【发布时间】:2015-08-04 06:24:48
【问题描述】:
在 SSO 的背景下,SAML 2.0 和 OpenID Connect 之间有什么区别/相似之处?什么时候用一个代替另一个?
【问题讨论】:
标签: single-sign-on saml-2.0 openid-connect
【发布时间】:2015-08-04 06:24:48
【问题描述】:
SAML:
- 用于 SSO 和 API 安全的单独协议
- 繁重的 XML 负载和昂贵的处理
- 复杂;阻碍互操作性
- 面向企业
- 手动信任引导和证书管理
OpenID 连接:
- SSO 集网络、移动和 API 安全于一体
- 轻量级 REST/JSON
- 简单,对开发人员友好
- 适用于企业和消费者域
- 自动客户端注册和密钥管理
将 OpenID Connect 视为具有扩展功能的更现代的 SAML 版本。 OpenID Connect 规范中似乎缺少的 SAML 规范的高级功能实际上并未部署或无论如何都不可互操作。
【讨论】:
-
感谢您的回答。所以
when would one be used instead of the other?的答案是不要使用 SAML 2.0,使用 OpenId Connect? -
如果您的合作伙伴使用 SAML,请使用 SAML;如果您的合作伙伴支持 OpenID Connect,请使用 OpenID Connect;目前SAML在企业领域被更广泛地采用;这将是短期的情况
-
我不明白你在这里所说的
partner是什么意思。我正在尝试为我控制的两个 Web 应用程序实现 SSO,并且我正在使用开源产品密钥斗篷来做到这一点。根据您在回答中提到的好处,OpenID Connect 会是更好的选择吗? -
既然你是RP,那意味着你的伙伴就是OP/IDP;如果您控制两端,那么它是关于企业内部 SSO,那么我建议 OpenID Connect 更安全,更容易开发