OpenID Connect 最终会取代 SAML 成为 SSO 的主导协议吗？

Posted 2023-03-27

【中文标题】OpenID Connect 最终会取代 SAML 成为 SSO 的主导协议吗？

【英文标题】：OpenID Connect will eventually replace SAML as the dominant protocol for SSO?

【发布时间】：2014-02-10 11:30:55

【问题描述】：

我在一些文章中看到，据说 OpenID Connect 将取代 SAML 成为 SSO 的主导协议。我不确定 openID connect 将如何处理不同服务提供商的会话管理功能，以及如何使用它来实现单点注销？目前，是否有支持 OpenID 连接作为 SSO IDP（作为 SAML2 SSO IDP 的替代品）的 IDM 服务器（开源或商业）？

【问题讨论】：

OpenAM 似乎从第 11 版开始支持它。wikis.forgerock.org/confluence/display/openam/OpenAM+Roadmap

是的。谢谢。似乎他们正在支持会话管理和注销。会看看的

我会把它作为答案，以便更容易找到

【参考方案1】：

PingFederate [免责声明：正如它以我的名义所说，我为 PingIdentity 工作] 于 2013 年 4 月在产品中构建了 OIDC - 版本 7.0。此外，我们从 2010 年 12 月开始通过集成工具包支持 OpenID。

也就是说，OIDC 下的“SLO”是一场全新的比赛。我建议阅读OID Spec 的Session Management 部分。它的要点是，SLO 的完成方式与大多数 SAML 系统实现它的方式完全不同，而且它非常以用户为中心，而不是特定于 OP 或 RP。

最后一件事...虽然 OIDC 最终可能会取代 SAML，但我想指出的是，我们终于在使用 SAML 时产生了严重的滚雪球效应。 OIDC 尚未最终确定，迁移到它需要时间。焦点会转移吗？很有可能。但这不会在今年或明年发生，之后很可能不会再发生。如果您正在寻找支持 OIDC 的前沿产品，这很公平……但如果您真的想要实施，那么机会很少而且相距甚远。目前还没有很多 RP - 主要是因为规范不是“最终的”。

我还应该提到我们的一些竞争对手，例如 Gluu、Okta、IBM 和 Layer7（通过在互操作测试中竞争）显示了对 OIDC 的支持，但我无法谈论他们对当前产品的支持程度.

【讨论】：

OpenID Connect 确实是一个发布/最终规范，launched back in February。还是我误会了你？

您可能还注意到我的回答是在一月份，在 OIDC 最终确定之前...我们会看到基于此的上升吗？当然。像 Google、Yahoo 和其他公司这样的“大手笔”会帮助这项事业吗？为了确定。小商店的开发人员仍然需要时间来了解它。

【参考方案2】：

OpenAM 似乎从版本 11 开始支持它。wikis.forgerock.org/confluence/display/openam/OpenAM+Roadmap

【讨论】：

我使用过 OpenAM 和 OpenID Connect。是的，他们“支持”它，但它有很多问题和错误，无法迅速修复。社交登录也存在问题。将社交登录和 OpenID Connect 结合到您的 SP，您将很难让它发挥作用。

OpenAM 是开源的 :)

【参考方案3】：

是的，毫无疑问。当他们可以使用 2014 年的 JSON/REST API 时，没有人愿意使用 2005 年（移动前）的 SOAP/XML 标准。请参阅 Gluu 的协议预测：http://www.gluu.co/sso-protocol-predictions

如果您对此表示怀疑，请参阅 Forrester 的预测... http://www.gluu.org/blog/wp-content/uploads/2014/06/eve_uma_irmsummit_2014-300x225.jpg 请注意“中等成功”曲线上的 SAML，以及“显着成功”曲线上的 OpenID Connect。

问题在于 SAML 供应商不同意破坏性更改，而移动/无头 API 破坏了 SAML 设计中的一些假设。

迈克·施瓦茨 创始人/CEO Glu http://gluu.org

【讨论】：

嗨迈克！ :) 我认为 Eve（和你的预测）所说的是，我们将看到大型供应商的巨大初始跳跃......公司仍然需要时间来了解 RP 方面的 OIDC。我一点也不反对 SOAP/REST XML/JSON 论点。

【参考方案4】：

我希望 OIDC 会随着时间的推移取代基于 SAML 的身份验证。

Apache Fediz（从 1.3.0 版开始）支持 * SAML 网络单点登录 * WS-联邦 * OIDC

Fediz 的伟大之处在于，它还支持协议桥。 因此，您可以使用 SAML Web SSO 通过 IDP 登录，最后登录到 OIDC Web 门户。 https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html

但是，OIDC 目前不支持 SLO。但由于它是一个开源项目，添加它应该很简单，因为总是欢迎贡献。