いくつかの記事で見たことがありますが、SSO の主要なプロトコルとして OpenID Connect が SAML に取って代わると言われています。openID connect がさまざまなサービス プロバイダーとのセッション管理機能をどのように処理するか、またそれを使用してシングル ログアウトを実装する方法がわかりません。現在、OpenID Connect を SSO IDP として (SAML2 SSO IDP の代替として) サポートする IDM サーバー (オープン ソースまたは商用) はありますか?
4 に答える
OpenAM はリリース 11 からサポートしているようです。
PingFederate [免責事項: 私の名前が示すように、私は PingIdentity で働いています] は、2013 年 4 月にバージョン 7.0 で OIDC を製品に組み込みました。さらに、2010 年 12 月以降、統合キットを介して OpenID をサポートしています。
とはいえ、OIDC の下での「SLO」はまったく新しい球技です。OID SpecのSession Management部分を一読することをお勧めします。その要点は、SLO がほとんどの SAML システムで実装されている方法とはまったく異なる方法で行われ、OP や RP 固有ではなく、非常にユーザー中心であるということです。
最後にもう 1 つ... OIDC が最終的に SAML に置き換わる可能性はありますが、SAML で深刻な雪だるま式の効果がついに得られたことを指摘しておきたいと思います。OIDC はまだ最終版ではなく、移行には時間がかかります。焦点がずれる?かなり可能。しかし、それは今年も来年も起こらないでしょう。OIDC をサポートする最先端の製品を見ているのであれば、それで十分です... しかし、実際に実装したいと考えているのであれば、機会はほとんどありません。主に仕様が「最終」ではないため、まだ多くの RP がありません。
また、Gluu、Okta、IBM、Layer7 などの一部の競合他社は、(相互運用テストで競合することにより) OIDC のサポートを示していますが、現在の製品でのサポートの範囲について話すことはできません。
はい、質問はありません。2014 年から JSON/REST API を使用できるのに、2005 年 (モバイル以前) の SOAP/XML 標準を使用したい人はいません。Gluu のプロトコル予測を参照してください: http://www.gluu.co/sso-protocol-predictions
疑う場合は、Forrester の予測を参照 してください... 「重要な成功」曲線に接続します。
問題は、SAML ベンダーが重大な変更に同意せず、モバイル/ヘッドレス API が SAML の設計で行われた前提の一部を破ったことです。
- マイク・シュワルツ 創業者/CEO Gluu http://gluu.org
OIDC が SAML ベースの認証に取って代わることを期待しています。
Apache Fediz (バージョン 1.3.0 以降) は、* SAML Web SSO * WS-Federation * OIDC のサポートを提供します
Fediz の優れた点は、プロトコル ブリッジもサポートしていることです。そのため、SAML Web SSO を使用して IDP でログインし、最終的に OIDC Web ポータルにログインできます。 https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html
ただし、SLO は現在 OIDC ではサポートされていません。しかし、これはオープン ソース プロジェクトであるため、コントリビューションはいつでも歓迎されるため、これを追加するのは簡単なはずです。