D5-04 8–10 分钟 重要程度:高

联合身份、SAML、OAuth、OpenID Connect 与 IDaaS

联合身份让不同组织共享身份信任。SAML 常用于企业 SSO;OAuth 是授权委派;OpenID Connect 在 OAuth 上提供认证。

一、必须记住

  • Federated Identity Management 让多个组织按共同规则共享身份。
  • SAML 是基于 XML 的语言,用于交换认证和授权声明。
  • SPML 用于交换配置和身份供应请求。
  • OAuth 是授权委派,不是主要认证协议。
  • OpenID 提供分散式认证。
  • OpenID Connect 是 REST/JSON 协议,结合 OAuth 提供认证和基本资料。
  • IDaaS 是第三方提供身份和访问管理服务。

二、核心概念

联合身份

云端应用和跨组织协作常用联合身份。组织加入联盟后,使用共同语言和信任关系交换身份声明。

SAML 与 SPML

SAML 常用于 Web SSO,在身份提供者和服务提供者之间交换认证与授权信息。SPML 关注身份配置和供应请求。

OAuth 与 OIDC

OAuth 允许用户授权第三方应用访问资源,而不共享原始凭据。OpenID Connect 在 OAuth 上层加入认证和基本 profile 信息。

三、CISSP 判断规则

  • 问企业联合 SSO 声明交换,优先 SAML。
  • 问第三方应用授权访问资源,优先 OAuth。
  • 问 OAuth 上提供认证和用户资料,优先 OpenID Connect。
  • 问第三方 IAM 服务,优先 IDaaS。

四、常见陷阱

  • OAuth 不等于认证;它主要是授权委派。
  • SAML 偏 XML;OIDC 偏 REST/JSON。
  • 联合身份减少凭据共享,但信任关系配置错误会扩大风险。

五、英文关键字

Federated identity management (联合身份管理) SAML (安全断言标记语言) SPML (服务配置标记语言) OAuth (开放授权) OpenID (开放身份) OpenID Connect (OpenID Connect) OIDC (OpenID Connect) IDaaS (身份即服务) Identity provider (身份提供者) Service provider (服务提供者)

小测验

1. “使用 GitHub 登录第三方网站,并授权该网站读取部分资料”最接近哪个概念?

OAuth 是开放授权标准,用于授权委派。

2. 企业联合身份场景中,用 XML 交换认证和授权声明的常见协议是?

SAML 是基于 XML 的身份断言语言,常用于联合 SSO。

3. 在 OAuth 基础上提供认证和基本用户资料的是?

OpenID Connect 是基于 OAuth 的认证协议。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成