и, наконец, войти на веб-портал OIDC. https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html
Однако SLO в настоящее время не поддерживается для OIDC. Но поскольку это проект с открытым исходным кодом, добавить это должно быть просто, так как вклад всегда приветствуется.