Shibboleth、WSO2 和 Identity Server 有什么区别？

Question

我需要为我们的组织实施一个身份服务器，并且一直在尝试了解可用的各种选项。要求是

1. 单个 IdP，其他 IdP 可以链接到该 IdP 并提供身份验证/授权。例如，通过端点连接到另一个组织的 ADFS 或另一个组织的表单身份验证数据库？
2. 对访问系统的用户进行单点登录 (SSO)
3. 应该跨组织工作 - 允许其他组织通过信任其 IdP 和他们发布的令牌来访问受限资源
4. 通过 UI 进行用户和角色管理

我已经缩小了以下三个

1. Shibboleth - 我知道这仅基于 SAML 2.0，不支持 JWT，因此可能不适用于所有客户端。不确定这是否 可以链接到其他提供商，例如 ADFS 并从那里获取令牌
2. WSO2- 这支持 SAML 和 JWT。可以链接到其他提供者进行联合
3. Thinktecture IdentityServer 3.0 - 最新推出的一款，作为 Katana 中间件开发，可通过代码进行高度可配置。

你能告诉我哪一个更合适，每个人在要求方面的优缺点吗？我需要考虑任何具体的差异吗（除了前两个是 OOTB 解决方案，第三个是要在代码中配置的 nuget 包）？

Answer 1

您必须选择什么取决于您必须实施什么以及您必须以多快的速度实施。我的回答可能有点偏颇。我认为 WSO2 Identity Server 是您可以在您的场景中根据您的要求使用的最佳产品。我可以举个简单的例子。

Shibboleth 不支持 JWT，因此您提到的可能不适用于所有客户端。 Thinktecture IS 处于早期阶段，需要大量知识来配置。但是如果你看一下 WSO2 IS，它是一个成熟的产品，被很多人使用，并且有积极的更新和版本发布，并由非常强大的中间件 WSO2Carbon 提供支持。如果您只是查看产品页面here，您可以看到可用的功能。这是身份提供者必​​须具备的完整功能列表。此外，它非常易于使用，因为它具有管理员管理用户界面来执行所有功能，包括用户和角色管理。如果您阅读documentation，您将能够轻松使用产品而无需任何努力。您提到的其余所有要求都在 WSO2 IS 中可用。

我认为这足以让您决定需要使用哪种产品来实施您的解决方案。