OpenId: Возможно ли истинное SSO?

У меня есть 3 веб-сайта в моей компании, и у каждого есть своя страница входа в систему, но проверка подлинности на ту же аутентификацию (скажем, пользовательский DB). Недавно мы подумали о внедрении единого входа и наличии централизованного веб-сайта аутентификации, и все эти веб-сайты будут полагаться на этот новый веб-сайт аутентификации для входа в систему. Позвольте мне назвать веб-сайт аутентификации IP (поставщик удостоверений) и доверяющие стороны как RP1, RP2, RP3.

Я знаю, что это вполне достижимо с использованием SAML/WS-Fed (поскольку все веб-сайты основаны на asp.net) и множество примеров есть в Интернете. Мой вопрос: может ли это быть достигнуто с помощью OpenID или OAuth? Есть несколько сценариев, где я думаю, что это может быть невозможно.

Сценарий 1:

После входа в систему SSO в RP1 и введите URL-адрес RP2 в браузере, сообщит ли RP2, что я уже прошел проверку подлинности и разрешил мне продолжить, или я буду вынужден снова войти через IP?

Сценарий 2:

Предположим, что я подписался и могу перемещаться между RP1 и RP2. Если я выхожу из RP2 и перейду к RP1, переадресую ли я на страницу входа? Одиночный выход возможен?

Пожалуйста, нажмите здесь SSO Изображение

Я ценю вашу помощь.

+1
источник поделиться
1 ответ

OpenID Connect - это протокол аутентификации, который поддерживает "истинный" (независимо от того, что это означает) SSO.

Читайте об этом здесь: https://openid.net/connect/

Сценарий 1: это никогда не работает, поэтому RP2 все равно должен сделать обратный переход к IP-адресу, чтобы получить токен идентификации. Но пользователь не увидит экран входа в систему и автоматически выполнит вход в систему.

Сценарий 2: Одиночный выезд является частью протокола - да.

+1
источник

Посмотрите другие вопросы по меткам или Задайте вопрос