Single sign on SAML与直接HTTP Post的优势
我正在研究不同的单点登录选项。在我看来,SAML虽然是一个伟大的解决方案,如果我们看看第三方供应商,它有点超出我们的价格范围。我们也在考虑实施我们自己的解决方案。。。但是,我们想要使用的一些服务——只是为了启用他们想要收费的SAML登录。如果我知道所有用户的凭据,那么仅使用这些不同服务的凭据进行HTTP POST的安全风险/缺点是什么?某些SSO提供程序在未启用SAML时也会执行此操作 使用SAML,除了管理IDP和SP之间现在需要进行的同步过程外,用户和服务提供商无需完全处理重置、过期、恢复、轮换等密码问题 除此之外,任何操作密码保险存储系统(如您所述)的IDP都需要对SP登录网页进行脆弱、昂贵和笨拙的反向工程(!) 此外,通过引入SSO系统,您可以将用户身份验证工作和改进集中在一个地方,从而简化了同时为所有服务引入强身份验证或第二因素身份验证的过程,而无需每个SP对此提供支持Single sign on SAML与直接HTTP Post的优势,single-sign-on,saml,saml-2.0,Single Sign On,Saml,Saml 2.0,我正在研究不同的单点登录选项。在我看来,SAML虽然是一个伟大的解决方案,如果我们看看第三方供应商,它有点超出我们的价格范围。我们也在考虑实施我们自己的解决方案。。。但是,我们想要使用的一些服务——只是为了启用他们想要收费的SAML登录。如果我知道所有用户的凭据,那么仅使用这些不同服务的凭据进行HTTP POST的安全风险/缺点是什么?某些SSO提供程序在未启用SAML时也会执行此操作 使用SAML,除了管理IDP和SP之间现在需要进行的同步过程外,用户和服务提供商无需完全处理重置、过期、恢复、
最后但并非最不重要的一点:密码保险存储系统仍然涉及分布在不同系统/SP上的密码,并且这些密码不能(完全)对用户隐藏。这使得很难或不可能确保立即关闭对所有系统的访问,例如当用户离开公司时。谢谢。我想这就解决了问题。最后一个问题是安全问题是的,但是如果你或其他人有安全问题,我很想听听他们的意见。还有常见的密码问题,例如:a)不是一种强有力的身份验证方式,b)用户可能会在不同的服务中重复使用相同的密码,以便SP a能够在SP b模拟用户密码的起点必须锁定。因此,他们需要从一开始就创建一个更好的密码。至少对我们来说,我们仍然提供他们的大部分帐户,或者对密码同步和帐户禁用有一些控制。