跨多个系统（包括第三方系统）的单点登录

Question

通过多种数字平台（如Web和移动设备），用户配置文件还存储在多个系统中，包括提供辅助服务的其他方所拥有的系统。例如，网络渠道提供购买产品和服务的能力，但是运输是辅助服务。

在这个例子中，用户会购买产品并登录我们的网站。这些细节保存在我们的数据库中。

在交易结束时，用户被提供使用第三方提供的辅助服务的能力。他们登录/注册与第三方，第三方存储他们的所有细节。

现在需要提供“单点登录”功能，即能够使用在我们网站上创建的凭证或使用辅助服务创建的凭证，反之亦然，并且能够从服务中提取身份如谷歌，Facebook等

似乎没有一种简单的方法来实现这一点，而不必以安全的方式传递证书，并且能够与Google，Facebook等人交换这些证书不太可能，即用户使用我们网站上创建的凭据登录Google。

有没有一种明智的方法来解决这个问题？优缺点都有什么？

编辑

的post by APICrazy似乎是可口的，虽然这需要第三方提供商与身份验证代理集成，提供给我们的身份提供者之一。

有没有办法克服这个问题，即没有第三方做出任何改变，但仍然接受我们的身份存储的凭据？

Answer 1

您提出的问题非常广泛。如果我要总结一下，您的组织正在启动一个身份和访问管理（IAM）项目，该项目将重点关注联合/ SSO和用户配置。您的客户可以使用存储在用户凭证存储区（AD/LDAP/etc）中的凭证或通过云身份连接器（Facebook/LinkedIn /等）直接执行SSO到身份提供商（IdP）服务器。一旦对您的门户进行身份验证，就可以通过身份标准（如SAML，OAuth，OpenID Connect）跨域与第三方网站进行联合身份验证。 SCIM标准也很有帮助，因为您可能会遇到第三方网站需要用户配置的情况。

在此空间中有许多供应商解决方案可以解决您的上述使用案例。我会看看支持广泛的用例和联合标准的供应商。我的建议是咨询IAM系统专家here is a good article that describes IAM Architecture Approach。另一个建议是看Gartner评价最高的一些供应商，主要是Okta，OneLogin，Ping Identity，Microsoft和Centrify。您需要确定该功能是否为云托管或内部部署。根据您对需求的广泛描述，内部部署（可以在AWS实例上进行管理）可能是最好的，因为高端用例的云功能往往受到限制。