我们的场景推荐什么：OpenID +自提供者或SAML？

Question

以下是我们的情况：

• 我们拥有一个主要门户网站，在ASP.Net 4.0中开发<​​/ li>
• 我们组织中还有一些其他门户网站，它们希望使用我们的门户网站进行身份验证和管理。 SSO。这些门户可以在任何平台上：PHP，经典ASP，JSP等
• 还有一些外部门户，我们也希望SSO。这些外部门户网站事先众所周知，它们处于封闭环境中：这意味着他们不希望使用随机公共OpenID身份验证进行登录尝试。

我一直在浏览StackOverflow和一般情况下的各种文章，例如What is the difference between OpenID and SAML?但我无法断定以下哪一项是上述情况的最佳选择：

• OpenID plus self-provider，使用像DotNetOpenAuth（http://www.dotnetopenauth.net/）这样的库。客户只会信任一个OpenID提供商：us。
• SAML，起诉像ComponentSpace（http://www.componentspace.com/saml）
这样的库
• 还有其他更好的选择吗？

所有提示都将受到高度赞赏：）

Answer 1

让我强调一下OpenID和SAML之间的一个重要区别。在OpenID中，服务提供者未与身份提供者耦合。在用户提供的OpenID标识符上进行发现之前，服务提供商不了解身份提供商。但在SAML中，服务提供商与身份提供商耦合。它们之间存在预定义的信任。

因此，在研究您的情况时，最好的解决方案是使用SAML。 SAML将允许组织中的用户使用组织登录门户。外部门户可以信任您的组织身份提供商，并让您的组织的用户也可以登录这些外部门户。或者，如果这些外部门户已经拥有自己的身份提供商，那么您可以使用SAML（例如被动STS）在外部身份提供商和您组织的身份提供商之间建立信任，并让您的组织的用户登录到那些外部门户网站。