身份和访问管理(IAM)的实践引入了许多关于组织的业务流程和技术解决方案的问题。在决定是否使用特定的单点登录(SSO)技术时,需要考虑以下问题:

  • 这项技术安全吗?
  • 该组织是否受到诸如此类的数据隐私法的影响一般资料保护规例(GDPR) ?
  • 组织的推出计划是什么?
  • 将身份验证集中到单个位置所节省的成本是否超过了实现SSO的沉没成本?

这一决定不仅是在MindTouch站点部署环境下做出的,而且还考虑到组织内所有用户身份和应用程序将如何受到影响。作为SAML SSO和OpenID Connect的集成点,MindTouch提供了这两种支持的SSO技术路径中哪一种最适合MindTouch解决方案的建议。

SAML SSO

SAML SSO(安全断言标记语言)规范的定义比OpenID Connect早许多年。开发SAML SSO是为了提供一个身份验证工作流,该工作流将登录体验集中到单个门户中,同时通过强加密和数字签名在门户和所有应用程序之间建立信任。其结果是一个标识和访问管理解决方案,它降低了组织的IT成本,并将潜在的漏洞降至最低。

SAML SSO有一些显著的限制。该规范是在原生移动应用普及之前开发的,因此认证工作流程仅限于只有web浏览器才能访问的位置,如网站和web应用。SAML SSO还缺乏内在的数据传输和存储同意机制。

将用户重定向到组织的单点登录门户的应用程序不能包含需要与应用程序共享哪些用户标识项的详细信息。因此,用户不知道应用程序正在共享哪些可识别信息。在组织的雇员和为工作人员部署的应用程序之间,这种缺乏透明度可能是可以接受的,但在处理消费者身份时,很快就会出现问题。

SAML SSO可以说是一种要实现的复杂且极其冗长的规范。不正确地实现规范是可能的,这会导致较长的开发周期或较差的应用程序安全性。不建议您构建自己的SAML SSO身份提供者软件,而是部署来自声誉良好的身份提供者供应商(如Okta、OneLogin或Ping identity)的解决方案。

SAML SSO的优点

  • 开放的标准
  • 当正确实现时,高度可靠和安全
  • 市场上最常见的解决方案
  • 提供HTTPS连接不可用或被破坏时的加密和签名验证机制

SAML SSO的缺点

  • 复杂的基于xml的模式和规范
  • 仅限于网站和网络应用程序
  • 缺少用户身份数据的传输和存储许可

OpenID连接

OpenID Connect是OpenID Foundation的最新单点登录规范。OpenID基金会早期的SSO规范——OpenID身份验证协议(OpenID Authentication Protocol)——未能成功成为一种被采纳的标准,因为它具有SAML SSO所批评的一些复杂性,而没有提供任何改进。

当前规范OpenID Connect是建立在一个经过验证的授权协议:OAuth 2.0之上的。通过利用OAuth 2.0协议,OpenID Connect提供了一种机制,允许应用程序包含需要与应用程序共享的用户标识项的详细信息。因此,支持OpenID connect的单点登录门户可以提供身份数据传输和存储同意协议、隐私政策或服务条款,供用户在继续单点登录流程之前审查。

OAuth 2.0协议并不局限于网站或web应用程序,因此OpenID Connect也不是。如果你想通过网络连接的产品和应用程序,基于消费者身份来个性化消费者体验,OpenID Connect将是一个明智的面向未来的技术决策。

尽管该规范没有SAML SSO那么冗长和简单,但不建议您构建自己的OpenID Connect身份提供程序软件。考虑部署来自声誉良好的身份提供商供应商(如Okta、OneLogin或Ping identity)的解决方案。

OpenID连接的优点

  • 开放的标准
  • 与本地移动应用程序或物联网设备工作
  • 包括用户身份数据传输和存储同意的机制
  • 依赖于HTTPS进行加密和信任,极大地简化了实现
  • 使用行业标准JSON Web令牌(JWT)来存储和验证身份数据

OpenID连接的缺点

  • 市场上不太常见的解决方案(截至2019年)导致对最佳实践的行业知识较少
  • HTTPS是应用程序和身份提供者之间唯一的加密和信任层。在TLS/SSL证书颁发机构受损的例外情况下,不应该信任单点登录集成

明智地选择单点登录技术

为单点登录解决方案采用开放标准从来都不是一个糟糕的技术决策。一般来说,通过消除多个应用程序用户名和密码组合的负担,在整个组织中成功的单点登录可以极大地提高工作人员的生产力。

通过减少需要审计的系统的表面积,组织的IT部门可以花更少的时间来满足安全性遵从性和身份治理需求。减少存储用户身份数据或凭据的系统数量还可以减少这些系统受到恶意行为者攻击时的潜在漏洞。

最后,集中化消费者身份的存储,并将这些数据提供给MindTouch等应用程序,提供了一个机会个性化最终用户体验以及在何处和如何共享消费者身份数据的审计跟踪。

由于GDPR几乎覆盖了组织的所有方面,因此能够知道消费者身份存储在组织系统中的何处,可以更快地响应消费者的GDPR主题访问请求。

为你的MindTouch网站设置OpenID连接

了解更多