联合登录和单一登录身份验证方法有什么区别?

#1 楼

单一登录(SSO)允许用户通过一次登录访问多种服务。

这个词实际上有点模棱两可。有时,这通常意味着(1)用户每次会话仅需提供一次凭据,然后即可访问多种服务,而无需在该会话期间再次登录。但是有时它只是用来表示(2)相同的凭证用于多种服务;用户可能必须多次登录,但始终使用相同的凭据。因此请注意,在这方面所有SSO都不相同。许多人(包括我在内)仅将第一种情况视为“真实” SSO。

联合身份(FID)指的是用户存储其凭据的位置。或者,可以将FID视为将身份管理系统连接在一起的一种方式。在FID中,用户的凭据始终存储在“家庭”组织(“身份提供者”)中。当用户登录服务时,服务提供者会信任身份提供者来验证凭据,而不是向服务提供者提供凭据。因此,用户永远不会直接向身份提供者以外的任何人提供凭据。

FID和SSO不同,但经常一起使用。大多数FID系统都提供某种SSO。许多SSO系统都在后台作为FID实施。但是他们不必那样做。 FID和SSO也可以完全分开。

评论


谢谢。现在(我认为)对我来说更有意义,但只有在您解释之后,因为FID维基百科页面无法解决我的问题。因此,BrowserID是SSO,并且使用Google帐户访问stackoverflow是FID?

–c卡
2012年4月16日在21:46

将Google服务(Gmail,云端硬盘,YouTube等)视为SSO的典型示例,而将某个随机网站上的“使用Facebook登录”按钮视为FID的典型示例是否公平?

–麦克·恩斯沃思(Mike Ounsworth)
17年8月30日在13:24



这就是我的解释方式。 Google登录名和Facebook登录名是联合身份验证服务,它们提供身份验证,而不会向正在访问的服务透露您的登录信息。

–朱利安
18年5月11日在19:03

#2 楼

SSO允许单个身份验证凭据(用户ID和密码,智能卡,一次性密码令牌或生物识别设备)访问单个组织内的多个或不同系统。联合身份管理系统提供对不同企业中多个系统的单一访问。



#3 楼

Web SSO可以定义为“您需要输入一次凭据,并且它们在同一个cookie提供程序下,如果它们也在同一个cookie提供程序下,则不需要重新输入用户名和密码”,例如:Gmail-> google

联合SSO可以定义为“可能会要求您使用位于不同企业/网络或其他组织下的应用程序,在这种情况下,我们需要拥有联合身份验证,如果需要,现在使用其他公司的Web产品的服务(例如service),那么您将充当身份提供者[IDP],而他们将成为服务提供者[SP]“

#4 楼

联合身份验证是主要原则,而SSO只是一个用例。 SSO对不同的人可能意味着不同的意思,但是通用的含义是“每个会话使用相同的凭据登录一次,这在本地许多企业中已广泛使用”。联盟原则解决了许多独立企业希望让其用户登录以使用其所有服务的问题,换句话说就是跨境登录。从这种需求中产生了今天称为联合SSO的一种单点登录类型。

#5 楼

单点登录无需解释!这是IT系统的质量。您只需登录一次,然后在会话期间就可以做出授权决定,而无需重新进行身份验证。

当您想要扩大资源覆盖范围时,所有的细微之处都会出现单一登录。在本地计算机和Intranet域上,这场争夺战早已被我们忘记了,但是单点登录必须在操作系统和域控制器中实现。

今天的战斗是提供单点签名,遍及世界上的每个网站,而联合ID是用于解决此问题的两种架构模式之一。另一个更简单,更普遍的是委托ID。此处说明差异。如果作为授权服务器,您很乐意接受仅知道它是OpenId令牌的身份令牌,而不关心生成它的人,那么您正在使用联合ID。

#6 楼

单一登录(SSO):单一登录是一种身份验证机制的特征,该身份验证机制与用于在多个服务提供商之间提供访问的用户身份有关。
SSO允许单一身份验证过程(由单个身份提供商管理)或其他身份验证机制),以在单个组织内或多个组织内的多个系统中使用。
联合SSO:联合身份管理是IAM的子学科,但通常由同一团队参与支持它。联合是一种SSO,其中的参与者跨越多个组织和安全域。
联合是这些组织之间存在的信任关系。它关系到用户凭据的实际存储位置,以及受信任的第三方如何在不实际看到凭据的情况下针对这些凭据进行身份验证。
联合关系可以通过几种不同的协议之一来实现,包括(但不限于):


SAML1.1


SAML2


WS-Federation


OAuth2


OpenID Connect


WS-Trust


各种专有协议


您还可以查看单点登录实现列表

评论


您必须通过提供的链接披露您的关系。

– schroeder♦
20/08/17在10:02

#7 楼

FID研究信任同一身份管理系统的多方,例如,您可以使用Yahoo帐户登录Flicar;在这里Flicar依靠Yahoo并信任它来为您进行身份验证。在FID中,用户和服务提供商旁边必须有第三方(身份提供商)。

SSO正在研究如何登录到单一登录即可提供多种服务。例如,如果您登录Hotmail帐户,则无需重新登录即可登录SkyDrive服务。

我没有示例,但我想您可以通过SSO使用FID登录到许多服务,也可以不使用FID通过SSO登录。

评论


尽管措辞不佳,但这与Mark更好地描述的答案没有明显的不同。我看到的唯一问题是,它暗示联合登录使用公共服务,但是它们也可以通过非私有/公司服务器等访问。甚至可以通过FID来实现SSO。不应获得更多,但不应为-1。

– Bill Rosmus
17年8月10日在21:40