Техника федерации/SSO

Question

Мне интересно, как внедрять федерацию в группу общедоступных веб-сайтов. Простым ответом является «федерация» или «saml». Однако на практике я вижу много технических проблем: создание связей с учетной записью (так что пользователь «SteveRoy» в site1 связан с «SRoy» на сайте2), изменяя страницы входа в систему для ссылки на центральный IdP, имея дело с пользователями, которые не имеют учетные записи на всех сайтах, занимающихся выводом сеанса на сайты и т. д. и т. д. Короче говоря, похоже, что «saml» - это упрощение более сложной проблемы. Хотелось бы услышать подробности от тех, кто преуспел в этом пространстве ...

Answer 1

Возможно, это не тот ответ, на который вы надеетесь, но здесь. :)

SAML (и родственный/альтернативный OpenID) - это всего лишь протокол, используемый для передачи утверждений об идентичности и объединения этого решения аутентификации где-то в другом месте - он позволяет вам принять слово службы (IdP), которому вы доверяете, чтобы выполнять пользователь для вас. Эти протоколы ДОПУСКАЮТ вас для создания интегрированной системы идентификации; они НЕ являются такой системой сами по себе.

Все, что вы упомянули в своем вопросе (сопоставление пользователей, фактическое обслуживание инфраструктуры SP, индивидуальная авторизация сайта, выход из системы федерации), были и остаются проблемами в этой области, и любое решение, которое вы развертываете там, должно адресовать эти инженерные вопросы/вопросы реализации. Вы могли бы, и кому-то, вероятно, написать сотни страниц о различных способах приближения ко всем нюансам, связанным с созданием эффективной федеративной системы идентификации. В этом пространстве нет простых ответов.