我有一个作为服务提供商的应用程序。
是否可以使用 OpenID Connect 实施 Idp 发起的 SSO?
对于 Idp 发起的 SSO 来说,似乎只能使用 SAML,对吗?或者有没有办法让 OpenID Connect 也能工作?
我正在考虑使用一些开源工具,例如 Keycloak 或 OneLogin 工具包等。
非常感谢。
当前形式的 OpenID Connect 无法实现由 IDP 发起的安全 SSO。然而,有一个称为“第 3 方启动的 SSO”的功能,它允许通过第 3 方启动身份验证过程,但仍然首先访问 RP。
以下是有关第三方发起的 SSO 的详细信息:
https://openid.net/specs/openid-connect-core-1_0.html#ThirdPartyInitiatedLogin https://openid.net/specs/openid-connect-core-1_0.html#ThirdPartyInitiatedLogin
至于所描述的 IDP-init 建议:行为良好的 RP 应该通过使用state
参数或(作为不太优选和不太安全的解决方案)通过将请求状态保存在 cookie 中,这使得 RP 仅在请求/响应往返期间容易受到 CSRF 的攻击。
有一项正在进行的工作,其中描述了如何使用签名消息以安全的方式通过 OpenID Connect 扩展来实现真正的 IDP-init-SSO:https://datatracker.ietf.org/doc/html/draft-bradley-oauth-jwt-encoded-state#section-4.3 https://datatracker.ietf.org/doc/html/draft-bradley-oauth-jwt-encoded-state#section-4.3
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)