D5-04 8–10 分钟 重要程度:高
联合身份、SAML、OAuth、OpenID Connect 与 IDaaS
联合身份让不同组织共享身份信任。SAML 常用于企业 SSO;OAuth 是授权委派;OpenID Connect 在 OAuth 上提供认证。
一、必须记住
- Federated Identity Management 让多个组织按共同规则共享身份。
- SAML 是基于 XML 的语言,用于交换认证和授权声明。
- SPML 用于交换配置和身份供应请求。
- OAuth 是授权委派,不是主要认证协议。
- OpenID 提供分散式认证。
- OpenID Connect 是 REST/JSON 协议,结合 OAuth 提供认证和基本资料。
- IDaaS 是第三方提供身份和访问管理服务。
二、核心概念
联合身份
云端应用和跨组织协作常用联合身份。组织加入联盟后,使用共同语言和信任关系交换身份声明。
SAML 与 SPML
SAML 常用于 Web SSO,在身份提供者和服务提供者之间交换认证与授权信息。SPML 关注身份配置和供应请求。
OAuth 与 OIDC
OAuth 允许用户授权第三方应用访问资源,而不共享原始凭据。OpenID Connect 在 OAuth 上层加入认证和基本 profile 信息。
三、CISSP 判断规则
- 问企业联合 SSO 声明交换,优先 SAML。
- 问第三方应用授权访问资源,优先 OAuth。
- 问 OAuth 上提供认证和用户资料,优先 OpenID Connect。
- 问第三方 IAM 服务,优先 IDaaS。
四、常见陷阱
- OAuth 不等于认证;它主要是授权委派。
- SAML 偏 XML;OIDC 偏 REST/JSON。
- 联合身份减少凭据共享,但信任关系配置错误会扩大风险。
五、英文关键字
Federated identity management (联合身份管理) 定义:多个组织共享身份信任和认证声明。 SAML (安全断言标记语言) 定义:基于 XML,用于交换认证和授权声明。 SPML (服务配置标记语言) 定义:用于交换身份配置和供应请求。 OAuth (开放授权) 定义:授权委派标准,不是主要认证协议。 OpenID (开放身份) 定义:开放的分散式身份认证标准。 OpenID Connect (OpenID Connect) 定义:在 OAuth 之上提供认证和基本用户资料。 OIDC (OpenID Connect) 定义:基于 OAuth 的认证协议,使用 REST/JSON。 IDaaS (身份即服务) 定义:由第三方提供身份和访问管理服务。 Identity provider (身份提供者) 定义:在联合身份中认证用户并发布身份声明。 Service provider (服务提供者) 定义:依赖身份提供者声明来授予访问的应用或服务。
小测验
1. “使用 GitHub 登录第三方网站,并授权该网站读取部分资料”最接近哪个概念?
OAuth 是开放授权标准,用于授权委派。
2. 企业联合身份场景中,用 XML 交换认证和授权声明的常见协议是?
SAML 是基于 XML 的身份断言语言,常用于联合 SSO。
3. 在 OAuth 基础上提供认证和基本用户资料的是?
OpenID Connect 是基于 OAuth 的认证协议。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成