关于单点登录:如果我是小型服务提供商应用程序,是否需要联合身份服务器进行 SSO?

Do I need a federated Identity Server for SSO if I'm a small service provider application?

假设我是一个小型应用程序 (www.example.com),我正在与一个更大的企业 (www.acme.com) 集成。

在这种情况下,我是服务提供商,他们是身份提供商。他们的要求是我使用 SSO(特别是 SAML 2.0)集成到他们的身份验证生态系统中。

对于标准 IdP 启动的流程,用户将在他们的终端上登录,他们将 POST 向我的应用程序发送一个 XML 断言,然后验证用户并将他们登录到我的应用程序(即设置浏览器会话).

企业使用 PingFederate 作为他们的身份服务器,他们很好奇我的应用程序使用什么实现。这个时候我没有。

  • 如果我的应用程序是一个单体应用程序(例如小型 Rub??y on Rails 应用程序),我还需要联合服务器吗?最终他们只是在寻找一个存放 POST SAML 数据的地方,所以我可以设置一个端点并从那里开始,对吗?

  • 联合服务器有哪些一般优势?为什么不是每个服务提供商应用程序(无论大小)都只是设置一个端点来摄取 SAML 数据并收工?

  • 谢谢!


    您不一定需要联邦服务器。但是,如果您决定将来将您的应用程序划分/扩展为微服务或将您的服务与其他第 3 方集成,则服务器将允许您在不中断当前客户(伟大的 CX)的情况下进行扩展,并且不必管理单独的安全性端点。


  • 我认为我们应该把它转移到软件工程中

  • 用户如何使用您的服务进行身份验证?拥有联合身份可以保证整个用户管理过程都是别人的问题。他们正在寻找一种将您的服务集成到他们的身份验证系统中的方法,因此您需要设置一个端点,不仅要消费,还要能够将 SAML 请求发送到他们的身份服务器。

  • 我使用我的 Google 帐户凭据来访问我几乎所有的社交网站(包括 Stack Exchange),这意味着所有网站都知道我是同一个实体,而且我只需要记住一个密码。

  • 不知道 SAML,但几乎每个人都在使用 OpenId 或 OAuth。