OpenId:真正的 SSO 可能吗?
OpenId : Is true SSO possible?
我公司有 3 个网站,每个网站都有自己的登录页面,但针对相同的身份验证(假设是自定义数据库)商店进行身份验证。最近,我们想到实施 SSO 并通过拥有一个集中式身份验证网站,所有这些网站都将依赖这个新的身份验证网站进行登录。让我将验证网站称为 IP(身份提供者),将依赖方称为 RP1、RP2、RP3。
我知道使用基于 SAML / WS-Fed(因为所有网站都基于 asp.net)的实现是相当容易实现的,并且互联网上有很多示例。我的问题是使用 OpenID 或 OAuth 是否可以实现同样的目标?有一些场景我觉得可能做不到。
场景一:
我在 RP1 中 SSO 登录并在浏览器中输入 RP2 的 URL 后,RP2 会知道我已经通过身份验证并允许我继续,还是会强制我通过 IP 重新登录?
场景二:
假设我已经登录并能够在 RP1 和 RP2 之间导航,如果我退出 RP2 并导航到 RP1,我会被重定向到登录页面吗?是否可以实现单点注销?
请点击此处SSO Image
感谢您的帮助。
OpenID Connect 是一种身份验证协议,支持 "true"(无论是什么意思)SSO。
在这里阅读:https://openid.net/connect/
场景 1:这绝不是它的工作方式 - RP2 仍需要往返 IP 以获取身份令牌。但是用户不会看到登录屏幕,并且会自动 sign-in。
场景 2:单个 Sign-out 是协议的一部分 - 是的。
我公司有 3 个网站,每个网站都有自己的登录页面,但针对相同的身份验证(假设是自定义数据库)商店进行身份验证。最近,我们想到实施 SSO 并通过拥有一个集中式身份验证网站,所有这些网站都将依赖这个新的身份验证网站进行登录。让我将验证网站称为 IP(身份提供者),将依赖方称为 RP1、RP2、RP3。
我知道使用基于 SAML / WS-Fed(因为所有网站都基于 asp.net)的实现是相当容易实现的,并且互联网上有很多示例。我的问题是使用 OpenID 或 OAuth 是否可以实现同样的目标?有一些场景我觉得可能做不到。
场景一:
我在 RP1 中 SSO 登录并在浏览器中输入 RP2 的 URL 后,RP2 会知道我已经通过身份验证并允许我继续,还是会强制我通过 IP 重新登录?
场景二:
假设我已经登录并能够在 RP1 和 RP2 之间导航,如果我退出 RP2 并导航到 RP1,我会被重定向到登录页面吗?是否可以实现单点注销?
请点击此处SSO Image
感谢您的帮助。
OpenID Connect 是一种身份验证协议,支持 "true"(无论是什么意思)SSO。
在这里阅读:https://openid.net/connect/
场景 1:这绝不是它的工作方式 - RP2 仍需要往返 IP 以获取身份令牌。但是用户不会看到登录屏幕,并且会自动 sign-in。
场景 2:单个 Sign-out 是协议的一部分 - 是的。