我想知道在一组公共网站上实现联合的技术。简单的答案是'联邦'或'萨姆'。但是,在实践中我可以看到许多技术问题:创建帐户链接(以便site1中的用户“SteveRoy”链接到site2中的“SRoy”),更改登录页面以引用中央IdP,处理不具有此功能的用户在所有站点都有帐户,处理跨站点的会话注销等。简而言之,似乎'saml'是一个更复杂问题的过度简化。很想听听那些在这个领域取得成功的人的细节......
答案 0 :(得分:0)
可能不是你希望的答案,但是这里有。 :)
SAML(以及相关/备用OpenID),只是用于传递有关身份的断言并将该身份验证决策联合到其他地方的协议 - 它允许您接受您信任的服务(IdP)字,以便为您执行用户身份验证。这些协议允许您构建联合身份系统;它们本身并不是一个系统。
您在问题中提到的一切(用户映射,实际的SP基础架构维护,单个站点授权,联合注销)一直是这个领域的挑战,您在那里部署的任何解决方案都需要解决这些工程问题/实施问题。你可以,有人可能应该写出数百页关于处理构建有效的联合身份系统所涉及的所有细微差别的各种方法。这个领域没有简单的答案。