Saml против федеративного входа с oauth

Saml против федеративного входа с oauth

Они решают разные задачи.

на основе SAML – это набор стандартов, которые были определены для обмена информацией о том, кто пользователь, что его набор атрибутов, и дать вам способ предоставить/запретить доступ к чему-то или даже запросить аутентификацию.

OAuth больше о делегировании доступа к чему-то. Вы в основном позволяете кому-то” действовать ” как вы. Наиболее часто используется для предоставления доступа api, которые могут что-то сделать от вашего имени.

Это две совершенно разные вещи.


некоторые примеры, которые могут помочь.

OAuth подумайте о Твиттере. Допустим, вы используете Google Buzz и Twitter, и вы хотите написать приложение, чтобы иметь возможность держать два синхронизированы. Вы в основном можете установить доверие между вашим приложением и twitter. Первый раз, когда вы идете, чтобы связать приложение с twitter, Вы делаете классическое приглашение войти в twitter, а затем появляется окно подтверждения и спрашивает: “Вы хотите предоставить доступ к “вашему имени приложения”?”как только вы нажмете “да”, доверие будет установлено, и теперь ваше приложение может действовать как вы в Twitter. Он может читать ваши сообщения, а также создавать новые.

SAML-для SAML подумайте о некотором типе “соглашения” между двумя несвязанными системами членства. В нашем случае мы можем использовать US Airways и Hertz. Нет общего набора учетных данных, который может переносить вас с одного сайта на другой, но предположим, что Hertz хочет предложить” сделку ” US Airways. (Конечно, я знаю, что это крайний пример, но потерпите меня). После покупки рейса, они предложат бесплатный прокат авто своим членам-председателям. US Airways и Hertz установят некоторую форму доверия и какой-то способ идентификации пользователя. В нашем случае нашим “федеративным id” будет адрес электронной почты, и это будет один из способов набора доверия Hertz доверяет, что US Airways identity provider доставит токен, который является точным и безопасным способом. После бронирования рейса US Airways identity provider будет генерировать токен и заполнять, как они аутентифицировали пользователя, а также” атрибуты ” о человеке в нашем случае самым важным атрибутом будет его уровень статуса в US Airways. Как только токен был заполнен, он передает его через какой-то тип ссылки или закодирован в url-адресе, и как только мы доберемся до Hertz, он смотрит на токен, проверяет его и теперь может разрешить бесплатный прокат автомобилей.

Похожее:  Личный кабинет Самаралан: вход и официальный сайт

проблема с этим SAML пример-это только один специализированный вариант использования из многих. SAML является стандартом, и существует слишком много способов его реализации.


альтернативно, если вы не заботитесь об авторизации, вы можете почти утверждать, что утверждение аутентификации через SAML и OpenID.

Федеративный доступ – identity blitz

Вам нужно дать сотрудникам другой организации доступ к вашим приложениям. Например, это могут быть сотрудники дочерней компании, поглощаемой организации или просто компании-партнера. Для такого сотрудника проще всего создать учетную запись в вашей информационной системе. Мы уверены — это неудачное решение:

  • сотрудники другой организации, получив доступ, через некоторое время могут быть уволены. Конечно, их лишат доступа к системам своей организации. Но учетная запись в вашей организации у них может сохраниться, и они продолжат работать в ваших системах. А что если эти сотрудники перешли к конкурентам?
  • сотрудники другой организации получат дополнительную учетную запись и еще один пароль, который необходимо помнить. И нет гарантии, что они будут относиться к нему так же трепетно, как и к основному паролю в своей организации;
  • передавая логин и пароль (или даже смарт-карту) сотруднику другой организации, вам кажется, что вы контролируете процесс доступа к ресурсам вашей организации. На самом деле это не более чем иллюзия контроля: доступ будут иметь сотрудники другой организации, и их поведение могут контролировать только специалисты компании-партнера (например, администраторы).

Создайте сеть доверия с другой организацией на основе сервера аутентификации Blitz Identity Provider — и вам не придется бояться несанкционированного доступа к вашим приложениям. Для этого нужно в обеих компаниях установить Blitz Identity Provider — и тогда сотрудники другой организации, используя единую учетную запись, смогут получить доступ к ресурсам вашей организации. При необходимости единая учетная запись работника вашей организации может быть использована и для доступа к приложениям партнерской компании.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *