【问题标题】:SAML or CDSSO based approach feasibility基于 SAML 或 CDSSO 的方法可行性
【发布时间】:2014-01-28 16:56:39
【问题描述】:

我只是在玩 OpenAM,发现身份验证可以通过 SAML 以及 CDSSO 的基于 cookie 的方法来完成。现在我担心的是,如果我在银行和医疗保健等领域工作,那么采用基于 CDSSO cookie 的方法有多可行,以及他们是否有任何组织在任何此类领域中实践基于 cookie 的方法。

【问题讨论】:

    标签: saml-2.0 openam opensso


    【解决方案1】:

    SAML 旨在连接独立的安全“域”。在这种情况下,术语“域”与网络域名无关,而是一个比较模糊的术语,意味着安全系统之间的划分。一个更好解释的例子:A 公司使用 OpenAM 来保护其 Intranet 网站,但他们也使用 Salesforce 的服务。 SAML 是显而易见的选择 - Salesforce 不会使用来自 OpenAM 的 cookie……他们怎么可能?您还可以使用它来互连公司(和域名)内部的两个不同系统,例如 OpenAM 和 Siteminder,因为这两个系统无法通过它们的 cookie 直接通信。

    CDSSO 主要设计用于可能拥有多个受其保护的域的组织内部。它们可以在多个域中拥有多个策略服务器,但所有这些服务器都由同一个 OpenAM 实例管理,并且它们都共享一个公共后端。许多组织使用 OpenAM(以及 OAM 和 Siteminder)的 CDSSO 功能。但他们在他们控制的系统内使用它。

    此外,我想不出有哪个服务提供商会希望您将其中一个 OpenAM 策略服务器放置在他们的网络中。您不希望他们接触您的服务器,而且他们不会(如果他们头脑清醒)相信您不会在他们的网络中投放木马。

    TL;DR:
    SAML - 管理域之外
    CDSSO - 在管理域内

    【讨论】:

      【解决方案2】:

      SAML 是实现 SSO 的基于标准的方式,代理是专有方式。

      SAML 不提供开箱即用的任何授权(允许哪个用户访问给定资源)......这就是后退。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2017-05-08
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2015-02-03
        • 2018-04-23
        相关资源
        最近更新 更多