我刚刚使用OpenAM,发现可以通过SAML以及CDSSO的基于cookie的方法进行身份验证。现在我担心的是,如果我在银行和医疗保健这样的领域工作,那么采用基于CDSSO cookie的方法是多么可行,并且他们的任何组织都在任何这样的领域实践基于cookie的方法。
答案 0 :(得分:1)
SAML旨在连接独立的安全“域”。在这种情况下,术语“域”与网络域名无关,而是一个相当模糊的术语,意味着安全系统之间的划分。一个更好解释的例子:公司A使用OpenAM来保护其内部网站,但他们也使用Salesforce的服务。 SAML是显而易见的选择 - Salesforce不会使用OpenAM的cookie ......他们怎么样?您还可以使用它来连接公司(和域名)内的两个不同系统,例如OpenAM和Siteminder,因为这两个系统无法通过其cookie直接通信。
CDSSO主要设计用于可能拥有多个他们保护的域的组织内部。它们可以在多个域中具有多个策略服务器,但所有这些服务器都由同一个OpenAM实例管理,并且它们共享一个公共后端。许多组织使用OpenAM(以及OAM和Siteminder)的CDSSO功能。但是他们在他们控制的系统内部使用它。
此外,我想不出单个服务提供商会要求您将其中一个OpenAM策略服务器放在其网络中。你不希望他们触摸你的服务器,他们不会(如果他们正确的话)相信你不会在他们的网络中丢弃木马。
TL; DR:
SAML - 在管理域之外
CDSSO - 在管理域内
答案 1 :(得分:0)
SAML是实现SSO的基于标准的方式,Agent是专有方式。
SAML不提供开箱即用的任何授权(允许哪个用户访问给定资源)...这是反向提取。