在找云服务商过程中,企业应确认云服务商至少支持一个主流的标准,如SAML和WS-Federation。SAML是一个得到主流SaaS和PaaS云服务商支持的联盟标准,支持多标准,能做到更大程度的灵活性。
SAML的方向是使多个应用间实现身份联盟,解决身份联盟中确认身份信息与共享的标准化问题的方式。
SAML协议信息主要有3个方面:
·认证声明:体现用户是否已认证,一般用来单点登录。
·属性声明:表明某个客体的属性。
·授权声明:表明某个资源的权限。
一个典型的SAML协议模型中,OpenID Connect是基于OAuth2.0规范族的可互操作的身份验证协议。它借简单的REST/JSON消息流达到“把复杂的事情变成简单”的目标,从而实现身份联盟间的认证。
OpenID Connect可让开发者验证跨网站与应用程序的用户,而不用拥有和管理密码文件。同时对用户而言,OpenID Connect可让一切类型的客户,包括基于浏览器的JavaScript与本机移动应用程序的客户,由启动登录流获得登录用户的身份信息。
SSO(单点登录)用来解决多个系统多次进行用户认证管理的问题,集中管理用户身份认证,用户仅要登录一次就能访问全部互信的应用系统。SSO系统一般由使用场景与技术特点,选取OpenID或SAML等技术构建。在当前企业内部业务和云业务混合部署的情况下,SSO给用户带来了极大的便利。一般来讲,一个典型的SSO应该完成如下工作:
·凭证共享。当用户认证成功后,系统会生成该用户的票据,并将此票据返还给用户。需注意的是,认证系统可对此票据二次校验并判断其有效性。
·信息识别。SSO让用户仅要登录一次,即系统一定可识别已登录过的用户,且系统要能随时提取与再校验票据,确认用户当前状态,来实现单点登录。
