в чем разница между Единым входом и федеративным входом для мобильных платформ


У меня есть вопрос о SSO и Federated SO. В чем разница между этими двумя понятиями?

То, что мы пытаемся сделать, - это дать пользователю возможность войти в свой аккаунт на Facebook, Twitter или по ссылке, но мы также хотим сохранить его с помощью нашего идентификатора компании, чтобы мы знали, кто они. Мы хотим связать их идентификатор компании с любыми социальными платформами, которые они хотели бы. Внутри Comapny мы также хотели бы, чтобы они использовали ту же личность для входа в другие цифровые активы компании, такие как веб-сайты и другие приложения. Существуют различные программные системы, которые находятся внутри компании, что пользователь должен быть аутентифицирован против, чтобы получить доступ. Разве это похоже на ССО или федеративным? Нужен ли для этого внешний поставщик? Каковы стандарты для этих поставщиков?

Я нашел статью о различиях между ними, но, честно говоря, до сих пор не понимаю ее, потому что используемый язык находится за пределами моего уровня знаний.

Http://technotes.khitrenovich.com/difference-sso-single-sign-on-identity-federation/

Заранее благодарю вас

2 2

2 ответа:

"Федерация удостоверений" означает возможность принимать пользователей, которые не прошли проверку подлинности в ваших системах (например, они используют Twitter, FB, чей-то Active Directory и т. д.)

SSO-это возможность войти в систему один раз, а затем получить доступ ко многим приложениям без необходимости вводить учетные данные снова.

Вы часто достигаете SSO через Федерацию. Но вы можете иметь SSO и без него. (например, домен Active Directory и несколько приложений в этом домене: вы входите только один раз)

И статья, и @Eugenio имеют на это право.

Поскольку вы хотите реализовать это, позвольте мне сделать несколько практических замечаний, которые могут вам помочь:

  • Вы хотите предложить много способов аутентификации для общей идентификации.
    • идентификатор пользователя и пароль в вашем собственном каталоге (Active Directory)
    • социальный логин, такой как Facebook, Twitter, LinkedIn, Google, Yahoo, Live, Baidu и т. д.
    • другая система идентификации внутри вашей компании
    • Еще один система идентификации из-за пределов вашей компании, такой как партнерская или клиентская компания
  • Многие люди используют Active Directory для хранения удостоверений.
  • вам нужно будет подумать о подготовке пользователей в этом каталоге:
    • для сотрудников это часто происходит, когда происходит событие найма/увольнения/продвижения по службе
    • для внешних пользователей вы можете использовать JIT-регистрацию just-in-time при первом использовании.
    • все социальные логины возвращают адрес электронной почты. Вы можете использовать это, чтобы проверить, если пользователь с этим письмом уже существует. Если это так, вы можете спросить их, хотят ли они связать учетные записи. Если это так, вы можете запросить аутентификацию для учетной записи, например пароль или другой социальный вход, уже связанный с учетной записью. Это позволит предотвратить случайное создание новой учетной записи пользователями, когда они этого не хотят.
    • вы захотите поддерживать несколько протоколов для единого входа.
      • внутренние приложения могут использовать встроенную проверку подлинности Windows (IWA) и протокол Kerberos.
      • для не-Windows приложений, использовать SAML и WS-Федерации для веб-приложений, OAuth2 для Апис или OpenID OpenID Connect для социальных приложений. Все они поддерживают атрибуты во время аутентификации и впоследствии. Это способ передачи приложению сведений о пользователе, таких как имя и адрес электронной почты, роли и предпочтения.
  • при добавлении мобильных и облачных приложений (SaaS) вы захотите иметь архитектуру, основанную на стандарты, к которым вы стремитесь. Это позволит вам развиваться в соответствии с тенденциями в социальной, мобильной и облачной сферах.

Есть много способов реализовать это.

  • Вы можете свернуть свой собственный, используя открытый исходный код, хотя это сложные, сложные технологии с множеством опций и, конечно, вы владеете эволюцией и обслуживанием навсегда.
  • Microsoft предлагает бесплатный продукт ADFSv2. Это немного лучше, чем open source, но вы все равно должны настроить его для каждого дело в том, что он не поддерживает все протоколы, а поддержка, ну, от Microsoft. (Вроде как "бесплатно", как в "свободных щенках".)
  • Наконец, существуют поставщики стека и третьи лица, которые предлагают более полные продукты и услуги.

* тип вилки=бесстыдный Моя компания, Ping Identity, делает все это с легкостью, лучше, чем кто-либо другой, и имеет лучшее обслуживание клиентов в мире. Наши реализации обычно занимают пару часов, иногда пару дней. Мы предлагаем его и как продукт, и как услугу. Это все, что мы делаем, и мы делаем это в течение 10 лет для 1000 клиентов, больших и малых. Проверьте нас на http://www.pingidentity.com / Plug *