移动平台的单点登录和联合登录之间有什么区别

Question

我有一个关于SSO和Federated SO的问题。这两者有什么区别？

我们要做的是让用户能够使用他们的Facebook，Twitter或Linked In帐户登录，但我们也希望使用我们的公司ID保存，以便我们知道他们是谁。我们希望将他们的公司ID与他们喜欢的任何社交平台相关联。在Comapny内部，我们也希望他们使用相同的身份登录其他公司的数字资产，如网站和其他应用程序。公司内部有各种软件系统，用户需要对其进行身份验证才能获得访问权限。这听起来像SSO还是联合SO？我们需要外部供应商吗？这些供应商的标准是什么？

我发现了一篇关于两者之间差异的文章，但坦率地说仍然不理解，因为使用的语言超出了我的知识水平。

http://technotes.khitrenovich.com/difference-sso-single-sign-on-identity-federation/

提前谢谢

Answer 1

“身份联合”是指接受未在您的系统中进行身份验证的用户的能力（例如，他们使用Twitter，FB，其他人的Active Directory等）。

SSO能够登录一次然后访问许多应用程序而无需再次输入凭据。

您经常通过联盟实现SS​​O。但是没有它你就可以拥有SSO。 （例如，Active Directory域和该域中的多个应用：您只能登录一次）

Answer 2

文章和@Eugenio都有权利。

既然你想要实现这一点，那么让我做一些可能对你有帮助的实际观察：

• 您希望提供多种方法来验证常见身份。
  • 用户ID＆amp;密码到您自己的目录（Active Directory）
  • Facebook，Twitter，LinkedIn，Google，Yahoo，Live，百度等社交登录
  • 公司内部的另一个身份系统
  • 来自公司外部的另一个身份系统，例如合作伙伴或客户公司
• 许多人使用Active Directory作为身份存储。
• 您需要考虑在此目录中配置用户：
  • 对于员工来说，这通常是在发生雇用/终止/促销活动时
  • 对于外部用户，您可以在首次使用时使用实时（JIT）注册。
  • 所有社交登录都会返回一个电子邮件地址。您可以使用它来检查具有此电子邮件的用户是否已存在。如果是这样，您可以询问他们是否要关联帐户。如果是这样，您可以要求对帐户进行身份验证，例如密码或已与该帐户关联的其他社交登录。这样可以防止用户在不想要的情况下意外创建新帐户。
  • 您需要支持多种协议才能进行单点登录。
    • 内部应用程序可能可以使用集成Windows身份验证（IWA）和Kerberos。
    • 对于非Windows应用程序，请使用SAML或WS-Federation for Web应用程序，OAuth2 for API，OpenID或OpenID Connect for social applications。这些都在身份验证期间以及随后支持属性。这是一种向您的应用程序传递有关用户的信息的方法，例如name＆amp;电子邮件，角色和偏好。
• 当您添加移动和云应用程序（SaaS）时，您将希望拥有一个基于您渴望的标准的架构。这将使您能够随着社交，移动和云计算的发展趋势而发展。

有很多方法可以实现这一点。

• 你可以使用开源自己动手，虽然这些是复杂的，复杂的技术，有许多选择，当然，你永远拥有进化和维护。
• Microsoft提供免费产品ADFSv2。这稍微好于开源，但你仍然必须为每种情况配置它，它不支持所有协议，并且支持来自Microsoft。 （有点像“免费小狗”中的“免费”。）
• 最后，有堆栈供应商和第三方提供更完整的产品和服务。

*即插即用类型=无耻 我的公司Ping Identity可以轻松，优秀地完成所有这些工作，并且拥有世界上最好的客户服务。我们的实施通常需要几个小时，有时需要几天。我们将其作为产品和服务提供。这就是我们所做的一切，我们已经为1000多个客户（无论大小）做了10年。在http://www.pingidentity.com处查看我们 / Plug *