【发布时间】:2017-08-17 06:20:03
【问题描述】:
我知道这两种联合协议都可用于管理用户身份。 基本上对于基于 Gmail 的登录,我想知道通过 SAML 使用 OpenID Connect 的好处。
与 SAML 相比,OpenID 连接基于 JSON/REST 更简单。除此之外,使用 OpenID Connect 进行基于 Gmail 的身份验证还有什么好处?
【问题讨论】:
标签: saml openid-connect
【发布时间】:2017-08-17 06:20:03
【问题描述】:
这取决于您所说的“基于 GMail 的登录”。
1- 如果您的意思是让我的用户使用他们在我的内部组织中维护的凭据阅读他们在 GMail 上的邮件,OIDC 和 SAML 也会这样做。这根本不是同一个协议。因此,根据您的内部目录(Active Directory、NetIQ eDirectory、openldap、/etc/passwd 等),使用其中一种协议可能更容易。
2- 但如果您的意思是代表我的用户使用我的应用程序连接到 GMail,由于底层 OAuth2.0 机制,只有 OIDC 允许您这样做。
OIDC表示认证授权,SAML只表示认证。
【讨论】:
-
感谢您的解释。也许我想要做的就是避免最终验证用户身份,而是将此身份验证过程委托给 Gmail。所以我想就像你说的只有 OIDC 可以做到这一点。对吗?
-
不,在这种情况下你只需要认证。所以这可以通过 OIDC 和 SAML 来完成。例如,对于 SAML,Google 在这里解释了如何操作:support.google.com/a/answer/6087519?hl=en
从历史上看,SAML 和 WS-Fed 用于企业连接并且是基于浏览器的。
OIDC 用于移动设备,可通过 ADAL 用于本机设备,即非基于浏览器的设备,例如桌面应用程序。
【讨论】: